8.4. oAuth: Microsoft Azure AD

Ericom Connect の oAuth 機能は、Microsoft Azure AD をサポートしています。Azure でアプリケーションを公開するには、Azure サブスクリプションに対するグローバル管理者権限が必要です。

まず、グローバル管理者の資格情報を使用して Azure Portal にログインします。 例: https://portal.azure.com/#dashboard/private/<ドメイン名>

8.4.1. 新しいアプリケーションを登録する

次に、「Azure アクティブディレクトリ」|「アプリの登録」|「新しいアプリケーションの登録」に移動してアプリケーションを作成します。 新しいアプリケーションの名前 (例: EricomOAuth) を入力し、デフォルトの [Web アプリ] を選択したままにします。Ericom シングル・サインオン URL を入力します

(次のようになります: https://<アドレス>/ericomxml/accesssso/accessnowsso_oauth.htm)。

../_images/oauthazuread01.jpg

[作成] をクリックします。

アプリケーションが作成されたら、「設定」|「必要なアクセス許可」| API: 「Windows Azure Active Directory」 API に移動して必要な権限を付与する必要があります。テスト目的では、追加のアクセス許可は必要ありません。

../_images/oauthazuread02.jpg

../_images/oauthazuread03.jpg

最後に、「設定」|「必要なアクセス許可」に移動し、[権限の付与](Grant Permissions) をクリックします。ダイアログが表示されたら、権限の付与を確認します。

../_images/oauthazuread04.jpg

8.4.2. セキュリティキーを生成する

「キー」を選択し、「説明」にテキストを入力します。有効期限を「期限なし」(never expires)に変更してから [保存] をクリックします。

../_images/oauthazuread05.jpg

設定を保存すると、警告通知が表示されます。パスワードの値は後で表示されないため、この時点でコピーしてください。これは後で「created-application-client-secret-password-value」として使用されます。

また、Application ID も後で必要になるため、コピーしてください(これは「created-application-client-id」として使用されます)。

../_images/oauthazuread06.jpg

このアプリケーションを他の URL で使用する場合は、「返信 URL を設定する」に進み、追加の URL を入力します。

注意

Azure のURL は 大文字と小文字が区別されます。すべての返信 URL を小文字にすることを検討してください。

追加のユーザを割り当てるには、「Azure Active Directory」|「エンタープライズアプリケーション」 に移動し、さきほど作成したアプリケーションを選択します。

../_images/oauthazuread07.jpg

[ユーザーとグループ] を選択し、[グループの追加] または [ユーザーの追加] をクリックします。

../_images/oauthazuread08.jpg

割り当てるユーザまたはグループを選択し、[選択] および [割り当て] をクリックして確定します。参照用に、割り当てたユーザ/グループを控えておいてください。

8.4.3. Ericom Connect の構成

フィールド 説明 値/例
Allow Authentication With oAuth oAuth を使用した SSO が有効 True
OAuth Endpoint oAuth プロバイダのエンドポイント <サンプル> https://login.microsoftonline.com/<Azure サブスクリプションのドメイン>/oauth2/token
OAuth Username Claim oAuth ユーザ名クレーム unique_name
OAuth Client Id プロバイダで作成された SSO アプリのクライアント ID <クライアント ID を入力>
OAuth Client Secret プロバイダで作成された SSO アプリのクライアント・シークレット <クライアント・シークレットを入力>
Sso Smart Card Creation User 証明書を登録可能なドメイン・ユーザ <サンプル> sso-admin@test.com
Sso Smart Card Creation Password 証明書を登録可能なドメイン・ユーザのパスワード <パスワードを入力>
Enrollment Agent Certificate Template Active Directory で作成された登録エージェント証明書テンプレートの名前。 EricomEnrollmentAgent
Smartcard Logon Certificate Template Active Directory で作成されたスマートカード・ログオン証明書テンプレートの名前。 EricomSmartcardLogon

コマンドラインでの構成の例

// Azure 用の oAuth 構成スクリプトの例の開始
tenantconfig AuthenticateWithOauthEnabled=true
tenantconfig SsoSmartCardCreationUser=<SSO 管理サービス・アカウント>
tenantconfig SsoSmartCardCreationPassword =<SSO管理サービス・アカウントのパスワード>
tenantconfig SsoOAuthEndpoint=https://login.microsoftonline.com/<Azure サブスクリプションのドメイン>/oauth2/token
tenantconfig SsoOAuthUsernameClaim=unique_name
tenantconfig SsoOAuthClientId=<作成されたアプリケーションのクライアント ID>
tenantconfig SsoOAuthClientSecret=<作成されたアプリケーションのクライアント・シークレットのパスワード値>
tenantconfig SsoEnrollmentAgentTemplateName=SSOEnrollmentAgent
tenantconfig SsoSmartcardLogonTemplateName=SSOSmartcardLogon
// 以下は、すべての RDP ホストで使用するために NLA ユーザの使用を設定する>
remotehostconfig tenant NlaUserForSSO=<NLA ユーザ名>
remotehostconfig tenant NlaPasswordForSSO=<NLA ユーザのパスワード>
// 構成スクリプトの例の終了