SSO - Microsoft Entra IDがプロバイダーの場合 - 旧ドキュメント

  • 更新
フォローする

この機能を使用できるユーザー

admin-line.png
管理者・環境管理者

 

Microsoft Entra IDによるSAML認証

実施手順は、次の1〜4の順になります。

  1. Microsoft Entra ID の操作
    エンタープライズアプリケーションを作成し、ユーザーとグループの割り当てを行います。また、シングルサインオンの設定にて、フェデレーションメタデータ URL を取得します。
  2. QDIC の操作
    1. で取得したフェデレーションメタデータURLを入力し、SAML SSO の設定をすると、Entity ID とRedirect URL が表示されます。この時、groups属性は設定しません(4. で設定します)。
  3. Microsoft Entra ID の操作
    SAML 設定画面にて、2. で取得した Entity ID と Redirect URL を入力します。また、Group のクレームを追加します。
  4. QDIC の操作
    groups 属性の設定を行います。

[1] Microsoft Entra ID の操作

  1. 管理者権限にて、Azure ポータルにログインします。
  2. Azure サービスの中の、 Microsoft Entra ID を選択します。
    01
  3. 左メニューの管理にある エンタープライズ アプリケーション を選択します。
    02
  4.  + 新しいアプリケーション を押します。
    03
  5.  + 独自のアプリケーションの作成 を押します。
    04
  6. 下記設定後、作成 を押します。
    • アプリの名前
    • ギャラリーに見つからないその他のアプリケーションを統合します にチェック
      05
  7. 作成したアプリケーションに移動し、左メニューの管理から ユーザーとグループ を選択します。
    06
  8.  + ユーザーまたはグループの追加 をクリックします。
    07
  9. 選択されていません の部分をクリックしてユーザーもしくはグループを割り当てます。
    08
    ※ 例えば、管理者用のグループ、(メタデータ)編集者用のグループ、その他のユーザー(閲覧者)用のグループ、を割り当てます。
    09
    登録した各々のオブジェクトをクリックし、表示された オブジェクトID を控えておきます。
  10. 続いて、左メニューの管理から シングルサインオンSAML を順に選択します。
    10
  11. アプリのフェデレーションメタデータURL をコピーして控えておきます。
    11

[2] QDIC の操作

  1. QDIC に管理者権限のユーザーでログインします。
  2. 設定画面の 組織管理 にある SSO 設定 に移動します。
    12
  3. + 新規追加する をクリックします。
  4. 基本情報、認証プロトコル、属性マッピングを設定します。
    • 基本情報
      プロバイダー名に任意の名称を入力します。
    • 認証プロトコル
      SAML のメタデータURLに[1]11. でコピーした フェデレーションメタデータ URL を入力します。
      13
  5. 続いて、属性マッピングに以下の値を入力します。
    属性
    email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    family_name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
    given_name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    ※ これらの値は、こちらに基づいています。
    14

  6. 設定したプロバイダー名を選択し、SSO 設定詳細にある entity_idredirect_url を控えておきます。
    16

[3] Microsoft Entra ID の操作

  1. [1]で作成した Microsoft Entra ID のエンタープライズアプリケーションにて、左メニューの管理にある シングルサインオン を選択します。
  2. 基本的なSAML構成にて 編集 を押します。
  3. 識別子(エンティティID)応答 URL(Assertion Consumer Service URL)にそれぞれ[2]7. で控えた entity_idredirect_url を追加し、保存 を押します。
    18
    ※ 以上の設定で、QDIC のログイン画面にて、<プロバイダー名>からログイン を押すと、すべてのユーザーが閲覧者(Viewer)としてログイン可能となります。
    ※ 以下、[1]9. でグループオブジェクトを利用する場合の手順となります。
  4. 属性とクレームにて 編集 を押します。
  5. + グループ要求を追加する を押します。
  6. すべてのグループ を指定して 保存 します。※ 下記の囲みを参照
  7. 追加の要求欄に表示されたグループの クレーム名 を控えておきます。

ユーザーの属するグループ数が多い場合(具体的には QDIC へ送信される属性の値が2024文字を超える場合)、シングルサインオン時にエラーとなる場合があります。必要な情報のみ QDIC に連携されるよう、6. の手順で保存する前に、詳細オプション から グループのフィルター にチェックを入れ、表示名を[1] 9)で設定したグループの文字列のみを含むように絞り込みを行うことをお勧めします。

例えば、管理者・編集者用のグループ名に「Quollio」といった共通ワードを入れてグループを作成していた場合、「Quollio」の文字列でフィルターする、という設定をします。

[4] QDIC での操作

  1. 設定の SSO 設定 の画面にて、作成したプロバイダー名を選択します。
  2. 属性マッピングの groups に、[3]7. で控えたクレーム名を入力します。
  3. 設定の ユーザーグループ の画面にて、該当のユーザーグループを選択します(ない場合は、新規作成)。
  4. グループタイプ の項目で、関連するグループを 選択されたグループ にし、[1]9. でコピーした管理者用のオブジェクトIDを入力します。
  5. 役割 の項目で、管理者 にチェックを入れます。
  6. 画面下の 保存 を押します。

※ [1]9. でコピーした編集者用のオブジェクトID についても同様に別のユーザーグループを作成して設定してください。

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています

関連記事