Entra IDとSAML v2を使用したDAIでのSSOの有効化

このページでは、Security Assertion Markup Language (SAML) v2 プロトコルを使用して、DAI と Microsoft Entra ID (旧称 "Azure AD") の間でシングル サインオン (SSO) を構成するために必要な手順について説明します。Entra IDとDAIの組み込みIDおよびアクセス管理プロバイダ(Keycloak) を相互に統合するように設定する方法について説明します。このプロセスに関連する手順の概要は、このページの右側にあるページメニューで確認できます。

Intended Audience: このトピックは、SSO 統合を検討している DAI 管理者を対象としています。

SSO と DAI を統合する利点の詳細については、シングル サインオン (SSO) と DAI の連携方法を参照してください。 SSO と DAI を統合する利点の詳細については、シングル サインオン (SSO) と DAI の連携方法を参照してください。

警告

このページでは、Keycloak の設定方法と Entra ID の設定方法の例を示します。すべての組織のID管理構成は異なり、構成の誤りは重大な結果をもたらす可能性があるため、最終的な設計と展開計画は独自の仕様に合わせる必要があります。Entra IDの設定がここに記載されている例と互換性がない場合は、お客様 Supportに連絡して、どのように支援できるかを確認してください。

前提条件

DAI を Entra ID と統合するには、環境が Entra ID、DAI、およびネットワーキングの次の前提条件を満たしている必要があります。

コンポーネント	要件
Entra ID	Components: -組織には、Microsoft Entra ID の設定に使用できる Microsoft Azure アカウントが必要です。
Users and Groups in Entra ID	- DAIにアクセスする必要があるユーザーは、Entra ID. にすでに存在している必要があります。- オプションで、Entra IDにグループを作成して、DAI管理者、ユーザー、およびビューアの役割を表すことができます。または、3. Create Application Roles を参照してください。
DAI	- Keycloak にローカルユーザーを含む既存の DAI インストールがある場合でも、SSO を有効にすることができます。Keycloak は、ユーザーの初回 SSO ログイン時に、これらのローカルアカウントに参加して SSO 統合ユーザーアカウントに変換できます。この方法でアカウントをリンクすると、ユーザーはどのモデルにもアクセスできなくなるため、有益です。ローカルのユーザー名が Entra ID のユーザー名と一致しない場合は、Keycloak を設定して一時的に許可するように変更できます。手順については、SSOのユーザー名の編集 を参照してください。Eggplant Cloudをお使いの場合は、弊社 お客様 Support までお問い合わせください。 - Entra IDには、SSO統合の確認に使用できるユーザーアカウント(DAI管理者アカウントを推奨)が少なくとも1つ必要です。このユーザーでDAIに正常にログインすると、SSO 統合が成功したことが確認されます DAIのインストールが Eggplant Cloud ではなくオンプレミス(「オンプレミス」)である場合は、次のことを行う必要があります。既存のシステムを構成する場合は、DAI を新しいバージョンにアップグレードする場合と同じ方法で DAI システムをバックアップしてください。DAIのバックアップについては、WindowsでのEggplant DAIのインストールまたはアップグレードを参照してください。これにより、統合中に予期しない事態が発生した場合に、ユーザーがデータにアクセスできなくなることがなくなります. - DAI 7.1以上がインストールされている必要があります。SSOの有効化は、DAIのインストール後に実行できる別のプロセスです。 - DAI は、Transport Layer Security (TLS) を使用するように設定する必要があります。TLS を使用するための DAI の設定については、高度なインストールの実行 を参照してください。Active Directory は、プレーンな HTTP を使用する DAI インストールと統合されません。
Network	- エンドユーザーのワークステーションは、Entra IDログイン画面とSAMLエンドポイントにアクセスできる必要があります - Entra ID は、ユーザーが 1 つのシステムからログアウトすると、他のシステムからもログアウトされるように、Keycloak に対して HTTPS 呼び出しを行うことができる必要があります。

Entra ID でのアプリケーション統合の設定

次の手順は、Entra ID で DAI のアプリケーション統合を設定するプロセスをまとめたものです。

1. Entra ID でアプリケーションを作成します

次の手順では、Entra ID でアプリケーションを作成する方法について説明します。Entra ID でのアプリケーションの作成の詳細については、「クイック スタート: Microsoft ID プラットフォームにアプリを登録する - Microsoft ID プラットフォーム を参照してください。

