Page History

...

Blancco Management Portalのシングルサインオン設定は、マネージャー(Manager)ユーザー、あるいは「SSO設定」権限を付与されたカスタムロールを持つユーザーのみ設定可能です。 SSOの設定は、画面右上のユーザー名をクリックすると表示されるユーザーの「設定」から行うことができます。

Image RemovedImage Added

ユーザーがSSO設定を構成する権限を持っている場合、「シングルサインオン ユーザーがSSO設定を設定する権限を持っている場合、「シングルサインオン (SSO) 」タブが表示されるはずです。このタブにはSSOに関連するすべての設定が含まれ、設定に必要なすべての詳細情報を提供します。

...

1. 「アプリの登録」に移動し、「新規登録」を選択して、新しいアプリケーションを登録します。
   
   名前を入力し、適切なアカウントタイプを選択します。この例では、シングルテナントが選択されています。 「リダイレクトURI」を設定します。リダイレクトURIにはBMPのSSO設定に表示されるシングルサインオンURLを使用します。
   
2. アプリ登録後、アプリの「アプリケーション（クライアント）ID」をBMPのSSO設定「クライアントID」欄にコピーします。
3. 「クライアントシークレット」タブの 「新しいクライアントシークレット」を選択して、「証明書とシークレット」 に移動し、新しいクライアントシークレットを生成します。
   1. シークレットの説明と有効期限を設定し、「追加」をクリックします。

   2. 新しいシークレットを作成したら、シークレットの値をコピーし、BMP SSO設定の「クライアントシークレット」に入力します。

      Info
      シークレットの値は、シークレットを作成した直後にのみ表示されることに注意してください。値が既に非表示になっていて、コピーされていない場合は、新しいシークレットを作成する必要があります。

4. Navigate to "API permissions" and grant admin consent for the "User.Read" API/Permission. This enables the system to check required user attributes need for the SSO authentication.
5. Navigate to "Authentication" and make sure "Redirect URIs" is configured. If this was already configured when creating new app registration, this step can be ignored.
   
   1. Use the Single Sign-On URL available in BMP SSO settings as the redirect URI.
6. Acquire "Issuer URL" from the "OpenID Connect metadata document".
   1. Open the document and locate "issuer" field from the document and copy the value to "Issuer URL" field in BMP SSO settings.

OpenID Connect SSOのユーザーとグループのアクセス制限

When the new application was registered as part of the previous steps, the system should have created an Enterprise Application with the same name automatically. This Enterprise Application can be used to control the list of users and groups who are allowed to use the SSO (similarly as with the SAML).

1. 「APIアクセス許可」に移動し、「User.Read」API/Permissionに管理者の同意を付与します。これにより、システムはSSO認証に必要なユーザー属性をチェックすることができます。
2. 「認証」に移動し、「リダイレクトURI」が設定されていることを確認します。新規アプリ登録時にすでに設定されている場合は、このステップは無視できます。
   
   1.  BMP SSO設定で表示されるシングルサインオンURLをリダイレクトURIとして使用します。
3. 「OpenID Connectメタデータドキュメント」から「発行者URL」を取得します。 
   1. ドキュメントを開き、ドキュメントから「issuer」フィールドを見つけて、その値をBMP SSO設定の「発行者URL」フィールドにコピーします。

OpenID Connect SSOのユーザーとグループのアクセス制限

前述の手順で新しいアプリケーションが登録されると、同じ名前のエンタープライズアプリケーションがシステムにより自動的に作成されます。このエンタープライズアプリケーションを使用して、SSO の使用を許可するユーザとグループのリストを制御できます （SAML の場合と同様）。

1. 「エンタープライズアプリケーション」に移動し、適切なアプリを見つけます。このアプリは、上記の手順で作成したアプリ登録と同じ名前が付いているはずです。
2. 「プロパティ 」に移動して、「割り当てが必要ですか？」で 「はい 」を選択します。
3. 「ユーザーとグループ 」に移動し、SSOを使用してサインインすることを許可するユーザーおよびグループのリストを定義します。
4. Go to "Enterprise Applications" and locate the correct app, it should have the same name as the App registration which was created on the above steps.
5. Navigate to "Properties" and set "Assignment required?" to "Yes".
6. Navigate to "Users and groups" and define the list of users and/or groups allowed to sign in using SSO.