8.8. SAML: Microsoft Azure AD

8.8.1. 概要

Ericom Connectの SAML 機能は、Microsoft AzureAD をサポートしています。Azure でアプリケーションを公開するには、Azure サブスクリプションに対するグローバル管理者権限が必要です。SAML アプリケーションを作成するには、Azure ActiveDirectory のPremium P2 アカウントも必要です。

グローバル管理者の資格情報を使用して Azure Portal にログインします。

例: https://portal.azure.com/#dashboard/private/<domain-name>

8.8.2. 新しい SSO アプリケーションの作成

まず、「Azure Active Directory」 に移動し、次に「Enterprise applications」(エンタープライズ・アプリケーション)に移動します。

../_images/oauthsamlokta01.jpg

「New application」(新しいアプリケーション)を選択します。

../_images/oauthsamlokta02.jpg

「Non-gallery application」(非ギャラリー・アプリケーション)を選択します:

../_images/oauthsamlokta03.jpg

アプリケーション名を入力し、「Add」(追加)をクリックします。

../_images/oauthsamlokta04.jpg

アプリケーションが正常に作成されたら、「Single sign-on」(シングルサインオン)を選択します。

../_images/oauthsamlokta05.jpg

サインオン方法として、「SAML」を選択します。

../_images/oauthsamlokta06.jpg

「Edit」(編集)(ペンアイコン)をクリックして、基本的な SAML 設定を編集します。

../_images/oauthsamlokta07.jpg

「Identifier」(識別子)(エンティティID)と「Reply URL」(返信 URL)(https://[サーバ名]/ericomxml/AccessNowSsoSAMLExternal.aspx)を入力し、「Reply URL(返信URL)(以下の例を参照)を入力し、「Save and Close」(保存して閉じる)をクリックします。

../_images/oauthsamlokta08_2.jpg

注意

応答 URL の例では、カスタムポート「500」を使用しています。

推奨: アプリケーションのセルフテストを実行するには、リレー状態アドレスにも応答 URL の値を入力します。

アプリケーションへのユーザの割り当て

「Users and groups」(ユーザとグループ)をクリックして、「Add user」(ユーザの追加)をクリックします。

../_images/oauthsamlokta09.jpg

割り当てるユーザまたはグループを選択し、「Select」(選択)と「Assign」(割り当て)を選択して確認します。

SAML SSO のテスト

「Single sign-on」タブに戻り、アプリケーションの「Test single sign-on」(シングルサインオンをテストする)ボックスを見つけます。

「Test」(テスト)をクリックして、成功したことを確認します。

../_images/oauthsamlokta10.jpg

このアプリケーションを使用するように割り当てられているユーザを選択し、新しく作成した SAML アプリケーションをテストします。

../_images/oauthsamlokta13.jpg

サインインが成功したかどうかを示すメッセージが表示されます。 エラーが表示された場合は、アプリケーションの設定を再確認するか、アプリケーションを再作成してみてください。

設定値の取得

Ericom Connect の設定に使用するために、新しく作成されたアプリケーションから必要な値を取得します。

SAML エンドポイント: 「Properties」(プロパティ)タブで、ユーザ・アクセス URL の値をコピーします。この値を使用して、SAML エンドポイントを設定します。

../_images/oauthsamlokta11.jpg

SAML エンドポイントの例 (実際にこれを使用しないでください):

https://myapps.microsoft.com/signin/SamlSSO/1a2b3c4d-3b68-462a-bdd7-fe1e16ab9447

SAML メタデータ: 「Single sign-on」タブで、メタデータの URL を見つけます。

../_images/oauthsamlokta12.jpg

この URL にブラウザでアクセスすると、XML ドキュメントが表示されます。

タグ「ds: X509Certificate」を見つけ、このタグの値をコピーします(この値はエンコードされた文字列です)。

このエンコードされた文字列を使用して、SAML メタデータを設定します。

8.8.3. Ericom Connect の設定

これらの設定は、Ericom Connect 管理コンソールの「構成 | 設定 | セカンダリ/テナント設定」で構成されます。

フィールド 値/例
Allow Authentication With SAML True
SAML Endpoint <サンプル> https://myapps.microsoft.com/signin/SamlSSO/1a2b3c4d-3b68-462a-bdd7-fe1e16ab9447
SAML Metadata <サンプル> abcabcabc
SAML Decrypt certificate [オプション]
SAML Username claim [オプション]
Sso Smart Card Creation User <サンプル> sso-admin@test.com
Sso Smart Card Creation Password <パスワードを入力>
Enrollment Agent Certificate Template EricomEnrollmentAgent
Smartcard Logon Certificate Template EricomSmartcardLogon