1. Entra IDで、Enterprise Applications を選択し、トップメニューから Create your own application をクリックします。

2. アプリケーション (DAI インスタンス) に関する情報を次のように入力します。

   フィールド名	値
   アプリの名前は何ですか?	この Enterprise Application に割り当てる任意の名前。これらの例では、アプリケーションに Eggplant Testという名前を使用しています。(以下の注を参照してください)。
   アプリケーションで何をしようとしていますか?	「ギャラリーにない他のアプリケーションを統合する (ギャラリー以外)」** を選択します。

   ノート

   Eggplant Test の複数のインスタンスを含む複雑なセットアップがある場合は、インスタンスを区別できる必要があります。たとえば、インスタンスの 1 つに Eggplant Test (production) という名前を付けて、他のインスタンスと区別します。

3. Create をクリックします。この新しいアプリケーションの詳細ページが開きます。

2. OIDC を使用して、アプリケーションを Entra ID で公開します

次に、次のように Entra ID でアプリケーションを構成し、SAML v2 プロトコルを使用して公開します。

1. 左側のナビゲーションメニューから「シングルサインオン」を選択します。

2. Change single sign-on mode > SAML を選択します。

3. 引き続き Single sign-on Basic SAML Configuration > Edit を選択し、次の情報を入力します。

   フィールド名	値
   識別子 (エンティティ ID)	https://<dai_domain>/auth/realms/egglant/<idp_alias> where: <dai_domain> は、DAI(およびKeycloak) がインストールされているドメインの名前です。 <idp_alias> は、DAI の Entra ID ID プロバイダー設定に割り当てられたエイリアス名です。これはまだ作成されていません。したがって、ここで何を選択するかを覚えておき、このプロセスの後半でDAIを設定するときにそれを使用する必要があります。この例では、「ad」という名前のエイリアスを示しています。
   応答URL(アサーションコンシューマサービス URL)	https://<dai_domain>/auth/realms/eggplant/broker/<idp_alias>/endpoint where: <dai_domain> と <idp_alias> は、上記の entity ID で定義されているものと同じです。 - 1つしかないため、Defaultチェックボックスについて心配する必要はありません。
   サインオンURL	不要
   リレーのstate	不要
   ログアウトURL	不要

SAML 証明書 を構成する

ノート

デフォルトでは、Entra ID はエンタープライズアプリケーションの作成時に Sign SAML Assertion にSHA-256証明書を作成するため、変更を加える必要はありません。

要求 の構成

次の手順に従って、要求を構成します。

1. Single sign-on セクションから、 Attributes & Claims を選択し、Edit を選択します。

2. Add new claim を選択し、次の情報を入力します。

   新しい請求フィールドを追加	値
   名前	'名前識別子'
   Namespace	http://schemas.xmlsoap.org/ws/2005/05/identity/claims
   名前識別子の形式	「未指定
   ソース	「属性」
   ソース属性	user.userprincipalname (Source Attribute ドロップダウンを使用して、ソース属性を選択します。これらを入力すると、AD は引用符で囲まれた文字列リテラルとして扱います。)
   連鎖条件	「修正する必要はない」
   高度な SAML 要求オプション > JWT トークンで要求を公開する	unchecked

3. Save をクリックします。

4. 上記の手順を繰り返して、次の表に示すように、同じソースと名前空間で、Name と Source Attributes が異なる要求をさらに作成します。

フィールド名	ソース属性
emailaddress	user.mail
givenname	user.givenname
name	user.userprincipalname
surname	user.surname

3. アプリの登録 {#3-configure-the-app-registration} を設定します

1. Entra IDランディングページに戻り、左側のナビゲーションメニューから App Registrations を選択します。

2. All applications を選択し、DAI 用に作成したアプリケーション (Eggplant Test など) を検索します。

3. アプリケーションが見つかったら、それをクリックして詳細を表示します。

4. マニフェストを修正するには、左側のナビゲーション メニューから マニフェスト を選択し、JSON で次の属性が追加または更新されていることを確認します。

    "accessTokenAcceptedVersion": 2
   
        "tags": [
           "WindowsAzureActiveDirectoryIntegratedApp",
           "WindowsAzureActiveDirectoryCustomSinglesSignOnApplication"
     ]

