メインコンテンツへスキップ

Microsoft Entra ID 編

SSO を実現するには、ご利用中の ID プロバイダと、EQ ポータルの両方に設定が必要です。

ここでは、ID プロバイダとして、Microsoft Entra ID をご利用の場合の設定方法について説明します。
※最新の設定および設定方法については、公式サイトをご覧ください
https://learn.microsoft.com/ja-jp/entra/identity/enterprise-apps/add-application-portal

【EQポータル設定】

EQ ポータルに管理者ユーザーでログインします。

azure1.png

歯車アイコンをクリックし、「シングルサインオンを有効にする」にチェックを入れます。

azure2.png


SAML認証設定」をクリックし、 「エンティティ ID」と「ACS URL」を控えておきます。

azure3.png

【Azure Portal設定】

管理者権限にてAzure Portalにログインし、「Azure Active Directory」を選択します。

「エンタープライズアプリケーション」を選択します。

azure4.png

 

「+新しいアプリケーション」で、アプリケーションを作成します。

azure5.png

 

「独自のアプリケーションの作成」枠内で、アプリの名前(例:EQ ポータル SAML 連携アプリ 等)を入力し、「ギャラリーに見つからないその他のアプリケーションを統合します」を、チェックします。

azure6.png

 

アプリケーション一覧から作成したエンタープライズアプリケーションを開いて「シングルサインオン」の設定を選択します。

azure6_2.png

 

「シングルサインオン方式の選択」で「SAML」を選択します。

azure7.png

 

「①」の箇所までスクロールし、「編集」をクリックします。

azure8.png

 

控えておいた「エンティティ ID」を、「識別子(エンティティ ID)」に指定します。

また、「ACS URL」を、「応答 URLAssertion Consumer Service URL)」に指定します。

azure9.png

 

「②」の箇所までスクロールし、「編集」をクリックします。

azure10.png

 

「必要な要求」の「クレーム名」が「一意のユーザー識別子(名前 ID)」をクリックします。

azure11.png

 

「名前識別子の形式」は「永続的」、ソース属性はメールアドレスであるuser.mailを選択します。

azure12.png

必須設定は以上です。

※ここからの手順は必須ではございませんので、特に必要でなければ、EQポータル設定のところまで移動ください。

ユーザーの姓名、またはグループIDEQポータルに渡して更新させたい場合、要求の管理にて属性とクレームを追加することで実現出来ます。

下記は「名」の作成例です。
姓名はそれぞれソース属性をuser.surname(姓)、user.givenname(名)とし、
その要求の名前をsurnamegivenname、名前空間は空、ソースは属性で作成します。

azure13.png

 

グループIDのクレーム設定を行うことでユーザーが所属しているグループのIDを送信することが出来ます。ユーザーが所属しているグループを管理する方法についてはMicrosoft Entra IDの公式ページを参照ください。
https://learn.microsoft.com/ja-jp/entra/fundamentals/how-to-manage-groups

属性とクレーム画面で「+グループ要求を追加する」をクリックするとグループクレームの画面が開きます。ここでソース属性からグループIDを選択、詳細オプションを開き、名前のところにgroupidと入力し保存します。

EQポータルはグループIDIdPグループIDとして処理します。

azure14.png

 

「③」の箇所までスクロールし、「ダウンロード」をクリックし、証明書を任意の場所にダウンロードしておきます。

azure15.png

 

「④」の箇所までスクロールし、「ログイン URL」の情報を控えておきます。

azure16.png

 

AuthnRequestの署名を検証したい場合、EQポータルとMicrosoft Entra ID側の双方でAuthnRequestへの署名を有効にしたうえでEQポータルの証明書をダウンロードし、Microsoft Entra IDに適用する必要があります。

SAML証明書」の欄の右端にある「編集」をクリックします。

azure17.png

 

SAML署名証明書」のダイアログが表示されますので「署名オプション」を
デフォルトの内容から「SAML応答とアサーションへの署名」へ変更して保存します。

azure18.png


SAML証明書」の欄の下方にある「検証証明書(オプション)」の「編集」をクリックし
証明書を追加します。

azure19.png

 

「検証証明書を必須とする」のチェックボックスにチェックを入れ、「証明書のアップロード」でEQポータルからダウンロードしてきたAuthnRequest署名用証明書をアップロードし保存します。これで署名検証の設定は完了です。

azure20.png

 

【EQポータル設定】

EQポータル画面に戻ります。

控えておいた「ログイン URL」を、「シングルサインオンURL」に指定します。

「署名検証を有効にする」にチェックを入れ、ダウンロードしておいた「証明書(Base64)」を「ファイルアップロード」からアップロードします。

azure21.png

 

ここまで完了したら、画面右上にある「更新」ボタンを押して設定を保存します。

azure22.png

設定を保存後、反映までに最大10分程度掛かる場合があります。

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
ページの先頭へ戻る