関連リンク

Azure ADによるシングルサインオン


管理者は、SAML 2.0 アイデンティティ・プロバイダ(IdP)を選択することで、シングル・サイン・オン(SSO)を使用してアカウントにアクセスできる。SSO は、追加のパスワードを覚える必要性をなくし、サインイン体験を簡素化する。

Azure ADでシングルサインオン(SSO)をセットアップするには、管理者は以下のことを行う必要がある:



Azure ADコンソールでアプリを作成する

IDrive360アプリケーションがSSOのためにAzureディレクトリに以前ダウンロードされていた場合、既存のアプリケーションを削除し、新しいアプリケーションを作成する必要があります。

SSO用のIDプロバイダとしてAzure ADを使用するには、Azure ADコンソールでアプリを作成する必要があります。

アプリを作成する、

  1. Azure AD アカウント認証情報を使用して Azure AD コンソールにログインし、「Enterprise applications」をクリックします。
  2. LHSメニューから「Overview」タブを選択し、「New application」をクリックする。
  3. 独自のアプリケーションを作成する」をクリックします。
  4. アプリの名前は何ですか」にアプリ名を入力します。
  5. ギャラリーにない他のアプリケーションを統合する(非ギャラリー)」を選択し、「作成」をクリックします。
  6. これでIDrive 360アプリがMicrosoft Azure Active Directoryに追加されます。

役割を設定する

アプリのロールは、アプリの登録プロセス中に Microsoft Entra 管理センターで定義されます。ユーザがアプリケーションにサインインすると、Microsoft Entra ID は、割り当てられたロールごとにロールクレームを発行し、クレームベースの認証を可能にします。

注:Azureによって作成されたデフォルトのロールは削除する必要があります。サポートされていないロールを削除するには、まず値を割り当て、ロールを無効にしてから削除します。

アプリのロールを作成するには

  1. ホームへ移動する。
  2. Microsoft Entra ID」>「管理」>「アプリ登録」と進みます。
  3. すべてのアプリケーション」タブで最近追加したアプリを検索し、「アプリの役割」をクリックします。
  4. Create app role」をクリックし、以下の情報を入力します:
    • 表示名:アカウント所有者
    • 許可されるメンバータイプユーザー/グループ
    • 値:1
    • 説明MSP管理者
  5. 適用」をクリックして変更を保存します。

上記の手順を繰り返して、Company Administrator、Backup Administrator、Restore User、Backup User、Backup and Restore Userのロールを作成します。

ユーザーの役割価値観
アカウント・オーナー1
会社管理者2
バックアップ管理者7
ユーザー(デバイスの追加と管理)3
ユーザーの復元4
バックアップユーザー5
ユーザーのバックアップと復元6

注:ロールの値は、アプリケーションのコードで定義されている対応するロールと完全に一致していなければならない。


SSOの設定

SSOを設定するには

  1. Microsoft Entra ID」>「Enterprise application」に戻る。
  2. 最近追加されたアプリケーションを検索し、それをクリックします。
  3. 管理」 > 「シングルサインオン」に移動する。
  4. 優先するシングルサインオン方法として「SAML」を選択する。
  5. Setup Single Sign-On with SAML」画面が表示される、
    1. 基本 SAML 構成」に対応する「Edit」をクリックし、以下のように URL を入力する:
      • 識別子(エンティティID):https://webapp.idrive360.com/api/sso/metadata
      • 返信 URL(アサーション・コンシューマ・サービス URL):https://webapp.idrive360.com/api/sso/process
      • ログアウトURL:https://webapp.idrive360.com/api/v1/logout
    2. SAML 証明書」セクションで「Download」をクリックし、x509 証明書(Base64)を保存する。
    3. ログインURL」と「Microsoft Entra Identifier URL」をコピーし、クラウドバックアップアカウントに設定します。

