You can read this article in English (英語版はこちらから)
概要
このユーザーガイドでは、Azure AD で IdP Initiated SAML SSO を有効にする方法を説明します。このガイドでは、Azure AD を設定し、必要な情報を Dubber のサポートチーム(support@dubber.net)に送信する方法を説明します。
Azure SSOの設定
SSOの設定をするには、Azure 環境にアクセスしてエンタープライズアプリケーションを作成し、シングルサインオンを使用するオプションを選択します。
「ホーム」画面で、「Azure Active Directory」ボタンをクリックします。
Azure Active Directory の「概要」画面が表示されます。
左のメニューから、「Enterprise applications」をクリックします。
「Enterprise Applications」画面では、既存のアプリケーションをすべて一覧表示します。
「New application (新しいアプリケーション)」ボタンをクリックします。
Browse Azure AD Gallery 画面が表示されます。
アプリケーションを作成する
「アプリケーションを作成する」をクリックします。
画面右側に「Create your own application」フォームが表示されます。
「入力名」欄には、アプリケーションの名前を指定します。
「ギャラリーで見つからない他のアプリケーションを統合する(Non-gallery)」を選択し、「作成」ボタンをクリックします。
アプリケーションが作成されると、Azureは "概要 "画面を表示します。
「入門編」の「シングルサインオンを設定する」から「始める」をクリックします。
「シングルサインオン」画面が表示されます。
「シングルサインオン方式の選択」で、「SAML」をクリックします。
「SAMLベースのサインオン」画面が表示されます。
SAMLの基本設定
「SAML 基本設定」セクションで、「編集」ボタンをクリックします。
画面右側に、"Basic SAML Configuration "フォームが開きます。
「識別子の追加」をクリックします。Add identifier "欄に、"Identifier (Entity ID) "を指定します。
「Add reply URL」 をクリックします。「Add reply URL」フィールドで、「Reply URL (Assertion Consumer Service URL)」を指定します。
これらの値は、接続する地域によって異なります。こちらに表示されている値をそのまま使用してください。
地域 |
識別子(Entity ID) |
返信用URL |
AU |
||
CA |
||
JP |
||
US |
||
UK |
||
UK1 |
||
EU |
||
SG |
||
Sandbox |
例)
「保存」ボタンをクリックします。
ユーザー属性
「属性・請求項」の項目で、「編集」ボタンをクリックします。
「属性と請求」画面が開きます。
「Required Claim」欄で、請求名をクリックする。
「請求の管理」画面が表示されます。
Name identifier format をEmailに設定します。Source attribute を "user.mail "などのEメール形式に設定します。「Unspecified」にも対応していますが、DubberではアカウントレベルのSSO認証にメールアドレスを使用することを推奨しています。
電子メールが小文字で保存されていない場合、小文字に変換する変換ルールを追加します。Transformationオプションをクリックして "Manage transformation" パネルを開きます。Transformation メニューから "ToLowercase()" を選択し、"Parameter 1" メニューから "user.mail" を選択します。「追加」ボタンをクリックします。
メールが小文字で保存されていない場合は、小文字に変換する変換ルールを追加してください。
Dubberは、given name, principal name, surnameなどの追加属性やクレームをサポートしていないことに注意してください。
Save ボタンをクリックし、"Attributes and Claims" ウィンドウに戻ります。
「Attributes and Claims」パネルを閉じ、「SAML-based Sign-on」画面に戻る。
SAML署名証明書
SAML Signing Certificate" セクションまでスクロールダウンし、"edit "ボタンをクリックします。
Dubber は、"Signing Option" メニューで 3 つの SAML 署名オプションをサポートしており、SAML レスポンスの署名方法を設定することができます。最も安全なオプションである "Sign SAML response and assertion" を選択することを推奨します。また署名オプションを選択した後は、変更しないことを推奨します。
「保存」ボタンをクリックし、このパネルを閉じると「SAMLベースのサインオン」画面に戻ります。
これでDubberのAzure ADの設定は完了です。
Dubber SSOの設定
Dubberの設定を完了するために、Azure AD MetaDataのURLまたはURLからダウンロードしたMetaDataファイルをDubberに送信します。また、DubberはSAMLレスポンス署名オプションにどのオプションを選択したかを知る必要があります。
サポートリクエストの発行
「SAML Signing Certificate」セクションで、「App Federation Metadata Url」フィールドの右側にある「C opy」ボタンをクリックします。
support@dubber.net 宛てにメールを作成し、URLを貼り付けます。これによりサポートリクエストが発行され、Dubber カスタマーサポートにてお客様のアカウントのSSOの実装を管理します。Dubberが必要な情報を受け取った後、設定を開始します。設定が完了すると、お客様に実装のテストが可能であることが通知されます。
ユーザーとグループの割り当て
アプリケーションにユーザーやグループを割り当てるには、左の「管理」メニューから、「ユーザーとグループ」をクリックします。
「ユーザーとグループ」画面で、「ユーザー/グループを追加する」ボタンをクリックします。
「割り当ての追加」画面が表示されます。
注意点としては、プランレベルでグループを許可している場合、アプリケーションにグループまたはユーザーを割り当てることができることです。無料プランの場合、ユーザーを割り当てることはできますが、グループを割り当てることはできません。
この例では、ユーザーを割り当てる方法を示しています。グループを割り当てる手順も同様です。
「None Selected」をクリックします。
画面右側に「ユーザー」パネルが表示されます。
リスト内のユーザーをクリックし、「選択」ボタンをクリックします。
「割り当ての追加」画面が更新され、「1人のユーザーを選択しました」と表示されます。
「割り当て」ボタンをクリックします。
「ユーザーとグループ」画面のリストが更新されます。割り当てたユーザーまたはグループが含まれるようになりました。
SSO の強制
設定が完了したら、お客様はユーザーに SSO を強制的に使用させることができます。この作業は、アカウント管理者のみが行えます。
Dubber ポータルにログインして、「アカウント」メニューオプションを選択します。
「マイアカウント」から、「人」タブに移動します。「 Force SSO All Users」を選択すると、すべてのユーザーにSSOの使用を強制し、Dubberポータルでの認証アクセスを無効にすることができます。
リストの各ユーザーの右側にあるのボタンを使って、個々のユーザーを強制的に解除することができます。
カスタマーアクセスURL
SSOが強制設定されているユーザーは、地域の公開URLを使用してDubberウェブポータルにアクセスすることができません。代わりに顧客のIdPにログインする必要があります。アプリケーションの "プロパティ "ページに移動し、"ユーザーアクセスURL "フィールドの横にある "コピー "ボタンをクリックします。この URL を Web ブラウザに貼り付けて、ユーザーの My Apps ページにアクセスします: https://myapps.microsoft.com/