SecssLink、AzureAD間でのシングルサインオン設定方法のご紹介

初めに

先週、当ブログで紹介した「SecssLink、AzureAD間でのID連携方法のご紹介」の続きとなります。

SeciossLinkではSAML認証を利用することでAzureADからID同期したユーザーがAzureADのみの認証でSeciossLinkのユーザーポータルへアクセスできるように設定することが可能です。
SeciossLinkと連携させることで、パスワードの管理の手間の削減や多要素認証による、セキュリティ強化などの施策が容易に行えるようになります。

シングルサインオンのための設定手順

SecssLinkとAzureADの連携のために両サービスそれぞれ行う作業を紹介します。
機能を利用するために必要なものは以下になります。

• • • SeciosLinkのSAML認証機能：この記事で紹介する機能を利用する際に必要となります。
    • Microsoft Azureの管理者アカウント：認証機能の連携用の設定を行うため必要となります。
      
      

AzureADでの設定

SeciossLinkとの連携のためにAzureAD側にアプリケーションを作成します。

• • 1. AzureADの管理権限を持つアカウントでMicrosoft Azureにログインします。
  • 2. Azure サービスから「Azure Active Directory」を選択します。
  • 3. サイドメニューの管理項目から「エンタープライズ アプリケーション」を選択します。
  • 4. コンテンツエリアのヘッダーから「+ 新しいアプリケーション」を選択します。
  • 5. 遷移後のコンテンツエリアのヘッダーから「+ 独自のアプリケーション」を選択し、アプリを作成します。
    
    • • 名前：SeciossLink連携用だとわかるような任意の名称を設定すると以降の捕手がしやすいかと思われます。
        
  • 6. アプロケーション生成後、サイドメニューの管理項目から「シングルサインオン」を選択します。
  • 7. コンテンツエリアの 「SAML」タイルを選択します。
  • 8. SAMLによるシングルサインオンのセットアップ画面で、SAML認証に必要な設定を行います。
    • • • • 識別子 (エンティティ ID)：https://slink.secioss.com/＜テナントID＞
          • 応答 URL (Assertion Consumer Service URL)：https://slink.secioss.com/saml/saml2/sp/AssertionConsumerService.php?tenant=＜テナントID＞
          • サインオン URL：https://slink-idm.secioss.com/user/
          • ログアウト URL：https://slink.secioss.com/saml/saml2/sp/SingleLogoutservice.php
          • 一意のユーザー ID：「user.userprincipalname」⇒「ExtractMailPrefix (user.userprincipalname)」
  • 9. 認証用の設定完了後、「証明書 (Base64)」を選択し、証明書をダウンロードします。
  • 10. 証明書のダウンロード後、SeciossLinkへ登録するための情報を記録してきます。
    • • • • ログイン URL
          • Azure AD 識別子
          • ログアウト URL
• 11. サイドメニューの管理項目から「ユーザーとグループ」を選択します。
• 12. コンテンツエリアのヘッダーから 「+ ユーザーまたはグループの追加」を選択します。
• 13. 割り当ての追加画面でユーザーとグループのテキスト下にリンクを選択し、ID同期したユーザーを追加します。
• 14.追加したユーザーが一覧に表示されていればAzureAD側の設定は完了です。

SeciossLink管理画面での設定

AzureADとの連携のためSeciossLink側に連携用の設定登録を行います。

　1.特権管理者アカウントSeciossLinkの管理画面にログインします。
　2.サイドメニューの認証のプルダウンを開き、SAML IDプロバイダーのリンクを選択します。
　3. SAML IDプロバイダー 画面でAzureADで作成したエンタープライズアプリケーションの各種設定を登録します。
　　エンティティID：「 Azure AD 識別子」を設定します。
　　名前：任意の名前を設定してください。
　　ログインURL：「ログイン URL」を設定します。
　　ログアウトURL： 「ログアウト URL」を設定します。
　　IDの属性：「ユーザーID」を選択します。
　　SAML 公開鍵：ダウンロードした証明書を設定します。
　4.設定完了後、「保存」を選択し、設定情報の登録を行います。
　5. サイドメニューの認証のプルダウンを開き、新規登録のリンクを選択し、新規認証ルールを作成します。
　　ID：任意のID名を設定してください。
　　認証方法：「SAML認証」を認証方法一覧から選択します。
　　優先度：デフォルトのままで問題ありません。
　　クライアント ：デフォルトのままで問題ありません。
　　ルールの状態： ：デフォルトのままで問題ありません。
　　説明：この認証ルールの説明を自由に記載いただけます。
　6. 設定完了後、「登録」を選択し、設定情報の登録を行います。
　7.設定完了後、ユーザポータルログイン時に「SAML認証」を選択すると、AzureADへ認証問い合わせをおこない、認証成功後はユーザポータルへのアクセスが可能になります。

SeciossLink評価版

SeciossLinkでは基本機能が利用可能な評価版を公開しています。
SSOやID同期などの動きを確認することが可能です。
こちらから評価版の申し込みを行えます。

また、このブログで紹介しているSAML認証機能は評価版での利用が可能です。
機能や利用料金などの詳細についてはこちらからお問い合わせいただけます。

最後に

AzureADでのユーザー管理を行っているが、ユーザーの管理やアクセス制御でお困りの会社様
SeciossLinkと連携を行うことで多要素での認証やIPアドレスや時間帯などでのアクセス制御を簡単に設定することが可能です。

ぜひ一度、ご検討をしてみてはいかがでしょうか。