シングルサインオン(SSO)用にクラウドバックアップアカウントを設定する

管理者は、Management Console の Single Sign-On 構成フォームに、受け取った SAML 2.0 URL と Azure AD からの証明書を入力する必要がある。

SSOを設定するには

  1. クラウドバックアップアカウントにサインインし、「Go To Management Console」をクリックします。
  2. 設定」>「シングルサインオン(SSO)」に移動する。
  3. IDP発行者URL」、「シングルサインオンログインURL」を入力し、以下のサイトから受け取った「X.509証明書(Base64)」をアップロードする。 Azure ADコンソールで新しく作成したアプリ。
    1. 発行者 URL - Microsoft Entra Identifier
    2. SSOエンドポイント - ログインURL
  4. シングルサインオンを設定する」をクリックする。

Microsoft Azure ADでプロビジョニングを構成する

プロビジョニングを有効にするには、以下の手順に従ってください、

  1. 左のナビゲーションパネルから「Provisioning」に進みます。
  2. 管理 > プロビジョニング」に移動します。
  3. Provisioning Mode」を「Automatic」に選択する。
  4. 以下の情報を入力してください:
    テナントのURL https://webapp.idrive360.com/api/scim/v2/?aadOptscim062020
    シークレットトークン:IDrive360アプリで生成されたトークン。
  5. Test Connection]をクリックし、Azure ADとIDrive 360アプリ間の接続を確認します。
  6. 設定」セクションで
  7. Notification Email(通知メール)」の欄に
    1. プロビジョニングエラー通知を受け取る担当者のメールアドレスを入力します。
    2. 障害発生時に電子メール通知を送信する」にチェックを入れる。
    3. 会社のポリシーに従って、「事故による削除のしきい値」の値を入力します。
    4. Scope」フィールドで「Sync only assigned users and groups」を選択します。
  8. マッピング」セクション、
    1. Provision Azure Active Directory Groups」を選択し、有効チェックボックスを「No」に切り替え、「Save」をクリックします。
    2. Provision Azure Active Directory Users」を選択します。

      注意:IDrive 360は現在グループをサポートしていません。

    3. フィールドは変更しない。
    4. 詳細オプションを表示」をクリックします。
    5. Supported Attributes」で「Edit attribute list for customappsso」を選択します。
    6. 属性リストで、'roles'という名前の属性を追加し、タイプを文字列として選択し、requiredにチェックを入れる。
    7. 保存」をクリックする。
    8. 確認ポップアップで「はい」をクリックする。
    9. 属性マッピング」のセクションに戻る。
    10. 新しいマッピングを追加」をクリックします。
    11. マッピング・タイプとして「式」を選択する。
    12. 式の値は、
      'AppRoleAssignmentsComplex([appRoleAssignments])' のように指定する。
    13. 対象属性として「Roles」を選択する。
    14. 属性を使用してオブジェクトを一致させる」には「いいえ」を選択します。
    15. このマッピングを適用するタイミングを選択し、「Always」を選択します。
    16. Ok」をクリックする。
    17. 最近追加されたアトリビュート・マッピングは、「アトリビュート・マッピング」の下にあります。

プロビジョニング設定を構成した後、IDrive 360にプロビジョニングするユーザーを割り当てることができます。


アプリケーションにユーザーを割り当てる

ユーザーアカウントのSSOを有効にするには、管理者がAzure ADコンソールで作成したアプリにユーザーを割り当てる必要がある。

Azure ADアプリにユーザーを割り当てる、

  1. Azure AD 管理コンソールで新しく作成したアプリから、「ユーザーとグループ」に移動し、「ユーザーを追加」をクリックします。
  2. アプリに割り当てたいユーザーを選択します。
  3. ドロップダウンメニューから役割を選択し、「選択」をクリックします。

    注:管理者は、選択したユーザに任意のロールを割り当てることができます。

  4. Assign」をクリックして手続きを完了します。

    注:Azureでは、自動プロビジョニングサイクルは40分ごとに行われる。