コンテンツにスキップ

Azure Active Directoryを使用したSAML

このガイドでは、Azure Active Directory(Azure AD)をOstorlabのSAML SSOアイデンティティプロバイダー(IdP)として構成する手順について説明します。

前提条件

Azure ADの構成

Azure ADテナント(Azure AD tenant)へのアプリケーションの追加

  1. Azureポータルの左側のナビゲーションパネルで、Azure Active Directoryを選択します。

  2. Enterprise applicationsを選択します。Azure ADテナント内の既存のアプリケーションのいくつかが表示されます。 Enterprise Applications

  3. New applicationを選択します。 New Application

  4. Non-gallery applicationタイルを選択し、Add your own applicationパネルで、アプリケーション名としてOstorlabと入力し、Addを選択します。 Non Gallery Application

  5. 新しいOstorlabアプリケーションで、Single sign-onセクションに移動し、SAMLを選択します。 Single sign-on

  6. Basic SAML ConfigurationパネルのEditアイコンを選択します。 Saml Configuration

Azure ADアプリケーションへのOstorlabの構成の入力

使用する値は、Ostorlab組織のプレフィックスによって異なります。<os>を実際の組織プレフィックスに必ず置き換えてください。

SAML設定
Identifier (Entity ID) https://api.ostorlab.co/saml/metadata/
Reply URL https://api.ostorlab.co/saml/acs/?org=<organisation_prefix>
Relay State

Edited Saml Configuration

Name identifier formatの構成

  1. User Attributes & ClaimsパネルのEditアイコンを選択します。 Attributes and Claims Panel

  2. 次に、Name identifier valueの横にあるEditアイコンを選択します。 Attributes and Claims

  3. Manage User Claimsパネルで、Choose name identifier formatを展開し、Email addressを選択します。 Name Identifier Format

  4. 最後に、Manage User Claimsパネルの下部にあるSaveを選択します。

    重要: ユーザーがOstorlabを使用し始めたら、Name ID Formatの値を変更しないでください。EmailとPersistentの間で値を切り替えることもしないでください。
    : 新しいOstorlab SAMLアプリケーションを使用するために、ユーザーとグループを必ず割り当ててください。これにより、Ostorlab組織へのメンバーシップアクセスを制御できます。詳細については、Azure ADのドキュメントを参照してください。

SAML SSOのAzure AD側の構成が完了したので、Azure ADからSAML SSOリクエストを受信するようにOstorlabを構成する必要があります。

Ostorlab組織の構成

Azure ADからのSAML SSOリクエストを受け入れるようにOstorlab組織を構成するには、Azure Active DirectoryのIdentity Provider Entity IDとSign-On Service URLを提供する必要があります。

これを行うには、Azureポータル(Azure Portal)に移動し、Enterprise applicationsを選択して、前の手順で作成したアプリケーションをクリックします。Set up single sign onの下にあるGet Startedをクリックします。

 

Set up single sign on

 

  1. Set up testまで下にスクロールし、Azure AD Identifierをコピーします。これがIdentity Provider Entity IDです。

 

App Federation Metadata Url

 

  1. Login URLをコピーします。これがSign-On Service URLです。

 

Set up test

 

Ostorlabでの構成の追加

  1. SAML統合ページ https://report.ostorlab.co/integrations/saml に移動し、構成タブに切り替えます。

  2. 前の手順でコピーしたIdentity Provider Entity IDとSign-On Service URLを入力します。

  3. Sign-On Service Bindingとして urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST を選択します。
  4. X.509 Certificateフィールドに証明書を貼り付けます。
  5. Save/Updateをクリックします。

Azure ADを使用したOstorlabへのサインイン

Azure ADアプリケーションが作成され、その構成データがOstorlabに渡されると、SAML SSO認証情報を使用してOstorlabにサインインできるようになります。

https://report.ostorlab.co/account/login に移動し、LOGIN VIA SSOをクリックして、Ostorlab組織のプレフィックスを入力します。すべてが正しく構成されている場合は、Azure ADインスタンスにサインインするように求められ、その後すぐにOstorlabにリダイレクトされます。