この機能を使用できるユーザー

管理者

Microsoft Entra IDによるSAML認証

実施手順は、次の1〜4の順になります。あらかじめ、Microsoft Entra IDのどのユーザーグループをQDICで利用するのかご検討ください。（ユーザーを直接エンタープライズアプリケーションに割り当てても構いません。）

以下では、Microsoft Entra IDにQUOLLIO_EDITORというユーザーグループ（データスチュワード用のユーザーグループ）が存在する前提での手順となります。

1. QDICの操作
   SSO設定から、entity_idとauthorized_domainの確認をします。
2. Microsoft Entra IDの操作
   エンタープライズアプリケーションを作成し、グループ（もしくはユーザー）の割り当てを行います。また、シングルサインオンの設定にて、エンティティIDと応答URLの設定を行い、フェデレーションメタデータURLを取得します。
3. QDICの操作
   1. で取得したフェデレーションメタデータURL、及び、属性マッピングの設定をします。
4. QDICの追加操作
   ユーザーグループの設定画面でMicrosoft Entra ID側のユーザーグループのオブジェクトIDを連携します。

[1] QDICの操作

1. QDICに管理者としてログインし、設定 ≫ 組織管理 ≫ SSO設定に移動します。
2. SSO設定詳細に表示された、entity_idとauthorized_domainを控えておきます。
   
   

[2] Microsoft Entra ID の操作

1. 管理者権限にて、Azureポータルにログインします。
2. Azureサービスの中の、Microsoft Entra IDを選択します
   
   
   
   
3. 左メニューの管理にあるエンタープライズ アプリケーションを選択します。
   
   
   
4.  + 新しいアプリケーションを選択します。
   
   
   
5.  + 独自のアプリケーションの作成を押します。
   
   
   
6. 下記設定後、作成を押します。
   
   • お使いのアプリの名前は何ですか？にアプリ名を入力
   • ギャラリーに見つからないその他のアプリケーションを統合しますにチェック
     
     
     
     
7. 作成したアプリケーションに移動し、左メニューの管理 » ユーザーとグループを選択します。
   
   
   
8.  + ユーザーまたはグループの追加をクリックします。
   
   
   
   
9. 選択されていません の部分をクリックしてユーザーもしくはグループを割り当てます。
   ※検索で追加するユーザーグループを検索し、該当グループにチェックを入れ、選択します。
   
   
   
   
   
   登録した各々のオブジェクトをクリックし、表示されたオブジェクトIDを控えておきます。
   
   
   
   
10. 続いて、左メニューの管理 » シングルサインオン ≫ SAMLを順に選択します。
    
    
11. 基本的なSAML構成の編集をクリックします。
    
    
12. 識別子の追加をクリックし、[1]でコピーしたentity_idを入力します。また、応答URLの追加をクリックし、[1]でコピーしたauthorized_domainの後ろに続けて/saml2/idpresponseを追加したURLを入力します（例えば、authorized_domainがhttps://quollio.comであれば、https://quollio.com/saml2/idpresponseが入力URLとなります）。設定後、保存をします。
    
    
13. シングルサインオンの設定画面で、属性とクレームの編集をクリックします。属性とクレームの編集画面で、＋ グループ要求を追加するをクリックします。グループ クレームの設定で、すべてのグループにチェック、ソース属性をグループIDとして保存します。
    
    
    ここで表示されたクレーム名のURLを控えておきます。必要なクレーム名の情報は、 値がuser.groups、user.mail、user.givenname、user.surnameの4つです。
    

    ※ユーザーの属するグループ数が多い場合、シングルサインオン時にエラーになることがあります。必要な情報のみ QDIC に連携されるよう、グループクレームの設定を保存する前に、詳細オプションからグループのフィルターにチェックを入れ、照合する属性を表示名にし、[2] 9)で設定したグループの文字列のみを含むように絞り込みを行うことをお勧めします。

    例えば、QDICにSSO連携するユーザーグループ名に「QUOLLIO」といった共通ワードを入れてグループを作成していた場合、「QUOLLIO」の文字列でフィルターする、という設定をします。
    
    

    
14. シングルサインオンの設定画面で、SAML証明書の項目にあるアプリのフェデレーションメタデータURLを控えておきます。（もしくは、フェデレーションメタデータXMLをダウンロードしてください。）
    
    

[3] QDIC の操作

1. QDICに管理者としてログインし、設定 ≫ 組織管理 ≫ SSO設定に移動します。
2. + 新規追加するをクリックします。
3. 基本情報、認証プロトコル、属性マッピングを設定します。
   • 基本情報
     プロバイダー名に任意の名称を入力します。
   • 認証プロトコル
     SAMLのメタデータURLに[2]14.でコピーしたフェデレーションメタデータ URLを入力します。
     
     
     
     
4. 続いて、属性マッピングに以下の値を入力します。
   

   属性	値
   email	[2]13.で控えたuser.mailのクレーム名
   family_name	[2]13.で控えたuser.surnameのクレーム名
   given_name	[2]13.で控えたuser.givennameのクレーム名
   groups	[2]13.で控えたuser.groupsのクレーム名

   ※ これらの値は、こちらに基づいています。

   

5. 新規作成するをクリックします。

1. 設定 ≫ 組織管理 ≫ ユーザーグループに移動します。
2. ＋グループを追加をクリックし、グループ名を入力します。
3. グループタイプを自動にし、プロバイダー名に[3]3.で設定した名称を選択します。
4. 関連するグループを選択されたグループにし、入力欄に、[2]9.で控えたオブジェクトIDを入力します。
5. 役割をデータスチュワードにします。
6. 新規作成するをクリックします。