Entra IDとOIDCを使用したDAIでのSSOの有効化

このページでは、OpenID Connect (OIDC) プロトコルを使用して、DAI と Microsoft Entra ID (旧称 "Azure AD") の間でシングル サインオン (SSO) を構成するために必要な手順について説明します。Entra IDとDAIの組み込みIDおよびアクセス管理プロバイダ(Keycloak) を相互に統合するように設定する方法について説明します。このプロセスに関連する手順の概要は、このページの右側にあるページメニューで確認できます。

Intended Audience: このトピックは、SSO 統合を検討している DAI 管理者を対象としています。

SSO と DAI を統合する利点の詳細については、「シングル サインオン (SSO) と DAI の連携方法」を参照してください。(./dai-sso-features.md)。 SSO と DAI を統合する利点の詳細については、「シングル サインオン (SSO) と DAI の連携方法」を参照してください。(./dai-sso-features.md)。

警告

このページでは、Keycloak の設定方法と Entra ID の設定方法の例を示します。すべての組織のID管理構成は異なり、構成の誤りは重大な結果をもたらす可能性があるため、最終的な設計と展開計画は独自の仕様に合わせる必要があります。Entra IDの設定がここに記載されている例と互換性がない場合は、お客様 Supportに連絡して、どのように支援できるかを確認してください。

前提条件

DAI を Entra ID と統合するには、環境が Entra ID、DAI、およびネットワーキングの次の前提条件を満たしている必要があります。

コンポーネント	要件
Entra ID	Components: 組織には、Microsoft Entra ID の設定に使用できる Microsoft Azure アカウントが必要です。 Users and Groups in Entra ID: - DAI にアクセスする必要があるユーザーは、Entra ID. にすでに存在している必要があります。- オプションで、Entra IDにグループを作成して、DAI管理者、ユーザー、およびビューアの役割を表すことができます。または、3. Create Application Roles を参照してください。
DAI	- Keycloakにローカルユーザーを含む既存のDAIインストールがある場合でも、SSOを有効にすることができます。Keycloak は、ユーザーの初回 SSO ログイン時に、これらのローカルアカウントに参加して SSO 統合ユーザーアカウントに変換できます。この方法でアカウントをリンクすると、ユーザーはどのモデルにもアクセスできなくなるため、有益です。ローカルのユーザー名が Entra ID のユーザー名と一致しない場合は、Keycloak を設定して一時的に許可するように変更できます。手順については、SSOのユーザー名の編集を参照してください。Eggplant Cloudをお使いの場合は、弊社お客様 Supportまでお問い合わせください。 - Entra IDには、SSO統合の確認に使用できるユーザーアカウント(DAI管理者アカウントを推奨)が少なくとも1つ必要です。このユーザーでDAIに正常にログインすると、SSO統合が成功したことが確認されます。 DAIのインストールがEggplant Cloudではなくオンプレミス(「オンプレミス」)である場合は、次のことが必要です
Network	- Eggplant Cloudを使用していない場合は、Entra IDが使用するように設定されているポート(通常は443) で、KeycloakがEntra IDに対してHTTPS呼び出しを実行できることを確認する必要があります。 - エンドユーザーのワークステーションは、Entra IDログイン画面とSAMLエンドポイントにアクセスできる必要があります * Entra IDは、ユーザーが1つのシステムからログアウトすると、他のシステムからもログアウトされるように、Keycloakに対してHTTPS呼び出しを行うことができる必要があります。

Entra ID でのアプリケーション統合の設定

次の手順は、Entra ID で DAI のアプリケーション統合を設定するプロセスをまとめたものです。

1. Entra ID でアプリケーションを作成します

次の手順では、Entra ID でアプリケーションを作成する方法について説明します。Entra ID でのアプリケーションの作成の詳細については、「クイック スタート: Microsoft ID プラットフォームにアプリを登録する - Microsoft ID プラットフォーム を参照してください。>

1. Entra IDで、Enterprise Applicationsを選択し、トップメニューからCreate your own applicationをクリックします。

2. アプリケーション (DAI インスタンス) に関する情報を次のように入力します。

   フィールド名	値
   アプリの名前は何ですか?	この Enterprise Application に割り当てる任意の名前。これらの例では、アプリケーションに Eggplant Test という名前を使用しています。(以下の注を参照してください)。
   アプリケーションで何をしようとしていますか?	Integrate any other application you don't find in the gallery (non-gallery). を選択します。

