Page History

Description

説明

シングルサインオンは、ログイン処理を単純化してセキュリティを強化し、総合的な操作性 (ユーザーエクスペリエンス) を向上させます。この記事では、Blancco Management Portalで利用可能なシングル サインオン機能を紹介します。また、Microsoft Single sign-on simplifies the login process, enhances security and improves the overall user experience. This page introduces the single sign-on feature available in the Blancco Management Portal. Also set of instructions is available to configure and enable SSO for Microsoft Entra ID (Azure AD) .のSSOを設定して有効にするための一連の手順も説明します。

In Blancco Management Portal Single sign-on settings are available for manager users or user with a custom role granting "Configure SSO" authority. SSO settings are available under user's "Settings" which can be accessed by clicking your username from the top right corner of the screen.

Image Removed

If the user has authority to configure the SSO setting a "Single Sign-On (SSO)" tab should be available. This tab contains all the SSO related settings and provides all the required details to set it up.

Blancco Management Portalのシングルサインオン設定は、Managerユーザー、あるいは「SSO設定」権限を付与されたカスタムロールを持つユーザーのみ設定可能です。 SSOの設定は、画面右上のユーザー名をクリックすると表示されるユーザーの「設定」から行うことができます。

Image Added

ユーザーがSSO設定を設定する権限を持っている場合、「シングルサインオン (SSO) 」タブが表示されるはずです。このタブにはSSOに関連するすべての設定が含まれ、設定に必要なすべての情報を提供します。

...

SAML 2.

...

0で利用可能な設定

• Single Sign-On URL - This URL is used as the reply URL/assertion URL as well as the sign on URL on the identity provider configuration.
• Service Provider ID - This value is used as the identifier or the entity ID on the identity provider configuration when setting up SAML SSO.
• SAML metadata URL - User needs to provide a valid URL from where the corresponding metadata for the SAML can be found. This URL should be available from the identity provider details after configuring the SSO.

Image Removed

Settings available for OpenID Connect

• シングルサインオンURL - このURLは、応答URLまたはアサーションURL、IDプロバイダ設定のサインオンURLとして使用します。
• サービスプロバイダ ID - この値は、SAML SSOを設定する際に、IDプロバイダ構成の識別子またはエンティティIDとして使用します。
• SAMLメタデータURL - SAMLの対応するメタデータが存在する有効なURLを指定する必要があります。このURLは、SSOの設定後にIDプロバイダの詳細から利用可能になります。

Image Added

OpenID Connectで利用可能な設定

• シングルサインオンURL - このURLは、IDプロバイダ側でSSO設定を構成する際の返信URLまたはリダイレクトURL として使用します。
• クライアントID - これはIDプロバイダのアプリケーションIDまたはクライアントIDです。
• クライアントシークレット - 認証技術として使用される文字列ベースの鍵。
• 発行者URL -
• Single Sign-On URL - This URL is used as the reply/redirect URL when configuring the SSO settings on the identity provider side.
• Client ID - Application/Client ID of the identity provider.
• Client secret - A string based key used as the authentication technique.
• Issuer URL - Similar to https://login.microsoftonline.com/GUID/v2.0 where GUID corresponds to Entra/Azure tenant ID.

Image Removed

Log in using Single Sign-On

• の形式で、 GUIDはEntraテナントIDまたはAzureテナントIDに対応します。

Image Added

シングルサインオンを使用したログイン

シングルサインオンを設定し、ユーザーが使用できるようになると、Management Portalのログイン画面に 「会社IDでログイン」 (After single sign-on is configured and available for the user, "Log in with company ID" button appears on the Management Portal login screen.

Image Removed

If no email address is provided or the user account in question doesn't have SSO configured this button is not available.

) ボタンが表示されます。

Image Added

電子メールアドレスが設定されていない場合、あるいは対象のユーザーアカウントにSSOが設定されていない場合は、このボタンは表示されません。

「ログイン」 (Log in) ボタンを使用すると、シングルサインオンではなく、アカウントの内部パスワードを使用してユーザーを認証します。Using the "Log in" button authenticates the user using the internal password of the account and not through the single sign-on.

Microsoft Entra ID/Azure AD -

...

SAML 2.

...

0を使用するSSO

Follow these steps to set up single sign-on with Azure AD using SAML 2.00を使用するAzure ADでのシングルサインオンを設定するには、次の手順に従います。.

