SAML 認証機能 Azure AD での手順

シングルサインオン設定の過程では、シングルサインオンプロバイダ側での操作が必要になります。
このページでは、Microsoft Azure AD での手順についてご説明します。

以下の手順は、Shifter側でのシングルサインオンの設定の「4. シングルサインオンプロバイダでの作業」で行なってください。

Azure Active Directory を設定する

Microsoft Azure の管理画面( https://portal.azure.com/#home )にログインします。

「 Azure Active Directory 」 をクリックします。

「エンタープライズアプリケーション」をクリックします。

「 新しいアプリケーション」をクリックします。

「独自のアプリケーションの作成」をクリックします。

「お使いのアプリの名前は何ですか?」の入力欄に任意の名前(例:Shifter-Azure-AD )を入力します。

「アプリケーションでどのような操作を行いたいですか?」欄で「ギャラリーに見つからないその他のアプリケーションを統合します (ギャラリー以外)」を選択し、「作成」 ボタンをクリックします。

作成が完了するまで、数十秒から一分ほどかかる場合があります。

ログインさせるユーザを Azure Active Directory に追加する

「1.ユーザーとグループの割り当て」をクリックします。

「ユーザーまたはグループの追加」をクリックします。

「ユーザー」をクリックします。

登録するユーザを選択し、「選択」ボタンをクリックします。

「割り当てる」ボタンをクリックします。

SAML によるシングル サインオンのセットアップ

「シングルサインオン」をクリックします。

「基本的な SAML 構成」の「編集」をクリックします。

各入力項目を設定します。

  • 識別子 (エンティティ ID): Shifter ダッシュボードのオーディエンス (urn:amazon:cognito から始まる値) の値
  • 応答 URL (Assertion Consumer Service URL): Shifter ダッシュボードのコールバック URL (https:// から始まる値)
  • サインオン URL (省略可能): Shifter ダッシュボードのログイン URL (https:// から始まる値)
  • リレー状態 (省略可能): https://go.getshifter.io
  • ログアウト URL (省略可能): https://go.getshifter.io

「保存」をクリックします。

「 SAML 証明書」にある「フェデレーションメタデータXML」をダウンロードします。

登録ユーザに関する設定

登録ユーザのプロファイルにある、「ユーザープリンシパル名」の入力欄に#EXT# が含まれてる場合はこれを削除します。手順は以下の通りです。

「ユーザー」 をクリックします。

対象ユーザーをクリックします。

「プロパティの編集」をクリックします。

「ユーザープリンシパル名」の入力欄に設定された#EXT# を削除します。

削除前

削除後

[オプション] 登録ユーザに特定の role (administrator, editor, contributor) を指定する

「属性とクレーム」の「編集」 をクリックします。

「新しいクレームの追加」 をクリックします。

以下の項目を設定します。

  • 名前: systemrole
  • 名前空間: http://schemas.xmlsoap.org/ws/2005/05/identity/claims
  • ソース: 属性
  • ゾース属性: Administrator, Editor, Contributor のうちいずれかを設定する

設定を保存します。

[オプション] 登録ユーザの所属チームを指定する

「属性とクレーム」の「編集」 をクリックします。

「新しいクレームの追加」 をクリックします。

以下の項目を設定します。 

  • 名前: systemteam
  • 名前空間: http://schemas.xmlsoap.org/ws/2005/05/identity/claims
  • ソース: 属性
  • ゾース属性: Team ID を入力する。複数ある場合はカンマで区切る。

設定を保存します。

Microsoft Azure 側での操作は以上です。
引き続き、シングルサインオンの設定の「5. Shifter ダッシュボードでの操作」以降の作業を行なってください。