SSO設定 - Microsoft Entra IDによるSAML認証

  • 更新
フォローする

この機能を使用できるユーザー

admin-line.png
管理者

 

事前準備

QDICの事前準備

  1. QDICに管理者でログインします。
  2. ナビゲーションパネルから設定アイコンをクリックし、[組織管理]»[SSO設定]を選択します。SSO設定画面が表示されます。
  3. [SSO設定詳細]に表示されるentity_idauthorized_domainの値を記録します。(それぞれのフィールド右にあるコピーアイコンをクリックして、値をコピーできます。)

Entra IDの事前準備

  1. Microsoft Entra IDに、QDICを使用するユーザーグループを、QDICの役割毎に作成します。
    例えば以下の通りです。
    • QDIC管理者の役割を持つユーザーが所属するユーザーグループとして、QUOLLIO ADMINユーザーグループを作成
    • QDIC運用者の役割を持つユーザーが所属するユーザーグループとして、QUOLLIO EDITORユーザーグループを作成
    • QDIC閲覧者の役割を持つユーザーが所属するユーザーグループとして、QUOLLIO VIEWERユーザーグループを作成
  2. 作成したグループのオブジェクトIDを記録します。これはQDICのユーザーグループ設定で使用します。
  3. 作成したグループに、QDICを使用するユーザーを役割に応じて所属させます。

 

設定手順

Entra IDの設定

1. エンタープライズアプリケーションの作成

  1. Microsoft Azure portalに、管理者権限のあるユーザーでログインします。
  2. AzureサービスからMicrosoft Entra IDアイコンをクリックして表示します。
  3. 画面左のメニューから[管理]»[エンタープライズアプリケーション]を選択します。
  4. 画面中央上の[新しいアプリケーション]をクリックし、Microsoft Entraギャラリーを参照する画面を表示します。画面タイトル下の[独自のアプリケーションの作成]をクリックします。独自のアプリケーションの作成画面が表示されます。
  5. お使いのアプリの名前は何ですか?]フィールドに、QDIC用に作成するエンタープライズアプリケーション名を入力します。
  6. アプリケーションでどのような操作を行いたいですか?]から、〔ギャラリーに見つからないその他のアプリケーションを統合します(ギャラリー以外)〕ラジオボタンをクリックして選択します。
  7. 画面下の〈作成〉ボタンをクリックします。エンタープライズアプリケーションが作成され、作成したアプリケーションの概要画面が表示されます。

2. ユーザーとグループの割り当て

  1. 作成したエンタープライズアプリケーション開いた状態から、画面左のメニューから[管理]»[ユーザーとグループ]を選択します。
  2. 画面中央上の[ユーザーまたはグループの追加]をクリックし、割り当ての追加画面を表示します。
  3. 画面左の[ユーザーとグループ]の下に表示される「選択されていません」リンクをクリックします。ユーザーとグループ画面が表示されます。
  4. ユーザーとグループ画面の検索フィールドに、Entra IDの事前準備1で作成したユーザーグループか、あるいはQDICを使用するユーザーを入力して検索結果を表示します。表示された一覧から、割り当てるユーザーまたはグループの左に表示されるチェックボックスをクリックして選択し、画面下の〈選択〉ボタンをクリックします。
  5. 画面下の〈割り当て〉ボタンをクリックして、選択したユーザーまたはグループを割り当てます。

3. シングルサインオン

  1. 作成したエンタープライズアプリケーション開いた状態から、画面左のメニューから[管理]»[シングルサインオン]を選択します。
  2. 画面中央から「SAML」をクリックします。SAMLによるシングルサインオンのセットアップ画面が表示されます。
  3. 基本的なSAML構成]の右にある編集アイコンをクリックします。基本的なSAML構成画面が表示されます。
  4. 識別子(エンティティID)]下の「識別子の追加」リンクをクリックし、[識別子を入力してください]フィールドにQDICの事前準備3で記録したentity_idの値入力します。
  5. 応答URL(Assertion Consumer Service URL)]の下の「応答URLの追加」リンクをクリックし、[応答URLを入力してください]フィールドにQDICの事前準備3で記録したauthorized_domainの値を用いた以下の文字列を入力します。

