Versions Compared

Old Version 2

changes.mady.by.user Tamaki Aizawa

Saved on

compared with

New Version 3

changes.mady.by.user Tamaki Aizawa

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

「ログイン」ボタンを使用すると、シングルサインオンではなく、アカウントの内部パスワードを使用してユーザーを認証します。

Microsoft Entra ID/Azure AD - SAML 2.

...

0を使用するSSO

SAML 2.0を使用するAzure ADでのシングルサインオンを設定するには、次の手順に従います。.

  1. Entra ID → 「エンタープライズアプリケーション」→「新しいアプリケーション」を開き、新しいエンタープライズアプリケーションを作成します。
    .

    次に、「独自のアプリケーションの作成」 を選択し、アプリケーションの名前を入力します。「アプリケーションでどのような操作を行いたいですか? 」の 質問には 「ギャラリー以外」の オプションを選択してください。
  2. 新しく作成したアプリケーションに対応するユーザー/グループを割り当てます(これにより、SSOを使用してサインインできるユーザーのリストが定義されます)。あるいは、 「プロパティ」オプションの 「ユーザーの割り当てが必要ですか?」 を無効にして、Entra IDテナントのすべてのユーザーがSSOを使用してログインできるようにすることもできます。
  3. 「シングルサインオン」タブで必要な設定を行います(サインオン方法には「SAML」を選択してください)。 
    1. 「基本的なSAML構成」で、「識別子 (エンティティID) 」、「応答URL (Assertion Consumer Service URL) 」、および「サインオンURL」を設定します。
      1. 「識別子 (エンティティ ID)」はBMP SSO設定で利用できる「サービスプロバイダID」 に対応します。
      2. 「返信URL(Assertion Consumer Service URL)」と「サインオンURL」は、いずれもBMP SSO設定で利用可能なシングルサインオンURLに対応しています。
    2. 「属性とクレーム」では、「name」属性を「user.displayname」に設定する必要があります。(デフォルトでは「user.userprincipalname」に設定されます)。
    3. 「SAML証明書」セクションにある「アプリのフェデレーションメタデータURL」を取得し、URLをBMP SSO設定の「SAMLメタデータURL」フィールドにコピーします。

Microsoft Entra ID/Azure AD - OpenID

...

Connectを使用するSSO

OpenID Connectを使用するAzure ADでのシングルサインオンを設定するには、次の手順に従います。 

  1. 「アプリの登録」に移動し、「新規登録」を選択して、新しいアプリケーションを登録します。
    Image Added
    名前を入力し、適切なアカウントタイプを選択します。この例では、シングルテナントが選択されています。 「リダイレクトURI」を設定します。リダイレクトURIにはBMPのSSO設定に表示されるシングルサインオンURLを使用します。
    Image Added
  2. アプリ登録後、アプリの「アプリケーション(クライアント)ID」をBMPのSSO設定「クライアントID」欄にコピーします。
  3. 「クライアントシークレット」タブの 「新しいクライアントシークレット」を選択して、「証明書とシークレット」 に移動し、新しいクライアントシークレットを生成します。
    1. シークレットの説明と有効期限を設定し、「追加」をクリックします。

    2. 新しいシークレットを作成したら、シークレットの値をコピーし、BMP SSO設定の「クライアントシークレット」に入力します。

      Info

      シークレットの値は、シークレットを作成した直後にのみ表示されることに注意してください。値が既に非表示になっていて、コピーされていない場合は、新しいシークレットを作成する必要があります。

Follow these steps to set up single sign-on with Azure AD using OpenID Connect.

  1. Register a new application in by navigating to "App registrations" and then selecting "New registration".
    Image Removed
    Fill in the name and select appropriate account type, in this example single tenant option is selected. Set the "Redirect URI", use the Single Sign-On URL available in BMP SSO settings as the redirect URI.
    Image Removed
  2. After registering the app copy "Application (client) ID" from the app to the BMP SSO settings "Client ID" field.
  3. Navigate to "Certificates & secrets" to generate new client secret by selecting "New client secret" under the "Client secrets" -tab.
    1. Define description and expiration for the secret and click "Add".

    2. After creating a new secret copy secret's value and enter it as the "Client secret" in BMP SSO settings.

      Info

      Note that the secret value is only shown right after creating a secret. If the value is already hidden and wasn't copied over a new secret needs to be created.

  4. Navigate to "API permissions" and grant admin consent for the "User.Read" API/Permission. This enables the system to check required user attributes need for the SSO authentication.
  5. Navigate to "Authentication" and make sure "Redirect URIs" is configured. If this was already configured when creating new app registration, this step can be ignored.
    1. Use the Single Sign-On URL available in BMP SSO settings as the redirect URI.
  6. Acquire "Issuer URL" from the "OpenID Connect metadata document".
    1. Open the document and locate "issuer" field from the document and copy the value to "Issuer URL" field in BMP SSO settings.

...

OpenID Connect

...

SSOのユーザーとグループのアクセス制限

When the new application was registered as part of the previous steps, the system should have created an Enterprise Application with the same name automatically. This Enterprise Application can be used to control the list of users and groups who are allowed to use the SSO (similarly as with the SAML).

...