チュートリアル:Azure Active Directory シングル サインオン (SSO) と ekarda の統合

このチュートリアルでは、ekarda と Azure Active Directory (Azure AD) を統合する方法について説明します。 Azure AD と ekarda を統合すると、次のことができます。

  • ekarda にアクセスできるユーザーを Azure AD で制御する。
  • ユーザーが自分の Azure AD アカウントを使用して ekarda に自動的にサインインできるようにする。
  • 1 つの中央サイト (Azure Portal) でアカウントを管理できます。

前提条件

開始するには、次が必要です。

  • Azure AD サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
  • シングル サインオン (SSO) が有効な ekarda サブスクリプション。

シナリオの説明

このチュートリアルでは、テスト環境で Azure AD の SSO を構成してテストします。

  • ekarda によって、SP Initiated SSO と IDP-initiated SSO がサポートされます。
  • ekarda によって、Just-In-Time ユーザー プロビジョニングがサポートされます。

Azure AD への ekarda の統合を構成するには、ギャラリーからマネージド SaaS アプリの一覧に ekarda を追加します。

  1. 職場または学校アカウントか、個人の Microsoft アカウントを使用して、Azure portal にサインインします。

  2. 左側のペインで、 [Azure Active Directory] サービスを選択します。

  3. [エンタープライズ アプリケーション] に移動し、 [すべてのアプリケーション] を選択します。

  4. 新しいアプリケーションを追加するには、 [新しいアプリケーション] を選択します。

  5. [ギャラリーから追加する] セクションで、検索ボックスに「ekarda」と入力します。

  6. 結果パネルから [ekarda] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

ekarda の Azure AD SSO の構成とテスト

B.Simon という名前のテスト ユーザーを使用して、ekarda に対する Azure AD SSO を構成してテストします。 SSO を機能させるために、Azure AD ユーザーと ekarda の関連ユーザーとの間に、リンクされた関係を確立する必要があります。

ekarda に対して Azure AD SSO を構成してテストするには、次の手順を行います。

  1. Azure AD SSO を構成して、ユーザーがこの機能を使用できるようにします。

    1. Azure AD のテスト ユーザーを作成して、B.Simon を使って Azure AD のシングル サインオンをテストします。
    2. Azure AD テスト ユーザーを割り当てて、B.Simon が Azure AD シングル サインオンを使用できるようにします。
  2. ekarda SSO を構成して、アプリケーション側でシングル サインオン設定を構成します。

  3. SSO をテストして、構成が機能するかどうかを確認します。

Azure AD SSO の構成

Azure portal で次の手順に従って、Azure AD SSO を有効にします。

  1. Azure portal にサインインします。

  2. ekarda アプリケーション統合ページで、 [管理] セクションを見つけて、 [シングル サインオン] を選択します。

  3. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。

  4. [SAML によるシングル サインオンの設定] ページで、鉛筆アイコンを選択して [基本的な SAML 構成] の設定を編集します。

    鉛筆アイコンが強調表示された [SAML によるシングル サインオンの設定] ページのスクリーンショット。

  5. [基本的な SAML 構成] セクションで、サービス プロバイダーのメタデータ ファイル が表示される場合は、次の手順を行います。

    1. [メタデータ ファイルをアップロードする] を選択します。
    2. フォルダー アイコンを選択してメタデータ ファイルを選択し、 [アップロード] を選択します。
    3. メタデータ ファイルが正常にアップロードされると、 [識別子][応答 URL] の値が、ekarda セクションのテキスト ボックスに自動的に設定されます。

    注意

    [識別子][応答 URL] の値が自動的に表示されない場合は、要件に応じて手動で値を入力してください。

  6. [基本的な SAML 構成] セクションに サービス プロバイダーのメタデータ ファイル が表示されず、アプリケーションを IDP-initiated モードで構成する場合は、次のフィールドの値を入力します。

    1. [識別子] テキスト ボックスに、https://my.ekarda.com/users/saml_metadata/<COMPANY_ID>のパターンに従って URL を入力します。
    2. [応答 URL] テキスト ボックスに、https://my.ekarda.com/users/saml_acs/<COMPANY_ID>のパターンに従って URL を入力します。
  7. アプリケーションを SP-initiated モードで構成する場合は、 [追加の URL を設定します] を選択して、次の手順を行います。

    [サインオン URL] テキスト ボックスに、https://my.ekarda.com/users/saml_sso/<COMPANY_ID> のパターンに従って URL を入力します

    注意

    前の 2 つの手順の値は、実際のものではありません。 実際の識別子、応答 URL、サインオン URL の値でこれらの値を更新します。 この値を取得するには、ekarda クライアント サポート チームにお問い合わせください。 Azure portal の [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。

  8. [SAML によるシングル サインオンの設定] ページの [SAML 署名証明書] セクションで、 [ダウンロード] を選択して 証明書 (Base64) をコンピューターに保存します。

    Base64 証明書のダウンロード リンクが強調表示された、[SAML によるシングル サインオンの設定] ページの [SAML 署名証明書] セクションのスクリーンショット。