1. Create a new enterprise application by opening Entra ID → "「エンタープライズアプリケーション」 (Enterprise applications" → ") →「新しいアプリケーション」 (New application") を開き、新しいエンタープライズアプリケーションを作成します。
   .
   
   Then select "次に、「独自のアプリケーションの作成」 (Create your own application" and fill in the name of the application. Also make sure to select the "Non-gallery" option under the ") を選択し、アプリケーションの名前を入力します。「アプリケーションでどのような操作を行いたいですか? 」 (What are you looking to do with your application?" section.) の質問には 「ギャラリー以外」 (Non-gallery) の オプションを選択してください。
   
2. Assign corresponding users/groups to the newly created application (this defines the list of users who are allowed to sign in using SSO). Alternatively you can disable the Properties option "Assigment required?" to allow any user in your Entra ID tenant to login using SSO.
3. 新しく作成したアプリケーションに対応するユーザーまたはグループを割り当てます (これにより、SSOを使用してサインインできるユーザーのリストが定義されます) 。あるいは、「プロパティ」オプションの 「ユーザーの割り当てが必要ですか？」を無効にして、Entra IDテナントのすべてのユーザーがSSOを使用してログインできるようにすることもできます。
4. 「シングルサインオン」タブで必要な設定を行います (サインオン方法には「SAML」を選択してください) 。 
   1. 「基本的なSAML構成」で、「識別子 (エンティティID) 」、「応答URL
   Configure required settings under the "Single sign-on" tab (make sure to select "SAML" as the sign-on method)
   1. Under the "Basic SAML Configuration" define "Identifier (Entity ID)", "Reply URL (Assertion Consumer Service URL) " and "Sign on URL". 」、および「サインオンURL」を設定します。
      1. 「識別子 (エンティティ ID) 」はBMP SSO設定で利用できる「サービスプロバイダID」 に対応します。
      2. 「返信URL
      3. "Identifier (Entity ID)" corresponds to "Service Provider ID" available in the BMP SSO settings
      4. "Reply URL (Assertion Consumer Service URL) " and "Sign on URL" both correspond to Single Sign-On URL available in the BMP SSO settings.
   2. Under "Attributes & Claims" the "name" attribute should be set to "user.displayname" (by default this is set to "user.userprincipalname").
   3. Acquire "App Federation Metadata Url" which is available under "SAML Certificates" section and copy the URL to BMP SSO settings to the "SAML metadata URL" field.

Microsoft Entra ID/Azure AD - SSO with OpenID Connect

Follow these steps to set up single sign-on with Azure AD using OpenID Connect.

1. Register a new application in by navigating to "App registrations" and then selecting "New registration".
   Image Removed
   Fill in the name and select appropriate account type, in this example single tenant option is selected. Set the "Redirect URI", use the Single Sign-On URL available in BMP SSO settings as the redirect URI.
   Image Removed
2. After registering the app copy "Application (client) ID" from the app to the BMP SSO settings "Client ID" field.
3. Navigate to "Certificates & secrets" to generate new client secret by selecting "New client secret" under the "Client secrets" -tab.
   1. Define description and expiration for the secret and click "Add".

   2. After creating a new secret copy secret's value and enter it as the "Client secret" in BMP SSO settings.

      Info
      Note that the secret value is only shown right after creating a secret. If the value is already hidden and wasn't copied over a new secret needs to be created.

4. Navigate to "API permissions" and grant admin consent for the "User.Read" API/Permission. This enables the system to check required user attributes need for the SSO authentication.
5. Navigate to "Authentication" and make sure "Redirect URIs" is configured. If this was already configured when creating new app registration, this step can be ignored.
   
   1. Use the Single Sign-On URL available in BMP SSO settings as the redirect URI.
6. Acquire "Issuer URL" from the "OpenID Connect metadata document".
   1. Open the document and locate "issuer" field from the document and copy the value to "Issuer URL" field in BMP SSO settings.

Limiting user and group access for the OpenID Connect SSO

When the new application was registered as part of the previous steps, the system should have created an Enterprise Application with the same name automatically. This Enterprise Application can be used to control the list of users and groups who are allowed to use the SSO (similarly as with the SAML).

...