   注意点

   Eggplant Testの複数のインスタンスを含む複雑なセットアップがある場合は、インスタンスを区別できる必要があります。たとえば、インスタンスの 1 つに Eggplant Test (production) という名前を付けて、他のインスタンスと区別します。

3. Create をクリックします。この新しいアプリケーションの詳細ページが開きます。

2) アプリの登録を設定します

1. Entra IDランディングページに戻り、左側のナビゲーションメニューからApp Registrationsを選択します。

2. All applications を選択し、DAI 用に作成したアプリケーション (Eggplant Test など) を検索します。

3. アプリケーションが見つかったら、それをクリックして詳細を表示します。

4. マニフェストを修正するには、左側のナビゲーション メニューからManifestを選択し、JSON で次の属性が追加または更新されていることを確認します。

    "accessTokenAcceptedVersion": 2
   
        "tags": [
           "WindowsAzureActiveDirectoryIntegratedApp"
     ]

5. Click Save.

3) アプリケーションロールの作成

次の手順では、Entra ID で DAI Viewer、User、および Administrator アプリケーション ロールを作成する方法について説明します。Entra ID でのアプリケーション ロールの作成の詳細については、アプリ ロールを追加し、トークンから取得する - Microsoft ID プラットフォーム を参照してください。

1. Select App Roles from the left navigation and then select Create app role.

2. DAI Viewer ロールに関する情報を次のように入力します。

   フィールド名	値
   Display name	Eggplant Test - DAI Viewer (see note below)
   許可されるメンバーの種類	User/Groups
   説明	DAI ビューアは DAI で読み取り専用操作を実行できます。
   このアプリの役割を有効にしますか?	Yes(チェック済み)

   注記

   ロール名に推奨される形式は、上記のように、アプリケーション名をプレフィックスとしてロール名を完全修飾することです(「Eggplant Test - DAI Viewer」)。

3. Apply をクリックします。

4. DAI User ロールを作成するプロセスを繰り返して、App Roles を選択し、次に Create app role を選択し、次の情報を入力します。

   フィールド名	値
   表示名	Eggplantテスト-DAIユーザー。
   許可されるメンバーの種類	User/Groups
   値	dai_user
   説明	DAIユーザーは、DAIで管理機能を除くすべての機能を実行できます。」
   このアプリの役割を有効にしますか?	Yes (チェック済み)

5. Apply をクリックします。

6. DAI User ロールを作成するプロセスを繰り返して、App Roles を選択し、次に Create app role を選択し、次の情報を入力します。

   フィールド名	値
   表示名	Eggplant DAIの管理.
   許可されるメンバーの種類	User/Groups
   値	dai_admin
   説明	DAI管理者は、管理機能を含むDAIへの完全なアクセス権を持っています。
   このアプリの役割を有効にしますか?	はい (チェック済み)

7. Applyをクリックします。

4) OIDC を使用して、アプリケーションを Entra ID で公開します

OpenID Connect (OIDC) プロトコルを使用して Entra ID でアプリケーションを公開するには:

1. 左側のナビゲーション メニューからExpose an APIを選択し、Application ID のEdit を選択します。

2. 次のようにフォームに記入します。

   フィールド名	値
   アプリケーション ID URI	任意の一意の URI (例: api://eggplant-test (以下の注を参照)

3. Saveをクリックします。

   注記

   「api://」スキームの使用をお勧めします。「https://」を使用することもできますが、アプリケーションのリダイレクトURIとアプリケーションIDが同じドメイン上にない場合、問題が発生する可能性があります。

4. 引き続き Expose an API セクションで、 Add a Scopeを選択し、次のようにスコープを定義します。

   フィールド名	値
   スクリプト名	eggplant-test
   誰が同意できますか?	ユーザーがこのアプリケーションへのアクセスに同意することを許可するかどうかに応じて、どちらのオプションも選択できます。
   管理者の同意の表示名	Eggplant Test へのアクセスを許可する
   管理者の同意の説明	「サインインしたユーザーにEggplant Testアプリケーションへのアクセスを許可する
   管理者の同意の表示名	Eggplant Testへのアクセスを許可する
   ユーザーの同意に関する記述	Eggplant Testアプリケーションへのアクセスを許可する
   State	Enabled

