Integrating Single Sign-on (SSO) Authentication with DAI
DAIには、ユーザー認証と資産の権限管理を行うためにKeycloakが含まれています。DAI 7.1からは、Keycloakを構成して、企業のアイデンティティおよびアクセス管理プロバイダを使用したシングルサインオン(SSO)を有効にすることができます。これにより、ユーザーは1つの��資格情報セットを使用して、DAIを含む複数のシステムにログインできます。
DAIは、以下のアイデンティティプロバイダとのSSO統合をサポートしています:
- Microsoft Active Directory Federation Service (ADFS) は、OIDCおよびSAML v2のいずれかと統合できます。
- Microsoft Entra ID は、OIDCおよびSAML v2と統合できます。
SSOの構成方法は、アイデンティティプロバイダー(ADFSまたはAzure Entra ID)の構成とプロトコル(SAMLまたはOIDC)によって異なります。DAIインストールでSSOを有効にしたい場合は、テクニカルサクセスマネージャーまたはカスタマーサポートにご連絡ください。特定の構成に対応した構成ガイドを提供し、統合が成功するように一緒に取り組みます。
DAIでSSOを使用するとはどういう意味ですか?
DAIでSSOを有効にすると、以下のことができます:
-
1つの資格情報セットで1度ログインし、アイデンティティプロバイダー(ADFSまたはEntra ID)によって認証され、DAIを含む複数のシステムにアクセスできます。
-
一度ログアウトすると、DAIを含む複数のシステムから一度にログアウトできます。
-
DAIのロール(ユーザー、管理者、閲覧者)をアイデンティティプロバイダーで中央管理できます。たとえば、Entra IDではアプリケーションロール、ADFSではセキュリティグループを使用できます。
-
アイデンティティプロバイダーで次のユーザー管理タスクを中央で管理します:
-
ユーザーの作成と編集
-
資格情報の管理とマルチファクタ認証の設定
-
KeycloakでSSOを有効にし、アイデンティティプロバイダーでユーザーを管理すると、DAIのアクセスおよび�マイアカウントのユーザー管理オプションが無効になります。
ユーザーに役割を割り当てる
既存のDAIインストールにSSOを統合することができます。SSO統合には、既存のDAIユーザーを対応するアイデンティティプロバイダーのユーザーアカウントと結びつける機能が含まれています。このアカウントの関連付けにより、ユーザーのモデルへのアクセスなどの資産権限が維持されます。
設定
DAI 7.1.0以上をインストールした後に、SSOを有効にします。
以下は、アイデンティティプロバイダーとDAIでSSOを有効にする手順の概要です。
アイデンティティプロバイダーで:
-
アプリケーションを作成して構成します。
- Entra IDの場合: エンタープライズアプリケーションとアプリ登録を構成します。
- ADFSの場合: 信頼するパーティトラストまたはアプリケーショングループを構成します。
-
必要なクレームを構成するために、クレームマッピングを作成します。
- Entra ID OIDCのクレームマッピングの場合: オプションのクレームとOIDCパーミッションを構成します。
- Entra ID SAMLのクレームマッピングの場合: そのシングルサインオン構成内の属性とクレームを構成します。
- ADFSのクレームマッピングの場合: 発行変換ルールまたはクレーム発行ポリシーを構成します。
DAIのKeycloakで、以下のようにKeycloakにアイデンティティプロバイダー統合を追加します。KeycloakでSSOを有効にする詳細については、Keycloakドキュメントを参照してください。
-
入力クレームを処理するための入力クレームマッピングを作成します。
-
Keycloakのレルムを変更して、ユーザー管理タスクにSSO固有のテーマを使用します(上記のDAIでSSOを使用��するとはどういう意味ですか?に記載されています)。
-
DAIで認証フローを構成して、SSOが唯一の認証オプションとなるようにします。
上記のタスクの構成は、DAI Keycloakで完全に自動化されており(提供するコマンドラインツールを使用)、アイデンティティプロバイダーから抽出できるメタデータファイルに基づいて行われます。