シングルサインオン設定手順 Microsoft Entra ID版(旧 Azure AD版)
本記事ではAzure ADを利用したシングルサインオン連携方法についてご案内いたします。
ユーザープロビジョニングの設定は以下の手順で行います。
【Verona Cloud Console側操作】
-
サイドメニューで[オーナー]を展開し、[オーナー]をクリックすると、『オーナー編集:基本情報』画面が表示されます。
-
[ユーザープロビジョニング]タブをクリックすると、『オーナー編集:ユーザープロビジョニング』画面に切り替わります。
-
プロビジョニングを“有効”に変更します。
-
[更新]ボタンをクリックします。
-
確認メッセージが表示されますので、[はい]ボタンをクリックします。
-
SCIMシークレットトークンの[発行]ボタンをクリックします。
-
確認メッセージが表示されますので、[はい]ボタンをクリックします。
-
ダイアログで発行したSCIMシークレットトークンが表示されますのでコピーして手元に控えておきます。
ここで「閉じる」ボタンを押すと2度と確認できなくなります。
もしSCIMシークレットトークンを紛失したとしても、新しいSCIMシークレットトークンはいつでも再発行可能です。 -
「閉じる」ボタンをクリックします。
注意 |
発行したSCIMシークレットトークンはVerona Cloud Console上には保存されませんので、手元に控えるようにしてください。 万一紛失した場合は再発行を行ってください。 |
ヒント |
ユーザープロビジョニングを停止したい場合、プロビジョニングを“有効”から“無効”に変更してください。 |
【AzureAD側操作】
-
Azure サービスから、[エンタープライズ アプリケーション]をクリックすると、エンタープライズ アプリケーション一覧が表示されます。
-
[新しいアプリケーション]–[独自のアプリケーションの作成]を開いたのち、ギャラリー以外のアプリケーションを選択してアプリケーション名を「Verona Client」とし作成してください。
※この時、検索結果として表示される「Verona Client」は選択しない様にお願いします。 -
作成完了後、エンタープライズアプリケーションの一覧から[Verona Client]を検索しクリックすると、Verona Clientの概要画面が表示されます。
※作成後に概要画面へ飛んだ場合には本手順はスキップ願います。 -
Verona Clientの概要画面で[ユーザーとグループの追加]をクリックします。
[ユーザーまたはグループの追加]をクリックすると、割り当ての追加画面が表示されます。
-
ユーザーとグループから[選択されていません]をクリックすると、右ペインにユーザーとグループの一覧が表示されます。
-
同期したいユーザーやグループをクリックし、下部の[選択]ボタンをクリックすると、「~が選択されました。」表記に変わり、右ペインが閉じます。
-
[割り当て]ボタンをクリックすると、割り当てが完了します。
-
サイドメニューから[プロビジョニング]をクリックすると、プロビジョニング画面が表示されます。「作業の開始」をクリックします。
-
プロビジョニングモードは「自動」を選択し、テナントURLと手順8で取得したシークレットトークン(SCIM)を入力します。
テナントURLは、Verona Cloud Consoleから取得できます。
-
「テスト接続」をクリックします。
「テスト接続」で失敗した場合、右上メニュー「通知」から詳細を確認します
問題がなければ、保存を押します。
問題なく保存出来ましたら、次へ進んで下さい。
-
同設定欄下部の[マッピング]から[Provision Azure Active Directory Users]をクリックします。
-
Azure Active Directory 属性の[Switch([IsSoftDeleted] ,“False”,“True”,“True”,“False”)]をクリックします。
-
式をSwitch([IsSoftDeleted],“False”,“False”,“True”,“True”,“False”)に変更してOKをクリックします。
-
続いてAzure Active Directory 属性の[mailNickname]をクリックします。
-
ソース属性を[objectId]に変更してOKをクリックします。
-
属性マッピングと表記されている直下の[保存]にをクリックし、[はい]をクリックします。
-
ホーム>エンタープライズアプリケーション|すべてのアプリケーション>プロビジョニングから
「プロビジョニングの開始」を押して下さい。
注意Verona Cloud Console側への自動同期間隔は40分固定のため、直ぐには反映されないことがあります。
即時に同期したい場合、手動でプロビジョニングを実行してください。
注意Verona Cloud Console側に既に同一オーナー、同一メールアドレスが存在するユーザについてはエラーとなります。