1. 1. 1. 」と「サインオンURL」は、いずれもBMP SSO設定で利用可能なシングルサインオンURLに対応しています。
   2. 「属性とクレーム」では、「name」属性を「user.displayname」に設定する必要があります。 (デフォルトでは「user.userprincipalname」に設定されます) 。
   3. 「SAML証明書」セクションにある「アプリのフェデレーションメタデータURL」を取得し、URLをBMP SSO設定の「SAMLメタデータURL」フィールドにコピーします。

Microsoft Entra IDまたはAzure AD - OpenID Connectを使用するSSO

OpenID Connectを使用するAzure ADでのシングルサインオンを設定するには、次の手順に従います。 

1. 「アプリの登録」 (App registrations) に移動し、「新規登録」 (New registration) を選択して、新しいアプリケーションを登録します。
   Image Added
   名前を入力し、適切なアカウントタイプを選択します。この例では、シングルテナントが選択されています。「リダイレクトURI」を設定します。リダイレクトURIにはBMPのSSO設定に表示されるシングルサインオンURLを使用します。
   Image Added
2. アプリ登録後、アプリの「アプリケーション (クライアント) ID」をBMPのSSO設定「クライアントID」欄にコピーします。
3. 「クライアントシークレット」タブの 「新しいクライアントシークレット」を選択して、「証明書とシークレット」 に移動し、新しいクライアントシークレットを生成します。
   1. シークレットの説明と有効期限を設定し、「追加」をクリックします。

   2. 新しいシークレットを作成したら、シークレットの値をコピーし、BMP SSO設定の「クライアントシークレット」に入力します。

      Info
      シークレットの値は、シークレットを作成した直後にのみ表示されることに注意してください。値が既に非表示になっていて、コピーされていない場合は、新しいシークレットを作成する必要があります。

4. 「APIアクセス許可」に移動し、「User.Read」API/Permissionに管理者の同意を付与します。これにより、システムはSSO認証に必要なユーザー属性をチェックすることができます。
5. 「認証」に移動し、「リダイレクトURI」が設定されていることを確認します。新規アプリ登録時にすでに設定されている場合は、このステップは無視できます。
   
   1.  BMP SSO設定で表示されるシングルサインオンURLをリダイレクトURIとして使用します。
6. 「OpenID Connectメタデータドキュメント」から「発行者URL」を取得します。 
   1. ドキュメントを開き、ドキュメントから「issuer」フィールドを見つけて、その値をBMP SSO設定の「発行者URL」フィールドにコピーします。

OpenID Connect SSOのユーザーとグループのアクセス制限

前述の手順で新しいアプリケーションが登録されると、同じ名前のエンタープライズアプリケーションがシステムにより自動的に作成されます。このエンタープライズアプリケーションを使用して、SSO の使用を許可するユーザとグループのリストを制御できます (SAML の場合と同様) 。

1. 「エンタープライズアプリケーション」に移動し、適切なアプリを見つけます。このアプリは、上記の手順で作成したアプリ登録と同じ名前が付いているはずです。
2. 「プロパティ 」に移動して、「割り当てが必要ですか？」で 「はい 」を選択します。
3. 「ユーザーとグループ 」に移動し、SSOを使用してサインインすることを許可するユーザーおよびグループのリストを定義します。

ユーザーのメールアドレスの小文字変換

Blancco Management Portalでは、ユーザーのメールアドレスを小文字で入力する必要があります。大文字が含まれているとシステムが正常に動作しなくなります。メールアドレスを小文字で扱うための変換ルールを追加するとこの手間を軽減できます。

次の手順は、Entra IDにおいて電子メール アドレス変換規則を設定する方法です。

1. BMP SSO専用のエンタープライズアプリケーションを開き、「シングルサインオン」に移動し、次に「属性とクレーム」に移動して、クレームを編集します。

2. 「追加の要求」セクションにある「emailaddress」要求 (値を user.mail に設定) を開いて編集し、要求ソースを「変換」にします。

3. 「変換の管理」ダイアログで次のように設定します。

   1. 変換 - ToLowercase()

   2. パラメータ1 - 属性

   3. 属性名 - user.mail

   4. Image Added

4. 変更を保存します。
5. 「属性とクレーム」は次のようになります (変換ルールがEメールアドレスクレームに適用される) 。

Image Added

...