Entra IDとSAML v2を使用したDAIでのSSOの有効化
このページでは、Security Assertion Markup Language (SAML) v2 プロトコルを使用して、DAI と Microsoft Entra ID (旧称 "Azure AD") の間でシングル サインオン (SSO) を構成するために必要な手順について説明します。Entra IDとDAIの組み込みIDおよびアクセス管理プロバイダ(Keycloak) を相互に統合するように設定する方法について説明します。このプロセスに関連する手順の概要は、このページの右側にあるページメニューで確認できます。
Intenden Audience: このトピックは、SSO 統合を検討している DAI 管理者を対象としています。
SSO と DAI を統合する利点の詳細については、「シングル サインオン (SSO) と DAI の連携方法」を参照してください。(./dai-sso-features.md)。 SSO と DAI を統合する利点の詳細については、「シングル サインオン (SSO) と DAI の連携方法」を参照してください。(./dai-sso-features.md)。
このページでは、Keycloak の設定方法と Entra ID の設定方法の例を示します。すべての組織のID管理構成は異なり、構成の誤りは重大な結果をもたらす可能性があるため、最終的な設計と展開計画は独自の仕様に合わせる必要があります。Entra IDの設定がここに記載されている例と互換性がない場合は、お客様 Supportに連絡して、どのように支援できるかを確認してください。
前提条件
DAI を Entra ID と統合するには、環境が Entra ID、DAI、およびネットワーキングの次の前提条件を満たしている必要があります。
コンポーネント | 要件 |
---|---|
Entra ID | Components: -組織には、Microsoft Entra ID の設定に使用できる Microsoft Azure アカウントが必要です。 |
Users and Groups in Entra ID | - DAIにアクセスする必要があるユーザーは、Entra ID. にすでに存在している必要があります。- オプションで、Entra IDにグループを作成して、DAI管理者、ユーザー、およびビューアの役割を表すことができます。または、3. Create Application Roles を参照してください。 |
DAI | - Keycloakにローカルユーザーを含む既存のDAIインストールがある場合でも、SSOを有効にすることができます。Keycloak は、ユーザーの初回 SSO ログイン時に、これらのローカルアカウントに参加して SSO 統合ユーザーアカウントに変換できます。この方法でアカウントをリンクすると、ユーザーはどのモデルにもアクセスできなくなるため、有益です。ローカルのユーザー名が Entra ID のユーザー名と一致しない場合は、Keycloak を設定して一時的に許可するように変更できます。手順については、SSOのユーザー名の編集を参照してください。Eggplant Cloudをお使いの場合は、弊社お客様 Supportまでお問い合わせください。 - Entra IDには、SSO統合の確認に使用できるユーザーアカウント(DAI管理者アカウントを推奨)が少なくとも1つ必要です。このユーザーでDAIに正常にログインすると、SSO統合が成功したことが確認されます DAIのインストールがEggplant Cloudではなくオンプレミス(「オンプレミス」)である場合は、次のことを行う必要があります。既存のシステムを構成する場合は、DAI を新しいバージョンにアップグレードする場合と同じ方法で DAI システムをバックアップしてください。DAIのバックアップについては、WindowsでのEggplant DAIのインストールまたはアップグレードを参照してください。これにより、統合中に予期しない事態が発生した場合に、ユーザーがデータにアクセスできなくなることがなくなります. - DAI 7.1以上がインストールされている必要があります。SSOの有効化は、DAIのインストール後に実行できる別のプロセスです。 - DAI は、Transport Layer Security (TLS) を使用す るように設定する必要があります。TLS を使用するための DAI の設定については、高度なインストールの実行 を参照してください。Active Directory は、プレーンな HTTP を使用する DAI インストールと統合されません。 |
Network | - エンドユーザーのワークステーションは、Entra IDログイン画面とSAMLエンドポイントにアクセスできる必要があります - Entra ID は、ユーザーが 1 つのシステムからログアウトすると、他のシステムからもログアウトされるように、Keycloak に対して HTTPS 呼び出しを行うことができる必要があります。 |
Entra ID でのアプリケーション統合の設定
次の手順は、Entra ID で DAI のアプリケーション統合を設定するプロセスをまとめたものです。
1. Entra ID でアプリケーションを作成します
次の手順では、Entra ID でアプリケーションを作成する方法について説明します。Entra ID でのアプリケーションの作成の詳細については、クイック スタート: Microsoft ID プラットフォームにアプリを登録する - Microsoft ID プ ラットフォーム を参照してください。
-
Entra IDで、Enterprise Applicationsを選択し、トップメニューからCreate your own applicationをクリックします。
-
アプリケーション (DAI インスタンス) に関する情報を次のように入力します。
フィールド名 値 アプリの名前は何ですか? この Enterprise Application に割り当てる任意の名前。これらの例では、アプリケーションに Eggplant Test
という名前を使用しています。(以下の注を参照してください)。アプリケーションで何をしようとしていますか? Integrate any other application you don't find in the gallery (non-gallery) を選択します。 注記Eggplant Testの複数のインスタンスを含む複雑なセットアップがある場合は、インスタンスを区別できる必要があります。たとえば、インスタンスの 1 つに Eggplant Test (production) という名前を付けて、他のインスタンスと区別します。
-
Create をクリックします。この新しいアプリケーションの詳細ページが開きます。
2) OIDC を使用して、アプリケーションを Entra ID で公開します
次に、次のように Entra ID でアプリケーションを構成し、SAML v2 プロトコルを使用して公開します。
-
左側のナビゲーションメニューから
シングルサインオ
を選択します。 -
Change single sign-on mode > SAML を選択します。
-
引き続き Single sign-on **Basic SAML Configuration > Edit ** を選択し、次の情報を入力します。
フィールド名 値 識別子 (エンティティ ID) https://<dai_domain>/auth/realms/egglant/<idp_alias>
where:<dai_domain>
は、DAI(およびKeycloak) がインストールされているドメインの名前です。<idp_alias>
は、DAI の Entra ID ID プロバイダー設定に割り当てられたエイリアス名です。これはまだ作成されていません。したがって、ここで何を選択するかを覚えておき、このプロセスの後半でDAIを設定するときにそれを使用する必要があります。この例では、ad
という名前のエイリアスを示しています。応答URL(アサーションコンシューマサービスURL) https://<dai_domain>/auth/realms/eggplant/broker/<idp_alias>/endpoint
where:<dai_domain>
と<idp_alias>
は、上記の entity ID で定義されているものと同じです。
- 1つしかないため、Defaultチェックボックスについて心配する必要はありません。サインオンURL 不要 リレーのstate 不要 ログアウトURL 不要
SAML 証明書 を構成する
デフォルトでは、Entra IDはエンタープライズアプリケーションの作成時にSign SAML AssertionにSHA-256証明書を作成するため、変更を加える必要はありません。