はじめに
AzureADをIDPとしてCertCentralにSSO(シングルサインオン)を行うための設定を行いました。ドキュメントは有るものの、ハマりポイントが多かったため覚書として記載しておきます。
手順
基本的には下記の通りに進めます。
[AzureAD]SAML構成
エンタープライズアプリケーション作成やユーザー作成が終わってからの手順補足。
- [基本的な SAML 構成] セクションで、次の手順を実行します。
- [識別子] ボックスに下記のURLを入力します。
https://www.digicert.com/account/sso/metadata
- [応答 URL] ボックスに下記のURLを入力します。
https://www.digicert.com/account/sso/
- [サインオン URL] ボックスに、次のパターンを使用して URL を入力します。
https://www.digicert.com/account/sso/<FEDERATION_NAME>/login
FEDERATION_NAMEは会社名などにしておくと良いようですが、後で入れなおすので適当に入れておいてOKです。
- [属性とクレーム] セクションで下記の内容を追記します。
| 名前 | ソース属性 |
|---|---|
| nameidentifier | user.userprincipalname |
| company | < companycode > |
| digicertrole | CanAccessCertCentral |
companycodeはCertCentral上で確認できるアカウント番号(数字7桁)です。
- [SAML 署名証明書]セクションで下記の内容をメモ帳などにコピペします。
- [アプリのフェデレーション メタデータ URL]
[CertCentral]の設定
基本的には下記の通りに進めます。
- DigicertのサポートチームにSSO設定の有効化を依頼する。メールで依頼するとすぐに対応してくれます。
- SSO設定が完了すると[設定]メニューに[シングルサインオン]が表示されるので、開きます。
- [フェデレーション設定を編集する]を選択します。
- [IDPのメタデータ]の項目で[動的URLを使用する]を選択してAzureADでコピペした[アプリのフェデレーション メタデータ URL]を貼り付けします。
- [どのようにユーザーを識別しますか?]の項目で[NameID]を選択します。
- [フェデレーション名]で会社名などの情報を入力します。
フェデレーション名は世界で一意でなければなりません。
- [フェデレーション名をIDPのリストに追加する]チェックボックスにチェックを入れます。
- [保存して終了する]ボタンを押します。
- [SP Initiated Custom SSO URL]が出てくるので、AzureADの[サインオン URL]と比べて差があればAzureAD側にコピペしておきます。
ユーザー
自動プロビジョニングはできないので、AzureADとCertCentralでそれぞれユーザーを作成して連携します。
おわりに
Digicertのテクニカルサポートは非常に丁寧で、AzureAD側の設定方法も教えてくださるので助かりました。
参考文献
英語版のみにAzureADの設定値情報があります。