    authorized_domain/saml2/idpresponse

    https://qdc-xxxxxxxx-sso.auth.ap-northeast-1.amazoncognito.com/saml2/idpresponse
  6. 画面上の〈保存〉ボタンをクリックして、基本的なSAML構成を保存します。
  7. 属性とクレーム]の右にある編集アイコンをクリックします。属性とクレーム画面が表示されます。
  8. 画面中央上の[グループ要求を追加する]をクリックします。グループクレーム画面が表示されます。
  9. 「グループで返される必要があるのは、ユーザーに関連付けられているどのグループですか?」から〔すべてのグループ〕ラジオボタンをクリックして選択します。
  10. ソース属性]としてグループIDを選択します。
    重要な注意 sAMAccountNameは選択しないでください。QDICは、sAMAccountNameに対応しません。
  11. ※これは任意設定です。
    ユーザーが所属するグループ数が多い場合、QDICからのシングルサインオンでにエラーが発生することがあります。このエラーを抑止するには、QDICに関連付けられたグループの情報だけが連携するようにします。
    詳細オプション]をクリックし、〔グループのフィルター〕チェックボックスをクリックして、グループを絞り込む条件を設定します。
    Entraの事前準備で作成したグループ名に全て「QUOLLIO」を含む場合の設定例は以下の通りです。
    • 照合する属性]で、表示名を設定 ※SAMAccountNameは設定しないでください。
    • 文字列]で、次の値を含むを設定
    • [次に一致]で、QUOLLIOを設定
  12. 画面上の〈保存〉ボタンをクリックして、グループクレームを保存します。
  13. クレーム名一覧に表示される以下の値に対応するクレーム名を記録します。
    • user.groups[ALL]
    • user.mail
    • user.givenname
    • user.userprincipalname
    • user.surname
  14. SAML証明書]から[アプリのフェデレーション メタデータURL]を記録します。もしくは、[フェデレーション メタデータXML]をダウンロードします。

 

QDICの設定

1. 新しいSSOを設定する

  1. QDICに管理者でログインします。
  2. ナビゲーションパネルから設定アイコンをクリックし、[組織管理]»[SSO設定]を選択します。SSO設定画面が表示されます。
  3. 画面右上の〈新規追加する〉ボタンをクリックします。新しいSSOを設定する画面が表示されます。
  4. 基本方針]の[プロバイダー名]フィールドに、任意の名称を入力します。
  5. 認証プロトコル]で〔SAML〕ラジオボタンをクリックして選択します。
  6. フェデレーションメタデータの設定を行います。設定内容は、「Entra IDの設定」手順14によります。
    • フェデレーションメタデータURLを使用する場合は、〔メタデータURL〕ラジオボックスをクリックして選択し、手順3.14で記録したURLを[メタデータURLを入力]フィールドに入力します。
    • ダウンロードしたフェデレーションメタデータXMLを使用する場合は、〔メタデータファイル〕ラジオボックスをクリックして選択し、手順14でダウンロードしたファイルを、アップロードします。
  7. 属性マッピング]の各フィールドに、「Entra IDの設定」手順3.13で記録したクレーム名を、以下の通り入力します。
    • email]フィールドに、user.mailのクレーム名
    • family_name]フィールドに、user.surnameのクレーム名
    • given_name]フィールドに、user.givennameのクレーム名
    • groups]フィールドに、user.groups[ALL]のクレーム名
  8. 必要に応じて[追加属性]を設定します。追加できる属性は以下の通りです。追加属性を使用する場合、属性に対応するクレーム名は、Entra IDから取得し設定してください。
    • locale
    • email_verified
    • profile
  9. トークンの有効期限の設定を行います。
    • IDトークンの有効期限(分)]は、5分~1440分(24時間)の間で設定できます。デフォルト値は、60分です。
    • アクセストークンの有効期限(分)]は、5分~1440分(24時間)の間で設定できます。デフォルト値は、60分です。
    • リフレッシュトークンの有効期限(日)]は、1日~365日の間で設定できます。デフォルト値は、30日です。
  10. デフォルト言語を選択します。デフォルト言語とは、SSO認証によりユーザーがQDICにログインすると表示されるワークスペースの表示言語です。デフォルト設定は、日本語です。
  11. 新規作成する〉ボタンをクリックして、新しいSSO設定を作成します。
     

2. ユーザーグループの作成

  1. ナビゲーションパネルから設定アイコンをクリックし、[組織管理]»[ユーザーグループ]を選択します。ユーザーグループ画面が表示されます。
  2. 画面右上の〈グループを追加〉ボタンをクリックします。新しいユーザーグループを追加画面が表示されます。
  3. グループ名]フィールドに任意のグループ名を入力します。
  4. グループタイプ]として〔自動〕ラジオボタンをクリックして選択し、[プロバイダー名]に「QDICの設定」手順1.4で設定したプロバイダー名を選択して設定します。
  5. 関連するグループ]としてEntra IDの事前準備2で記録したオブジェクトIDから、これから作成するユーザーグループに関連付けるEntra IDグループのオブジェクトIDを入力します。
    例えば、運用者のユーザーグループを作成する場合は、事前準備で作成した「QUOLLIO EDITOR」グループのオブジェクトIDを入力します。
  6. グループに所属するユーザーに割り当てる役割を選択して設定します。例えば、運用者のユーザーグループを作成する場合は、〔データスチュワード〕チェックボックスをクリックして選択します。
  7. 新規作成する〉ボタンをクリックして、新しいユーザーグループを作成します。

 

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています

関連記事