search
LoginSignup
3
Help us understand the problem. What are the problem?

posted at

updated at

oViceでAzureAD SAML2.0の設定方法

oViceでAzureAD SAML2.0でログインしたユーザーのみが入場できる設定にする方法です。
初めてAzureADを設定する人でもこちらの記事を参考にすれば5分で設定できると思います。

手順が大きく下記の2つに分かれています。

基本設定
oViceで階層構造をご利用中のお客様へ

oViceを複数スペースで同じSSO設定をご利用されたいお客様は「基本設定」に加えて、後者の設定も実施してください。

基本設定

前提:

  1. oViceの管理権限を持っている
  2. AzureADの管理権限を持っている

設定の流れ:

1.AzureAD上で独自アプリの作成
2.AzureADの情報を集める
3.oViceの設定
4.AzureADの設定
5.oViceに証明書設定
6.AzureADでユーザーまたはグループ追加
*Azure AD側のユーザーデータ「givenname」と「email」を利用するので、ユーザーデータにデータが入っている必要があります。

※補足
可変設定

1. AzureAD上で独自アプリの作成

Azureのホーム画面を開きます。

リンク:https://portal.azure.com/#home

HdMZ5.png

「Azure Active Directory」のページを開きます。

サイドバー > Azure Active Directory をクリック
スクリーンショット 2021-01-31 17.25.17.png

「エンタープライズアプリケーション」をクリック

スクリーンショット 2021-01-31 17.25.29.png

「新しいアプリケーション」をクリック

スクリーンショット 2021-02-19 21.21.57.png

「独自のアプリケーションを作成」をクリック

スクリーンショット 2021-01-31 17.23.37.png

独自アプリの作成

名前を入力後、「作成」をクリック
以下のラジオボタンはそのままでOK
「ギャラリーに見つからないその他のアプリケーションを統合します」

※今回は「oViceTestY」というアプリ名で設定を進めてます。
image.png

2. AzureADの情報を集める

はじめにoViceに設定する項目をAzureADの情報を集めます。

「シングルサインオンの設定」をクリック

独自アプリの作成後の画面でそのまま進められます。
image.png

「SAML」をクリック

oViceの設定画面で必要な情報を集めます。
image.png

3. oViceの設定

AzureADの情報をoViceに設定します。
oViceの管理画面でSSOの「SAML2 MANAGEMENT」-「追加」をクリックしてSAML設定画面を開いてください。
image.png

oViceの管理画面と横に並べて下図のようにAzureADのSAML設定をoViceのSAML設定にコピー&ペーストで入力、「保存」をクリックしてください。
image.png

4. AzureADの設定

oViceの情報をAzureADに設定します。

「基本的なSAML構成」の設定

右上の「編集」をクリック
image.png

oViceの情報をAzureADに設定し、左上の「保存」ボタンをクリック
image.png

「属性とクレーム」の設定

右上の「編集」をクリック
image.png

こちらの項目は設定を変更する必要がございます。
「追加の要求」に対して[givenname],[emailaddress]の必須項目を入れ下記画像の用に、[user.mail]および、[user.givenname]or[user.surname]などへ変換いただく事でIDP側の属性を設定できます。

image.png

・emailaddress(値:user.mail)
image.png

・givenname(値:user.givenname)
image.png

※IDP側の姓_名などの規則を設けたい場合以下の項目を参考にご変更ください。
6.AzureADでユーザーまたはグループ追加

5. oViceに証明書設定

  1. AzureADのSAML設定画面で証明書がダウンロードできるようになっているのでクリックし、証明書をダウンロード。(ファイル名:****.cer(今回だと「oViceTestY.cer」))。ダウンロードした証明書をテキストエディタで開きます。
    image.png
    ※ Macユーザーの方は、証明書をダブルクリックすると自動で「キーチェーン」が立ち上がってしまい、開けないので注意が必要です。。!
    「このアプリケーションで開く」を選択して、デフォルトのエディターで開くと見れます。

  2. oViceに証明書設定
    oViceの管理画面でSSOの「SAML2 MANAGEMENT」で先程追加したSAMLの「編集」をクリックしてSAML設定画面を開いてください。
    image.png

テキストエディタで開いた証明書ファイルの中身をすべてコピーし、「Idp x509 cert:」に貼り付け、保存してください。
※"-----BEGIN CERTIFICATE-----"、"-----END CERTIFICATE-----"も含めてください
image.png

6. AzureADでユーザーまたはグループ追加

  1. AzureADの画面に戻り、左側メニューから「ユーザーとグループ」を選択。表示されたメニューの「+ユーザーまたはグループの追加」をクリック
    image.png

  2. 今回の手順では、ユーザーを追加しますので「ユーザー」下の「選択されていません」をクリック
    ※こちらの画面はAzureADのご契約プランにより表示が変わってくるかと思います
    image.png

  3. 右側にユーザーリストが表示されますので追加したいユーザーをクリック
    image.png

  4. 選択したユーザーが「選択した」アイテムにコピーされますので、追加したいすべてのユーザーを選択したら「選択」ボタンをクリック
    image.png

5.「割当」ボタンをクリック
image.png

  1. リストに割り当てたユーザーが追加される
    image.png

これで設定完了です!!