5. Save をクリックします。

4) アプリケーションロールの作成

次の手順では、Entra ID で DAI Viewer、User、および Administrator アプリケーション ロールを作成する方法について説明します。Entra ID でのアプリケーション ロールの作成の詳細については、「アプリ ロールを追加し、トークンから取得する - Microsoft ID プラットフォーム を参照してください。

1. Select App Roles from the left navigation and then select Create app role.

2. DAI Viewer ロールに関する情報を次のように入力します。

   フィールド名	値
   表示名	Eggplant Test - DAI Viewer (下記の注を参照)
   許可されるメンバーの種類	User/Groups
   値	dai_viewer
   説明	DAI ビューアは DAI で読み取り専用操作を実行できます。
   このアプリの役割を有効にしますか?	Yes (はい) (チェック済み)

   ノート

   ロール名に推奨される形式は、上記のように、アプリケーション名をプレフィックスとしてロール名を完全修飾することです(「Eggplant Test - DAI Viewer」)。

3. Apply をクリックします。

4. DAI User ロールを作成するプロセスを繰り返して、App Roles を選択し、次に Create app role を選択し、次の情報を入力します。

   フィールド名	値
   表示名	Eggplant Test - DAI User (Eggplantテスト-DAIユーザー)
   許可されるメンバーの種類	User/Groups
   値	dai_user
   説明	DAIユーザーは、DAIで管理機能を除くすべての機能を実行できます。
   このアプリの役割を有効にしますか?	Yes (はい) (チェック済み)

5. Apply をクリックします。

6. DAI Admin ロールを作成するプロセスを繰り返して、App Roles を選択し、次に Create app role を選択し、次の情報を入力します。

   フィールド名	値
   表示名	Eggplant Test - DAI Administrator (Eggplant DAIの管理)
   許可されるメンバーの種類	User/Groups
   値	dai_admin
   説明	DAI管理者は、管理機能を含むDAIへの完全なアクセス権を持っています。
   このアプリの役割を有効にしますか?	Yes (はい) (チェック済み)

7. Apply をクリックします。

5. このアプリケーションの認証の仕組みを設定する

DAI アプリケーションの認証の仕組みを設定します。

1. 左側のナビゲーションから、Authentication を選択します。

2. Redirect URI は既に事前入力されていますが、次の設定を行う必要があります。

   フィールド名	値
   フロントチャネルログアウトURL	これを https://<dai_domain>/logout に設定します。ここで、<dai_domain> は DAI がインストールされているドメインの名前です。
   Implicit grant and hybrid flows - アクセス トークン	unchecked
   暗黙的な許可フローとハイブリッド フロー - ID トークン	unchecked
   サポートされているアカウントの種類	環境に最も適したものを選択します。
   公開クライアントフローを許可する	No
   アプリ インスタンスのプロパティのロック	組織のポリシー要件に従って構成する

3. Save. をクリックします。

Keycloak でのアプリケーション統合の設定

Entra で DAI インスタンス (またはインスタンス) をアプリケーションとして設定したので、Keycloak (DAI の組み込み ID およびアクセス管理プロバイダー) でアプリケーション統合を設定する必要があります。

1. 入力データ

Keycloak を設定するには、次のものが必要です。

• Keycloak URL - これは https://<host>:<port>/auth/ の形式である必要があります (末尾のスラッシュに注意してください)、host と port は DAI のインストール時に定義された DAI サーバーのホスト名とポートです。

• DAI のインストール時に定義されたシステム管理者のユーザー名とパスワード (Keycloak 管理者のユーザー名とパスワードとも呼ばれます)。

• Entra IDの設定時に生成した以下の設定も必要です。

  • OIDC メタデータ JSON ペイロード (下記参照)

  • アプリケーションのエンティティ ID

2. Entra ID からOIDC Metadata Documentをエクスポートします

1. Entra ID内で、Enterprise Applications の下のアプリケーションに移動し、左側のナビゲーションからシングルサインオンを選択します。SAML Certificates で、App Federation Metadata URL の設定を見つけます。

2. その値をコピーし、この URL を使用して XML メタデータ ファイルをダウンロードして保存します。通常、URL の形式は次のとおりです。

   https://login.microsoftonline.com/{tenant_id}/federationmetadata/2007-06/federationmetadata.xml?appid={application_id}

