DAI での SSO の検証
DAI インストールで SSO を有効にする手順を実行した後、実装が成功したかどうかを確認する方法がいくつかあります。次に、DAI によるシングル サインオン (SSO) が正しく機能していることを確認できるシナリオをいくつか示します。
- 初回ログイン
- 次回ログイン
- アカウントをリンク (オプション)
- ログアウト
- アカウントの詳細を表示
- アカウントの詳細を更新
- 管理者として DAI にアクセスする
初回ログイン
SSO を使用して DAI に初めてログインするときに、次のプロセスが発生することを確認します。
- DAI URL を入力します (たとえば、ブラウザにパスなしのドメイン
https://{dai_domain}
と入力します)。 - Entra ID にリダイレクトされ、ログインするように求められます (Entra ID の認証情報を使用)。正常にログインできるはずです。ユーザー名とパスワードの認証の代わりに、またはユーザー名とパスワードの認証に加えて、多要素認証の使用が求められる場合があることに注意してください。
- DAI にリダイレクトされます。
- DAI にアクセスできます。ログインの失敗はすべて Entra ID によって処理されます。最初のログインでは、Entra ID のユーザーにリンクされたユーザーが Keycloak に作成されます。これは Keycloak Admin Console で確認できます。または、View My Account Details または Access DAI as an Admin ワークフローに従うこともできます。これらのワークフローは Keycloak ユーザー レコードからデータを取得します。
次回ログンイ
初回ログイン で説明されているプロセスとまったく同じですが、少なくとも 1 回は DAI にログインしているユーザーで実行します。このユーザーに対して SSO が設定され、初回ログインから Keycloak にアカウントが存在するはずです。今回は、Keycloak Admin Console または DAI の Manage Users ページのいずれかで別の Keycloak ユーザーが作成されていないことを確認します。クレーム マッピングが適切に設定されていない場合、エラーが発生したり、重複したアカウントが作成されたりする可能性があります。
アカウント
新しい DAI システムをインストールする場合は、このアカウントリンク手順をスキップできます。
SSO を有効にする前に Keycloak に存在していた Entra ID ユーザーとしてログインすると、既存のアカウントにリンクするように求められることを確認します。プロセスは次のとおりです。
- ブラウザに DAI URL (たとえば、パスなしでドメインを入力
https://{dai_domain}
) を入力します。 - リダイレクトされ、Entra ID にログインするように求められます。
- リダイレクトされ、Entra ID にログインするように求められます。
- Keycloak 画面にリダイレクトされ、アカウントがすでに存在することが通知され、アカウントをリンクするオプションが提供されます。
- アカウントをリンクすることを選択した場合は、そのユーザーとして DAI にログインします。リンクした Keycloak ユーザーに特定のモデルへのアクセスが許可されていたり、特定のモデルを所有していたりする場合は、リンクされた Entra ID ユーザーとして引き続きそれらにアクセスでき るはずです。
ログアウト
DAI からログアウトできることを確認します。
- DAI から、[Logout] をクリックします。
- ログアウト中であることを通知する画面や、ブラウザを閉じることを推奨する確認ページが一時的に表示される場合があります。
- Entra ID が Keycloak にリダイレクトする場合、DAI はログイン画面にリダイレクトします。
アカウントの詳細を表示
アカウントの詳細が表示されていることを確認します。
- DAI にログインします (上記の 初回ログイン を参照)。
- System > My Account に移動します。SSO が有効になっている場合、マイ アカウント ページは読み取り専用になります。これは、DAI/Keycloak で行った変更は、次回 AD のデータでログインしたときに上書きされるためです。
アカウントの詳細を更新
このシナリオでは、Keycloak のユーザーのコピーを一時的に変更することで、Entra ID のユーザーの詳細の更新をシミュレートします。その後のログインでこの不一致が修正されるはずです。
DAI に少なくとも 1 回ログインしたユーザー アカウントで、アカウントの詳細を更新できることを確認します。
- Keycloak Admin Console から、ユーザーの詳細を編集します(たとえば、姓を変更します)。
- ログアウト
- 同じユーザーとして再度ログインします。
- System > My Account に移動します。
- 変更が元に戻されたことを確認します。
管理者として DAI にアクセスする
管理者ユーザーとして DAI にアクセスできることを確認します。
- 初回ログイン フローに従って、DAI 管理者権限を持つユーザーとしてログインしていることを確認します。同様のテストを実行して、DAI ユーザーまたは DAI ビューアのいずれかのロールで構成されたユーザーが DAI にアクセスするときに適切な権限を持っていることを確認できます。
- System > Access > Manage Users に移動します。ユーザーを管理できるのは管理者だけです。したがって、このページにアクセスできる場合は、正しいロールが割り当てられています。Manage Users 画面のロックダウン バージョンが表示され、ほとんどの操作が読み取り専用になります。
これで SSO 検証手順は完了です。