You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 3 Next »

作成日更新日影響を受けるバージョン修正バージョン

 

 

Management PortalN/A

説明

シングルサインオンは、ログイン処理を単純化してセキュリティを強化し、総合的な操作性(ユーザーエクスペリエンス)を向上させます。この記事では、Blancco Management Portalで利用可能なシングル サインオン機能を紹介します。また、Microsoft Entra ID(Azure AD)のSSOを設定して有効にするための一連の手順も説明します。

Blancco Management Portalのシングルサインオン設定は、マネージャー(Manager)ユーザー、あるいは「SSO設定」権限を付与されたカスタムロールを持つユーザーのみ設定可能です。 SSOの設定は、画面右上のユーザー名をクリックすると表示されるユーザーの「設定」から行うことができます。

ユーザーがSSO設定を構成する権限を持っている場合、「シングルサインオン (SSO) 」タブが表示されるはずです。このタブにはSSOに関連するすべての設定が含まれ、設定に必要なすべての詳細情報を提供します。

Blancco Management Portalのシングルサインオンは、ユーザーのプロビジョニングもサポートします。この機能により、Blancco Management Portalはユーザーがシングルサインオンを使用して最初に認証を行ったときに、対応するテナントに自動的にユーザーを作成することができます。

シングルサインオンは、Blancco Drive Eraser or Blancco Mobile Diagnostics and ErasureなどのBlanccoの消去製品ではサポートされていないことに注意してください。消去クライアントとManagement Portal間の通信には、アカウントの内部パスワードが必要です。

シングルサインオンはManagement Portal https://portal.blancco.cloud にログインする場合にのみサポートされます。

SAML 2.0で利用可能な設定

  • シングルサインオンURL - 応答URL/アサーションURLおよびIDプロバイダ設定のサインオンURLとして使用します。
  • サービスプロバイダ ID - SAML SSO を設定する際に、IDプロバイダ構成の識別子またはエンティティID として使用します。
  • SAMLメタデータURL - SAMLの対応するメタデータが存在する有効なURLを指定する必要があります。このURLは、SSOの設定後にIDプロバイダの詳細から利用可能になります。

OpenID Connectで利用可能な設定

  • シングルサインオンURL - IDプロバイダ側で SSO 設定を構成する際の返信/リダイレクトURL として使用します。
  • クライアントID - IDプロバイダのアプリケーション/クライアントID。
  • クライアントシークレット - 認証技術として使用される文字列ベースの鍵。
  • 発行者URL -  https://login.microsoftonline.com/GUID/v2.0 の形式で、 GUIDはEntra/AzureテナントIDに対応します。

シングルサインオンを使用したログイン

シングルサインオンを設定し、ユーザーが使用できるようになると、Management Portalのログイン画面に 「会社IDでログイン」ボタンが表示されます。

電子メールアドレスが設定されていない場合、あるいは対象のユーザーアカウントにSSOが設定されていない場合は、このボタンは表示されません。

「ログイン」ボタンを使用すると、シングルサインオンではなく、アカウントの内部パスワードを使用してユーザーを認証します。

Microsoft Entra ID/Azure AD - SAML 2.0を使用するSSO

SAML 2.0を使用するAzure ADでのシングルサインオンを設定するには、次の手順に従います。.

  1. Entra ID → 「エンタープライズアプリケーション」→「新しいアプリケーション」を開き、新しいエンタープライズアプリケーションを作成します。
    .

    次に、「独自のアプリケーションの作成」 を選択し、アプリケーションの名前を入力します。「アプリケーションでどのような操作を行いたいですか? 」の 質問には 「ギャラリー以外」の オプションを選択してください。
  2. 新しく作成したアプリケーションに対応するユーザー/グループを割り当てます(これにより、SSOを使用してサインインできるユーザーのリストが定義されます)。あるいは、 「プロパティ」オプションの 「ユーザーの割り当てが必要ですか?」 を無効にして、Entra IDテナントのすべてのユーザーがSSOを使用してログインできるようにすることもできます。
  3. 「シングルサインオン」タブで必要な設定を行います(サインオン方法には「SAML」を選択してください)。 
    1. 「基本的なSAML構成」で、「識別子 (エンティティID) 」、「応答URL (Assertion Consumer Service URL) 」、および「サインオンURL」を設定します。
      1. 「識別子 (エンティティ ID)」はBMP SSO設定で利用できる「サービスプロバイダID」 に対応します。
      2. 「返信URL(Assertion Consumer Service URL)」と「サインオンURL」は、いずれもBMP SSO設定で利用可能なシングルサインオンURLに対応しています。
    2. 「属性とクレーム」では、「name」属性を「user.displayname」に設定する必要があります。(デフォルトでは「user.userprincipalname」に設定されます)。
    3. 「SAML証明書」セクションにある「アプリのフェデレーションメタデータURL」を取得し、URLをBMP SSO設定の「SAMLメタデータURL」フィールドにコピーします。

Microsoft Entra ID/Azure AD - OpenID Connectを使用するSSO

OpenID Connectを使用するAzure ADでのシングルサインオンを設定するには、次の手順に従います。 

  1. 「アプリの登録」に移動し、「新規登録」を選択して、新しいアプリケーションを登録します。

    名前を入力し、適切なアカウントタイプを選択します。この例では、シングルテナントが選択されています。 「リダイレクトURI」を設定します。リダイレクトURIにはBMPのSSO設定に表示されるシングルサインオンURLを使用します。
  2. アプリ登録後、アプリの「アプリケーション(クライアント)ID」をBMPのSSO設定「クライアントID」欄にコピーします。
  3. 「クライアントシークレット」タブの 「新しいクライアントシークレット」を選択して、「証明書とシークレット」 に移動し、新しいクライアントシークレットを生成します。
    1. シークレットの説明と有効期限を設定し、「追加」をクリックします。

    2. 新しいシークレットを作成したら、シークレットの値をコピーし、BMP SSO設定の「クライアントシークレット」に入力します。

      シークレットの値は、シークレットを作成した直後にのみ表示されることに注意してください。値が既に非表示になっていて、コピーされていない場合は、新しいシークレットを作成する必要があります。

  4. Navigate to "API permissions" and grant admin consent for the "User.Read" API/Permission. This enables the system to check required user attributes need for the SSO authentication.
  5. Navigate to "Authentication" and make sure "Redirect URIs" is configured. If this was already configured when creating new app registration, this step can be ignored.
    1. Use the Single Sign-On URL available in BMP SSO settings as the redirect URI.
  6. Acquire "Issuer URL" from the "OpenID Connect metadata document".
    1. Open the document and locate "issuer" field from the document and copy the value to "Issuer URL" field in BMP SSO settings.

OpenID Connect SSOのユーザーとグループのアクセス制限

When the new application was registered as part of the previous steps, the system should have created an Enterprise Application with the same name automatically. This Enterprise Application can be used to control the list of users and groups who are allowed to use the SSO (similarly as with the SAML).

  1. Go to "Enterprise Applications" and locate the correct app, it should have the same name as the App registration which was created on the above steps.
  2. Navigate to "Properties" and set "Assignment required?" to "Yes".
  3. Navigate to "Users and groups" and define the list of users and/or groups allowed to sign in using SSO.


  • No labels