結果:ログインの画面

https://[お客様のスペースのドメイン].ovice.in/login
をブラウザで開いて
SAML(OVICETESTY)と表示されていれば完成🙆‍♀️
※()の中の文字はoViceのSAML設定画面-「IdpName」で入力した文字列となります
image.png

「6. AzureADでユーザーまたはグループ追加」で追加したユーザーでログインしてみてください。

oViceで階層構造をご利用中のお客様へ

上記までの「基本設定」の手順にプラスして以下の設定をして頂けますと、階層構造になっている全てのスペースでSAMLボタンからスペースへ入室可能となります。
oViceをビル化されていて複数スペースで同じSSO設定をご利用されたいお客様は「基本設定」に加えて、こちらの設定も実施してください。

前提:

1.oViceの管理権限を持っている
2.AzureADの管理権限を持っている

設定の流れ:

基本的に上記で記した設定方法と変わりませんので
プラスして行う下記の設定のみ手順を記述します。
1.oViceの設定(階層構造)
2.AzureADの設定(階層構造)

1. oViceの設定(階層構造)

oVice側では「Permission Inheritance」の設定を行う必要があります。
下記手順を参照し、SSO設定を1つのスペースで設定した後、それ以外の各フロアにて設定済みスペースのサブドメインを入力し保存してください。
Permission Inheritanceの設定手順

① 管理者メニューから「Permission Inheritance」を選択。

②「Source domain」にSSO設定を行ったスペースのサブドメインを入力。

③「保存」ボタンを選択。

image.png

④ 手順①~③をスペース分、繰り返す。

2. AzureADの設定(階層構造)

実施する設定は「基本的なSAML構成」で”識別子”と”応答URL”を追加するのみです。

①「基本的なSAML構成」の編集画面を開きます。

スクリーンショット 2021-01-31 17.41.59.png

②「識別子の追加」を選択します。

image.png

③ 元からある設定値をコピーして、"http://[サブドメイン].ovice.in/[SAML用データ]"を入力します。

※元からある設定値と変わるのは[サブドメイン]の部分だけです。「1.oViceの設定(階層構造)」でPermission Inheritanceの設定をしたスペースのサブドメインにしてください。
image.png

④ 手順③を対象スペース分、繰り返します。

⑤「応答URLの追加」を選択します。

image.png

⑨ 元からある設定値をコピーして、"http://[サブドメイン].ovice.in/[SAML用データ]"を入力します。

※元からある設定値と変わるのは[サブドメイン]の部分だけです。「1.oViceの設定(階層構造)」でPermission Inheritanceの設定をしたスペースのサブドメインにしてください。
image.png

⑦ 手順⑥を対象スペース分、繰り返します。

⑧ すべて追加し終わったら、「保存」ボタンを選択。

image.png

⑧ 複数のビルに同じSAMLカスタムアプリケーションをご登録を想定されている場合

「2. AzureADの設定(階層構造)」で前述した工程にてビル内のスペースごとに設定いただく事で利用可能となります。

※[Permission Inheritanceの設定手順] はフロア階層のみに適応されますので、ビルに徳亭のSAMLを作成する事が目的の場合は割愛してください。

以上で設定は完了です!!
設定を追加した各スペースでベースに使ったスペースと同じように認証が行えるか確認してみてください。

可変設定する方法

以下の手順にて「属性とクレーム」にて設定をした Givenname 及び Email を可変設定し、
任意の属性を組み合わせることが可能です。

こちらの事例では、oViceの初回SAMLログイン時にAzure側に設定している名前をoViceでフルネーム表示できるように、Azure側が持つ「given.name(名)」を、「given.name(名)+sur.name(姓)」に変換する事例です。
※こちらはAzure側にて設定されている要件によって異なります。

1.先程作成したカスタムSAMLアプリケーションを選択し、シングルサインオンの設定を開いてください。

2.「属性とクレーム」横の「編集」を選択し、設定した [user.givenname] または [user.mail]いづれかの「追加の要求」を開いてください。
image.png

3.名前の形式を選択する のソースにて、「変換」を選択してください。
※今回の事例では User.givenname を、Azure側が保持している user.surname に変更しています。
image.png

4.左上の保存を選択。

以上で可変設定は完了です。
他にもIDP側がもつ識別子に割り当てたい場合などに活用いただけますので、ご参考ください。

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
What you can do with signing up
3
Help us understand the problem. What are the problem?