5. Click Add Scope.

要求 {#configure-claims} の構成

次の手順に従って、要求を構成します。

1. 左側のナビゲーション メニューから [トークン構成] を選択し、Add optional claimを選択します。

2. トークンの種類 IDを選択します。

3. Select upn and click Add.

5) クライアントシークレット を作成します

1. 左側のナビゲーション メニューから Certificates and Secretsを選択し、New client secretを選択します。

   フィールド名	値
   説明	シークレットの説明を入力します。
   有効 期限	シークレットには、組織のポリシーに基づいて有効期限を設定します。DAI 統合が引き続き機能するように、このシークレットの有効期限が切れる前に新しいシークレットを生成してください。

2. Addをクリックします。

警告

新しいシークレットの値を必ずメモしておいてください。これが見える唯一の時間です。

6. このアプリケーションの認証の仕組みを設定する

1. 左側のナビゲーションから、Authentication を選択します。

2. Ridirect URI は既に事前入力されていますが、次の設定を行う必要があります。

   フィールド名	値
   フロントチャネルログアウトURL	これを https://<dai_domain>/logout に設定します。ここで、<dai_domain>は DAI がインストールされているドメインの名前です。
   Implicit grant and hybrid flows - アクセス トークン	unchecked
   暗黙的な許可フローとハイブリッド フロー - ID トークン	unchecked
   サポートされているアカウントの種類	環境に最も適したものを選択します。
   公開クライアントフローを許可する	No
   アプリ インスタンスのプロパティのロック	組織のポリシー要件に従って構成する

3. Saveをクリックします。

7) 権限の設定

1. 左側のナビゲーションメニューから「シングルサインオン」を選択します。

2. **[権限を追加] をクリックします。

3. アクセス許可を要求する API として Microsoft Graph を選択します。

4. Delegated permissions を選択します。

5. Openid Permissions で、email, offline_access, openid、profileを選択します。

6. 委任されたアクセス許可 を選択します。

注記

これらのアクセス許可には同意が必要です。管理者としてログインしており、デフォルトディレクトリ内のすべてのユーザーに代わって同意する場合は、Grant admin consent for Default Directoryを選択できます。そうでない場合は、ユーザーはアプリケーションのEggplant Test （DAI) にこれらの権限が付与されることに初めて同意する必要があります。

Entra Id でのアプリケーション統合の設定

Entra で DAI インスタンス (またはインスタンス) をアプリケーションとして設定したので、Keycloak (DAI の組み込み ID およびアクセス管理プロバイダー) でアプリケーション統合を設定する必要があります。

1. 入力データ

Keycloak を設定するには、次のものが必要です。

• Keycloak URL - これは https://<host>:<port>/auth/ の形式である必要があります (末尾のスラッシュに注意してください)、host と port は DAI のインストール時に定義された DAI サーバーのホスト名とポートです。

• DAI のインストール時に定義されたシステム管理者のユーザー名とパスワード (Keycloak 管理者のユーザー名とパスワードとも呼ばれます)。

• Entra IDの設定時に生成した以下の設定も必要です。

  • クライアント ID (例: Eggplant Test)

  • クライアントシークレット

  • oIDC メタデータ JSON ペイロード (下記参照)

注記

ここでは、用語が混乱する可能性があります。クライアントシークレットを生成するとき、そのシークレットの ID をクライアント ID として取得したくなるかもしれません。ただし、必要なのはシークレット値のみで、クライアント ID ("アプリケーション ID" とも呼ばれます) はアプリケーションの ID であり、シークレット ID ではありません。

2. Entra ID からOIDC Metadata Documentをエクスポートします

メタデータは、Microsoft ID プラットフォーム上の OpenID Connect (OIDC) - Microsoft ID プラットフォーム で定義されているリンクからダウンロードできます。これをファイルに保存する必要があります。

3. Keycloakの設定

注記

Eggplant Cloudをご利用の場合は、以下の手順を代行していただく必要があるため、当社のお客様 Supportまでご連絡ください。

KeycloakでSSOを有効にするには、identity_provider という名前の移行手順を実行し、KeycloakレルムでSSO統合を有効(または無効) にします。

