8.7. SAML: Microsoft Azure AD

Ericom Connect の SAML 機能は、Microsoft Azure AD をサポートしています。Azure でアプリケーションを公開するには、Azure サブスクリプションに対するグローバル管理者権限が必要です。SAML アプリケーションを作成するには、Azure Active Directory Premium のアカウントも必要です。

グローバル管理者の資格情報を使用して Azure Portal にログインします。

例: https://portal.azure.com/#dashboard/private/<ドメイン名>

8.7.1. 新しい SSO アプリケーションを作成する

まず Azure Active Directory に移動し、エンタープライズアプリケーションに進みます。

../_images/oauthsamlokta01.jpg

新しいアプリケーションを選択します。

../_images/oauthsamlokta02.jpg

[ギャラリー以外のアプリケーション] を選択します:

../_images/oauthsamlokta03.jpg

アプリケーションの名前を入力し、[追加] をクリックします。

../_images/oauthsamlokta04.jpg

アプリケーションが正常に作成されたら、[シングルサインオン] を選択します。

../_images/oauthsamlokta05.jpg

サインオン方式として [SAML] を選択します。

../_images/oauthsamlokta06.jpg

[編集](ペンアイコン)をクリックして、基本的な SAML 設定を編集します。

../_images/oauthsamlokta07.jpg

アイデンティティ ID と URL を指定し(以下の例を参照)、[保存して閉じる] をクリックします。

../_images/oauthsamlokta08.jpg

ユーザにアプリケーションを割り当てる

[ユーザーとグループ] をクリックした後、[ユーザーの追加] をクリックします。

../_images/oauthsamlokta09.jpg

割り当てるユーザまたはグループを選択し、[選択] および [割り当て] をクリックして確定します。

SAML SSO をテストする

[シングルサインオン] タブに戻り、[アプリケーションでシングル・サインオンをテストする] ボックスを見つけます。

[テスト] をクリックして、成功したことを確認します。

../_images/oauthsamlokta10.jpg

設定値を取得する

Ericom Connect の設定に使用するために、新しく作成したアプリケーションから必要な値を取得します。

SAML エンドポイント: [プロパティ] タブで、[ユーザーアクセス URL] の値をコピーします。この値を使用して、SAML エンドポイントを設定します。

../_images/oauthsamlokta11.jpg

SAML エンドポイントの例 (これは実際に使用しないでください):

https://myapps.microsoft.com/signin/SamlSSO/1a2b3c4d-3b68-462a-bdd7-fe1e16ab9447

SAML メタデータ: [シングルサインオン] タブで、メタデータの URL を見つけます。

../_images/oauthsamlokta12.jpg

この URL を参照すると、XML ドキュメントが表示されます。

タグ「ds: X509Certificate」を検索し、このタグの値をコピーします(これはエンコードされた文字列です)。

このエンコードされた文字列を使用して、SAML メタデータを設定します。

8.7.2. Ericom Connect の構成

フィールド 説明 値/例
Allow Authentication With SAML SAML を使用した SSO が有効 True
SAML Endpoint SAML プロバイダのアサーション・エンドポイント <サンプル> https://myapps.microsoft.com/signin/SamlSSO/1a2b3c4d-3b68-462a-bdd7-fe1e16ab9447
SAML Metadata SAML プロバイダによって定義された SAML X509 証明書 <サンプル> abcabcabc
SAML Decrypt certificate SAML プロバイダによって定義された SAML 復号化証明書 [オプション]
SAML Username claim アプリケーションがユーザ名を見つけることができる SAML アサーション内のノード。SAML プロバイダごとに変更される可能性があります。 [オプション]
Sso Smart Card Creation User 証明書を登録可能なドメイン・ユーザ <サンプル> sso-admin@test.com
Sso Smart Card Creation Password 証明書を登録可能なドメイン・ユーザのパスワード <パスワードを入力>
Enrollment Agent Certificate Template Active Directory で作成された登録エージェント証明書テンプレートの名前。 EricomEnrollmentAgent
Smartcard Logon Certificate Template Active Directory で作成されたスマートカード・ログオン証明書テンプレートの名前。 EricomSmartcardLogon