  9. [ekarda の設定] セクションで、要件に基づいて適切な URL をコピーします。

    URL コピー リンクが強調表示された、[SAML によるシングル サインオンの設定] ページの [SAML 署名証明書] セクションのスクリーンショット。

Azure AD のテスト ユーザーの作成

このセクションでは、Azure portal を使用して、B.Simon という名前のテスト ユーザーを作成します。

  1. Azure portal の左側のウィンドウで、 [Azure Active Directory] > [ユーザー] > [すべてのユーザー] を選択します。

  2. 画面の上部にある [新しいユーザー] を選択します。

  3. [ユーザー] プロパティで、以下の手順を実行します。

    1. [名前] フィールドに「B.Simon」と入力します。
    2. [ユーザー名] フィールドに「username@companydomain.extension」と入力します。 たとえば、B.Simon@contoso.com と入力します。
    3. [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示される値を書き留めます。
    4. [作成] を選択します

Azure AD テスト ユーザーの割り当て

このセクションでは、B.Simon に ekarda へのアクセスを許可することで、このユーザーが Azure シングル サインオンを使用できるようにします。

  1. Azure portal で、 [エンタープライズ アプリケーション] > [すべてのアプリケーション] の順に選択します。

  2. アプリケーションの一覧で [ekarda] を選択します。

  3. アプリの概要ページで、 [管理] セクションを見つけて、 [ユーザーとグループ] を選択します。

  4. [ユーザーの追加] を選択し、 [割り当ての追加] ダイアログ ボックスで [ユーザーとグループ] を選択します。

  5. [ユーザーとグループ] ダイアログ ボックスで、ユーザーの一覧から [B.Simon] を選択します。 次に、画面の下部にある [選択] を選択します。

  6. ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。

  7. [割り当ての追加] ダイアログ ボックスで [割り当て] を選びます。

ekarda SSO の構成

  1. ekarda 内での構成を自動化するには、 [拡張機能のインストール] をクリックして My Apps Secure Sign-in ブラウザー拡張機能 をインストールする必要があります。

    マイ アプリの拡張機能

  2. ブラウザーに拡張機能を追加した後、 [ekarda のセットアップ] をクリックすると、ekarda アプリケーションに移動します。 そこから、管理者の資格情報を入力して ekarda にサインインします。 ブラウザー拡張機能によりアプリケーションが自動的に構成され、手順 3 ~ 6 が自動化されます。

    セットアップの構成

  3. ekarda を手動でセットアップする場合は、別の Web ブラウザー ウィンドウで、ekarda 企業サイトに管理者としてサインインします。

  4. [管理者] > [マイ アカウント] の順に選択します。

    [管理者] メニューで [マイ アカウント] が強調表示された ekarda サイト UI のスクリーンショット。

  5. ページの下部にある [SAML 設定] を見つけます。 このセクションで SAML 統合を構成します。

  6. [SAML 設定] セクションで、次の手順を行います。

    SAML 構成フィールドが強調表示された、ekarda の [SAML 設定] ページのスクリーンショット。

    1. [サービス プロバイダーのメタデータ] リンクを選択し、それをファイルとしてコンピューターに保存します。
    2. [SAML を有効にする] チェック ボックスをオンにします。
    3. [IDP エンティティ ID] テキスト ボックスに、先ほど Azure portal からコピーした [Azure AD 識別子] の値を貼り付けます。
    4. [IDP ログイン URL] テキスト ボックスに、先ほど Azure portal からコピーした [ログイン URL] の値を貼り付けます。
    5. [IDP ログアウト URL] テキスト ボックスに、先ほど Azure portal からコピーした [ログアウト URL] の値を貼り付けます。
    6. メモ帳を使用して、Azure portal からダウンロードした 証明書 (Base64) ファイルを開きます。 その内容を [IDP x509 証明書] テキスト ボックスに貼り付けます。
    7. [オプション] セクションの [SLO を有効にする] チェック ボックスをオンにします。
    8. [Update](更新) を選択します。

ekarda テスト ユーザーの作成

このセクションでは、B. Simon という名前のユーザーを ekarda に作成します。 ekarda によって、Just-In-Time ユーザー プロビジョニングがサポートされており、既定で有効になっています。 このセクションで実行する操作はありません。 ekarda に B. Simon という名前のユーザーがまだ存在しない場合は、認証後に新しく作成されます。

SSO のテスト

このセクションでは、次のオプションを使用して Azure AD のシングル サインオン構成をテストします。

SP Initiated:

  • Azure portal で [このアプリケーションをテストします] をクリックします。 これにより、ログイン フローを開始できる ekarda のサインオン URL にリダイレクトされます。

  • ekarda のサインオン URL に直接移動し、そこからログイン フローを開始します。

IDP Initiated:

  • Azure portal で [このアプリケーションをテストします] をクリックすると、SSO を設定した ekarda に自動的にサインインされます

また、Microsoft マイ アプリを使用して、任意のモードでアプリケーションをテストすることもできます。 マイ アプリで [ekarda] タイルをクリックすると、SP モードで構成されている場合は、ログイン フローを開始するためのアプリケーション サインオン ページにリダイレクトされます。IDP モードで構成されている場合は、SSO を設定した ekarda に自動的にサインインされます。 マイ アプリの詳細については、マイ アプリの概要に関するページを参照してください。

次のステップ

ekarda を構成した後、セッション制御を適用できます。 この予防措置により、組織の機密データを流出と侵入からリアルタイムで保護することができます。 セッション制御は、アプリの条件付きアクセス制御を拡張したものです。 Microsoft Cloud App Security でセッション制御を強制する方法をご覧ください。