8.8. SAML: Microsoft Azure AD¶
8.8.1. 概要¶
Ericom Connectの SAML 機能は、Microsoft AzureAD をサポートしています。Azure でアプリケーションを公開するには、Azure サブスクリプションに対するグローバル管理者権限が必要です。SAML アプリケーションを作成するには、Azure ActiveDirectory のPremium P2 アカウントも必要です。
グローバル管理者の資格情報を使用して Azure Portal にログインします。
例: https://portal.azure.com/#dashboard/private/<domain-name>
8.8.2. 新しい SSO アプリケーションの作成¶
まず、「Azure Active Directory」 に移動し、次に「Enterprise applications」(エンタープライズ・アプリケーション)に移動します。
「New application」(新しいアプリケーション)を選択します。
「Non-gallery application」(非ギャラリー・アプリケーション)を選択します:
アプリケーション名を入力し、「Add」(追加)をクリックします。
アプリケーションが正常に作成されたら、「Single sign-on」(シングルサインオン)を選択します。
サインオン方法として、「SAML」を選択します。
「Edit」(編集)(ペンアイコン)をクリックして、基本的な SAML 設定を編集します。
「Identifier」(識別子)(エンティティID)と「Reply URL」(返信 URL)(https://[サーバ名]/ericomxml/AccessNowSsoSAMLExternal.aspx)を入力し、「Reply URL(返信URL)(以下の例を参照)を入力し、「Save and Close」(保存して閉じる)をクリックします。
注意
応答 URL の例では、カスタムポート「500」を使用しています。
推奨: アプリケーションのセルフテストを実行するには、リレー状態アドレスにも応答 URL の値を入力します。
アプリケーションへのユーザの割り当て¶
「Users and groups」(ユーザとグループ)をクリックして、「Add user」(ユーザの追加)をクリックします。
割り当てるユーザまたはグループを選択し、「Select」(選択)と「Assign」(割り当て)を選択して確認します。
SAML SSO のテスト¶
「Single sign-on」タブに戻り、アプリケーションの「Test single sign-on」(シングルサインオンをテストする)ボックスを見つけます。
「Test」(テスト)をクリックして、成功したことを確認します。
このアプリケーションを使用するように割り当てられているユーザを選択し、新しく作成した SAML アプリケーションをテストします。
サインインが成功したかどうかを示すメッセージが表示されます。 エラーが表示された場合は、アプリケーションの設定を再確認するか、アプリケーションを再作成してみてください。
設定値の取得¶
Ericom Connect の設定に使用するために、新しく作成されたアプリケーションから必要な値を取得します。
SAML エンドポイント: 「Properties」(プロパティ)タブで、ユーザ・アクセス URL の値をコピーします。この値を使用して、SAML エンドポイントを設定します。
SAML エンドポイントの例 (実際にこれを使用しないでください):
https://myapps.microsoft.com/signin/SamlSSO/1a2b3c4d-3b68-462a-bdd7-fe1e16ab9447
SAML メタデータ: 「Single sign-on」タブで、メタデータの URL を見つけます。
この URL にブラウザでアクセスすると、XML ドキュメントが表示されます。
タグ「ds: X509Certificate」を見つけ、このタグの値をコピーします(この値はエンコードされた文字列です)。
このエンコードされた文字列を使用して、SAML メタデータを設定します。
8.8.3. Ericom Connect の設定¶
これらの設定は、Ericom Connect 管理コンソールの「構成 | 設定 | セカンダリ/テナント設定」で構成されます。
フィールド | 値/例 |
---|---|
Allow Authentication With SAML | True |
SAML Endpoint | <サンプル> https://myapps.microsoft.com/signin/SamlSSO/1a2b3c4d-3b68-462a-bdd7-fe1e16ab9447 |
SAML Metadata | <サンプル> abcabcabc |
SAML Decrypt certificate | [オプション] |
SAML Username claim | [オプション] |
Sso Smart Card Creation User | <サンプル> sso-admin@test.com |
Sso Smart Card Creation Password | <パスワードを入力> |
Enrollment Agent Certificate Template | EricomEnrollmentAgent |
Smartcard Logon Certificate Template | EricomSmartcardLogon |