3. このファイルをダウンロードして保存します。

   ノート

   このファイルをダウンロードして保存します。

2) Keycloakの設定

ノート

Eggplant Cloud をご利用の場合は、以下の手順を代行していただく必要があるため、当社の お客様 Support までご連絡ください。

KeycloakでSSOを有効にするには、identity_provider という名前の移行手順を実行し、KeycloakレルムでSSO統合を有効(または無効) にします。

この手順では、次の処理を行います。

• 指定したマニフェストファイルに基づいて、Keycloak で Identity Provider を作成および構成します。

• その Identity Provider をログインフローのデフォルトとして設定し、ユーザは常にそのプロバイダに転送されます。

• eggplantではなくeggplant_readonlyを使用するように Realm の Themes を設定します。これにより、Id プロバイダが提供するようになったパスワード管理などの機能が削除されます。

ステップ 1 - 環境変数 を設定する

set KC_ADMIN_USER=<keycloak_admin_user>
set KC_ADMIN_PASSWORD=<keycloak_admin_pwd>
set KEYCLOAK_URL=https://<dai_address>/auth/
set USE_LEGACY_INSTALLER=true

上記のスクリプトの <...> で囲まれた値を、次のように Id プロバイダーの値に置き換えます。

変数	説明
<keycloak_admin_user>	DAI のインストール時に設定したシステム管理者のユーザー名。これは、Keycloak ユーザー名とも呼ばれます。
<keycloak_admin_pwd>	DAI のインストール時に設定したシステム管理者のパスワード。
<dai_address>	ホスト名:DAIサーバーのポート(例: example.com:8080)。

警告

この方法でコマンドラインでパスワードとシークレットを設定するのは安全ではありません。機密性の高い環境変数は、代わりに組織の優先シークレットマネージャーを使用して初期化することをお勧めします。

手順 2 - スクリプト の実行

次の手順では、DAI をデフォルトの場所 (C:\Program Files\Digital Automation Intelligence) にインストールしたことを前提としています。DAI を別の場所にインストールした場合は、以下のスクリプトの既定のパスを DAI のインストール場所に置き換えてください。

次のスクリプトは、Windows コマンド シェル (cmd.exe) 用に記述されています。PowerShell から実行するには、キャレット(^)文字をバッククォート(`)文字に置き換える必要があります。

"C:\Program Files\Digital Automation Intelligence\python\tools\python.exe" ^
-m eggplant.iam.realm_mgmt ^
--init-file "C:\ProgramData\Eggplant\Digital Automation Intelligence\logs\keycloak\.keycloak_migration_config" ^
run ^
--procedure identity_provider ^
--realm <realm> ^
--vars IDP_ALIAS=<idp_alias> ^
--vars IDP_DISPLAY_NAME=<idp_display_name> ^
--vars IDP_METADATA_FILE=<idp_metadata_file> ^
--vars IDP_ROLE_SOURCE_CLAIM=http://schemas.microsoft.com/ws/2008/06/identity/claims/role ^
--vars IDP_PROTOCOL=saml ^
--vars IDP_PROVIDER_TYPE=saml ^
--vars IDP_ENTITY_ID=<entity_id>

上記のスクリプトの <...> で囲まれた値を、次のように Id プロバイダーの値に置き換えます。

用語	値
<realm>	通常は eggplant
<idp_alias>	このプロバイダのエイリアス名。これは、プロセスの前半で Entra ID を設定するために使用されたエイリアスです。
<idp_display_name>	この Entra ID 統合のフレンドリ名で、Keycloak 管理コンソールに表示されます。
<idp_metadata_file>	Entra ID からファイルにエクスポートされた OIDC JSON メタデータ ファイル。メタデータ ファイルへの絶対ファイル パスを使用することをお勧めします。
<entity_id>	Entra ID のエンティティ ID (「証明書利用者信頼 ID」とも呼ばれます)。

このプロシージャは、メッセージを JSON 形式でログに記録します。

• 手順が失敗すると、通常は 1 つ以上のスタック トレースを含む ERROR が表示されます。
• 成功した場合、最後のログエントリは、手順が正常に完了したことを示します。

エラーが発生した場合は、メッセージと結果のスタックトレースを確認してください。ご不明な点がございましたら、当社のお客様 Support までお問い合わせください。

この時点で、DAI SSO の統合は完了しているはずです。