SecssLink、AzureAD間でのID連携方法のご紹介

初めに

SeciossLinkではAzureAD（現 Microsoft Entra ID）に登録されたユーザー情報を源泉としたID連携機能が存在します。
AzureADに登録されたユーザーをSeciossLinkで管理することで、他クラウドサービスとの連携や多要素認証による、セキュリティ強化などの施策が容易に行えるようになります。

この記事ではこの機能を利用するためにSeciossLink、およびAzureADで必要になる設定作業を紹介します。

連携のための設定手順

SecssLinkとAzureADの連携のために両サービスそれぞれ行う作業を紹介します。
機能を利用するために必要なものは以下になります。

• • • • • SeciosLinkの統合ID管理機能：この記事で紹介する機能を利用する際に必要となります。
        • Microsoft Azureの管理者アカウント：ID連携の同期元となるため必要となります。

AzureADでの設定

SeciossLinkとの連携のためにAzureAD側にアプリケーションを作成します。

1. 1. 1. 1. 1.AzureADの管理権限を持つアカウントでMicrosoft Azureにログインします。
         2. 2.Azure サービスから「Azure Active Directory」を選択します。
         3. 3.サイドメニューの管理項目から「アプリの登録」を選択します。
         4. 4.コンテンツエリアのヘッダーから「+ 新規登録」を選択し、アプリの登録を行います。
            　　名前：SeciossLink連携用だとわかるような任意の名称を設定すると以降の捕手がしやすいかと思われます。
            　　サポートされているアカウントの種類：「この組織ディレクトリのみに含まれるアカウント」を選択してください。
            　　リダイレクト URI：省略して問題ありません。
         5. 5.登録完了後、表示される概要画面で以下のパラメーターを記録しておきます。
            　　ディレクトリ (テナント) ID
            　　アプリケーション (クライアント) ID
         6. 6.サイドメニューの管理項目から「証明書とシークレット」を選択し、新しいクライアントシークレットを作成します。
            　　説明：任意の内容を記載してください。
            　　有効期限：任意の期間を選択してください。
         7. 7.クライアントシークレットの発行後、表示される「値」を記録します。
            　※画面が更新されると「値」は先頭３文字以降が伏字となり値の取得が行えなくなります
         8. 8.サイドメニューの管理項目から「APIのアクセス許可」を選択し、SeciossLinkとの連携に必要なアクセス許可をアプリケーションに付与します。
         9. 9.API のアクセス許可画面の「+ アクセス許可の追加」を選択します。
         10. 10.API アクセス許可の要求画面で「Microsoft Graph」を選択し、必要なアクセス許可の追加を行います。
             　　アプリケーションに必要なアクセス許可の種類：アプリケーションの許可
             　　Directory.Read.All
             　　Group.Read.All
             　　GroupMember.Read.All
             　　User.Export.All
             　　User.Invite.All
             　　User.Read.All
         11. 11.必要なアクセス許可にチェックを入れたことを確認したら、「アクセス許可の追加」を選択します。
         12. 12.「～に管理者の同意を与えます。」を選択し、表示されるダイアログの選択肢「はい」を選択します。
         13. 13.追加したアクセス許可の状態が「～に付与されました」になっていればAzureAD側の設定は完了です。

SeciossLink管理画面での設定

AzureADとの連携のためSeciossLink側に連携用の設定登録を行います。

　1.特権管理者アカウントSeciossLinkの管理画面にログインします。
　2.サイドメニューの統合ID管理のプルダウンを開き、Azure設定のリンクを選択します。
　3.Azure設定画面でAzureADで作成した連携用アプリケーションの各種設定を登録します。
　　システムID：任意のシステム名を設定してください。
　　アプリケーションID：「アプリケーション (クライアント) ID」を設定します。
　　ディレクトリID：「ディレクトリ (テナント) ID」を設定します。
　　クライアントシークレット：クライアントシークレットの「値」を設定します。
　　ユーザー　同期の実行：チェックボックスを有効化します。
　　ユーザー　属性：すべての項目のチェックボックスを有効化します。
　4.設定完了後、「保存」を選択し、設定情報の登録を行います。
　5.保存が完了すると「差分確認」が表示され、選択することで現在の設定で同期可能なユーザーが一覧形式で表示されます。
　6.差分同期を実行することでユーザー情報をSeciossLink側に取り込むことが可能です。

ID同期の注意点

AzureAD上のすべての情報を同期はできない

AzureADから同期可能なパラメータはSeciossLinkのAzure設定画面にある「属性」の項目に表示されている内容が同期可能です。
属性に存在項目に関してはAzureAD側で設定している値であっても登録はされません。

パスワードはSeciossLink側で指定が必要

AzureADから同期対象となったユーザーのパスワード情報は取得できません。
SeciossLinkにID同期されるタイミングでランダムパスワードが生成されユーザーに付与されます。
また、ユーザー：デフォルト値の項目で一律のパスワードを設定することも可能です。

SeciossLink評価版

SeciossLinkでは基本機能が利用可能な評価版を公開しています。
SSOやID同期などの動きを確認することが可能です。
こちらから評価版の申し込みを行えます。

また、このブログで紹介しているAzureAD連携機能をご利用されたい場合は、
SeciossLinkの追加機能の解放が必要となります。
機能の解放や利用料金などの詳細についてはこちらからお問い合わせいただけます。

最後に

AzureADでのユーザー管理を行っているが、ユーザーの管理やアクセス制御でお困りの会社様
SeciossLinkと連携を行うことで多要素での認証やIPアドレスや時間帯などでのアクセス制御を簡単に設定することが可能です。

ぜひ一度、ご検討をしてみてはいかがでしょうか。