注意エンタープライズアプリケーションからユーザーを削除(割り当て解除)した場合は、Verona Cloud Console側のユーザーは無効化されるのみですが、Azure AD上のユーザーを削除した場合、Verona Cloud Console側のユーザーも削除されます。
以上でユーザプロビジョニング(作成)が完了です。
ユーザープロビジョニングの設定が完了しましたら、シングルサインオンの設定を以下の手順で行います。
【Azure AD側操作】
-
Azure サービスから、[エンタープライズ アプリケーション]をクリックすると、エンタープライズ アプリケーション一覧が表示されます。
-
[Verona Client]をクリックすると、Verona Clientの概要画面が表示されます。
-
[シングルサインオンの設定]-「作業の開始」をクリックすると、シングルサインオン画面が表示されます。
-
[SAML]をクリックすると、SAML ベースのサインオン画面が表示されます。
-
基本的な SAML 構成エリアの[編集]ボタンをクリックすると、右ペインに設定欄が表示されます。
-
識別子(エンティティ ID)に、Verona Cloud Console側の識別子(エンティティ ID)をコピーして貼り付けます。(デフォルト値がある場合上書きします)
-
応答 URL(Assertion Consumer Service URL)に、Verona Cloud Console側の応答Urlをコピーして貼り付けます。
-
ログアウト URLに、Verona Cloud Console側のログアウトUrlをコピーして貼り付けます。
入力項目はVerona Cloud Console>オーナー>シングルサインオン より
-
編集画面の左上より[保存]ボタンをクリックすると、設定が保存されます。
-
右上の[×]ボタンをクリックし、右ペインを閉じます。
-
SAML署名証明書エリアの証明書(Base64)右の[ダウンロード]をクリックすると、証明書がダウンロードされます。
-
Verona ClientのセットアップエリアのAzure AD 識別子を控えておきます。
注意 |
SAML 署名証明書の有効期限は2年となります。 期限切れになるとログインができなくなりますので、定期的に更新を行ってください。 |
【Verona Cloud Console側操作】
-
サイドメニューで[オーナー]を展開し、[オーナー]をクリックすると、『オーナー編集:基本情報』画面が表示されます。p>
-
[シングルサインオン]タブをクリックすると、『オーナー編集:シングルサインオン』画面に切り替わります。
-
シングルサインオンを“有効”に変更します。
-
Issuer識別子に手順13.にて控えておいた識別子を入力します。
-
[更新]ボタンをクリックします。
-
確認メッセージが表示されますので、[はい]ボタンをクリックします。
-
SAML署名証明書エリアの[ファイルを選択]ボタンをクリックし、手順12.にてダウンロードした証明書を選択します。
-
[アップロード]ボタンをクリックします。
-
確認メッセージが表示されますので、[はい]ボタンをクリックします。
ヒントシングルサインオンを停止したい場合、シングルサインオンを“有効”から“無効”に変更してください。
ヒント誤ってファイルをアップロードした場合、[削除]ボタンのクリックにより、削除することが可能です。
【AzureAD側操作】
-
シングルサインオン画面を表示します。
-
Verona Clientでシングル サインオンをTestエリアの[Test]ボタンをクリックすると、右ペインにテスト用画面が表示されます。
-
[現在のユーザーとしてサインイン]ボタンをクリックすると、別タブが立ち上がります。
-
アドレス欄に以下のURLが表示されれば成功となります。
URL: "http://localhost/v-client?result={Base64文字列}" -
その後Verona Cloudと同期が始まり、以下のように表示されれば成功です。
以上でAzureADを利用したシングルサインオン設定は完了となります。
なお、Verona Clientでのシングルサインオンに関する設定方法はユーザーズガイドを参照ください。
本機能は、AD連携用であり、AD(現在Azure ADのみ)の利用を前提としています。
ADの準備が整っていない場合、利用することはできませんのでご注意ください。
本設定を行うことで、ADとVerona Cloud Consoleのユーザーの同期を行うことが可能となります。
AD側でのユーザーの追加・更新・削除やグループの追加・更新・削除・メンバー追加がVerona Cloud Console側に反映されます。
尚、こちらで追加されるユーザーはVerona Clientからのみ利用され、Verona Cloud Consoleへのログインはできません。 グループについては、ユーザー一覧画面のグループ列で所属状況の確認が可能です。
Verona Client for Windows v4.2.0以上のみが対象がとなります。