この手順では、次の処理を行います。

• 指定したマニフェストファイルに基づいて、Keycloak で Identity Provider を作成および構成します。
• その Identity Provider をログインフローのデフォルトとして設定し、ユーザは常にそのプロバイダに転送されます。
• 「eggplant」ではなく「eggplant_readonly」を使用するように Realm** の Themes を設定します。これにより、Id プロバイダが提供するようになったパスワード管理などの機能が削除されます。

ステップ 1 - 環境変数 を設定する

set KC_ADMIN_USER=<keycloak_admin_user>
set KC_ADMIN_PASSWORD=<keycloak_admin_pwd>
set KEYCLOAK_URL=https://<dai_address>/auth/
set USE_LEGACY_INSTALLER=true
set IDP_CLIENT_ID=<idp_client_id>
set IDP_CLIENT_SECRET=<idp_client_secret>

上記のスクリプトの <...> で囲まれた値を、次のように Id プロバイダーの値に置き換えます。

変数	説明
<keycloak_admin_user>	DAI をインストールしたときに設定した Keycloak システム管理者のユーザー名。これは Keycloak ユーザー名とも呼ばれます。
<keycloak_admin_pwd>	DAI のインストール時に設定したシステム管理者のパスワード。
<dai_address>	ホスト名:DAIサーバーのポート(例:example.com:8080)。
<idp_client_id>	Entra ID で DAI アプリケーションを設定したときに作成したシークレット。
<idp_client_secret>	Entra ID で DAI アプリケーションを設定したときに作成したシークレット。

警告

この方法でコマンドラインでパスワードとシークレットを設定するのは安全ではありません。機密性の高い環境変数は、代わりに組織の優先シークレットマネージャーを使用して初期化することをお勧めします。

手順 2 - スクリプト の実行

次の手順では、DAI をデフォルトの場所 ('C: Program FilesDigital Automation Intelligence') にインストールしたことを前提としています。DAI を別の場所にインストールした場合は、以下のスクリプトの既定のパスを DAI のインストール場所に置き換えてください。

以下のスクリプトは、Windows コマンド シェル (cmd.exe) 用に記述されています。Powershell から実行するには、キャレット (^) 文字をバックティック (`) 文字に置き換える必要があります。

"C:\Program Files\Digital Automation Intelligence\python\tools\python.exe" ^
-m eggplant.iam.realm_mgmt ^
--init-file "C:\ProgramData\Eggplant\Digital Automation Intelligence\logs\keycloak\.keycloak_migration_config" ^
run ^
--procedure identity_provider ^
--realm <realm> ^
--vars IDP_ALIAS=<idp_alias> ^
--vars IDP_DISPLAY_NAME=<idp_display_name> ^
--vars IDP_METADATA_FILE=<idp_metadata_file>

上記のスクリプトの <...> で囲まれた値を、次のように Id プロバイダーの値に置き換えます。

用語	値
<realm>	通常はeggplant
<idp_alias>idp_alias&gt;	このプロバイダのエイリアス名。これは、プロセスの前半で Entra ID を設定するために使用されたエイリアスです。
<idp_display_name>	この Entra ID 統合のフレンドリ名で、Keycloak 管理コンソールに表示されます。
<idp_metadata_file>	Entra ID からファイルにエクスポートされた OIDC JSON メタデータ ファイル。メタデータ ファイルへの絶対ファイル パスを使用することをお勧めします。

このプロシージャは、メッセージを JSON 形式でログに記録します。

• 手順が失敗すると、通常は 1 つ以上のスタック トレースを含む ERROR が表示されます。
• 成功した場合、最後のログエントリは、手順が正常に完了したことを示します。

エラーが発生した場合は、メッセージと結果のスタックトレースを確認してください。ご不明な点がございましたら、当社の[お客様 Support](mailto:eggplant.support@keysight.com]までお問い合わせください。

この時点で、DAI SSO 統合は完了しているはずです。統合が適切に機能しているかどうかを確認するために使用できるシナリオについては、DAI での SSO の検証 を参照してください。

DAI インストールで SSO を無効にする場合は、DAI から SSO 認証を削除する を参照してください。