作成日更新日影響を受けるバージョン修正バージョン

 

 

Management PortalN/A

説明

シングルサインオンは、ログイン処理を単純化してセキュリティを強化し、総合的な操作性 (ユーザーエクスペリエンス) を向上させます。この記事では、Blancco Management Portalで利用可能なシングル サインオン機能を紹介します。また、Microsoft Entra ID (Azure AD) のSSOを設定して有効にするための一連の手順も説明します。

Blancco Management Portalのシングルサインオン設定は、Managerユーザー、あるいは「SSO設定」権限を付与されたカスタムロールを持つユーザーのみ設定可能です。 SSOの設定は、画面右上のユーザー名をクリックすると表示されるユーザーの「設定」から行うことができます。

ユーザーがSSO設定を設定する権限を持っている場合、「シングルサインオン (SSO) 」タブが表示されるはずです。このタブにはSSOに関連するすべての設定が含まれ、設定に必要なすべての情報を提供します。

Blancco Management Portalのシングルサインオンは、ユーザーのプロビジョニングもサポートします。この機能により、Blancco Management Portalはユーザーがシングルサインオンを使用して最初に認証を行ったときに、対応するテナントに自動的にユーザーを作成することができます。

シングルサインオンは、Blancco Drive EraserやBlancco Mobile Diagnostics and ErasureなどのBlanccoの消去製品ではサポートされていないことに注意してください。消去クライアントとManagement Portal間の通信には、アカウントの内部パスワードが必要です。

シングルサインオンはManagement Portal https://portal.blancco.cloud にログインする場合にのみサポートされます。

SAML 2.0で利用可能な設定

  • シングルサインオンURL - このURLは、応答URLまたはアサーションURL、IDプロバイダ設定のサインオンURLとして使用します。
  • サービスプロバイダ ID - この値は、SAML SSOを設定する際に、IDプロバイダ構成の識別子またはエンティティIDとして使用します。
  • SAMLメタデータURL - SAMLの対応するメタデータが存在する有効なURLを指定する必要があります。このURLは、SSOの設定後にIDプロバイダの詳細から利用可能になります。

OpenID Connectで利用可能な設定

  • シングルサインオンURL - このURLは、IDプロバイダ側でSSO設定を構成する際の返信URLまたはリダイレクトURL として使用します。
  • クライアントID - これはIDプロバイダのアプリケーションIDまたはクライアントIDです。
  • クライアントシークレット - 認証技術として使用される文字列ベースの鍵。
  • 発行者URL - https://login.microsoftonline.com/GUID/v2.0 の形式で、 GUIDはEntraテナントIDまたはAzureテナントIDに対応します。

シングルサインオンを使用したログイン

シングルサインオンを設定し、ユーザーが使用できるようになると、Management Portalのログイン画面に 「会社IDでログイン」 (Log in with company ID) ボタンが表示されます。

電子メールアドレスが設定されていない場合、あるいは対象のユーザーアカウントにSSOが設定されていない場合は、このボタンは表示されません。

「ログイン」 (Log in) ボタンを使用すると、シングルサインオンではなく、アカウントの内部パスワードを使用してユーザーを認証します。

Microsoft Entra ID/Azure AD - SAML 2.0を使用するSSO

SAML 2.0を使用するAzure ADでのシングルサインオンを設定するには、次の手順に従います。.

  1. Entra ID → 「エンタープライズアプリケーション」 (Enterprise applications) →「新しいアプリケーション」 (New application) を開き、新しいエンタープライズアプリケーションを作成します。
    .

    次に、「独自のアプリケーションの作成」 (Create your own application) を選択し、アプリケーションの名前を入力します。「アプリケーションでどのような操作を行いたいですか? 」 (What are you looking to do with your application?) の質問には 「ギャラリー以外」 (Non-gallery) の オプションを選択してください。
  2. 新しく作成したアプリケーションに対応するユーザーまたはグループを割り当てます (これにより、SSOを使用してサインインできるユーザーのリストが定義されます) 。あるいは、「プロパティ」オプションの 「ユーザーの割り当てが必要ですか?」を無効にして、Entra IDテナントのすべてのユーザーがSSOを使用してログインできるようにすることもできます。
  3. 「シングルサインオン」タブで必要な設定を行います (サインオン方法には「SAML」を選択してください) 。 
    1. 「基本的なSAML構成」で、「識別子 (エンティティID) 」、「応答URL (Assertion Consumer Service URL) 」、および「サインオンURL」を設定します。
      1. 「識別子 (エンティティ ID) 」はBMP SSO設定で利用できる「サービスプロバイダID」 に対応します。
      2. 「返信URL (Assertion Consumer Service URL) 」と「サインオンURL」は、いずれもBMP SSO設定で利用可能なシングルサインオンURLに対応しています。
    2. 「属性とクレーム」では、「name」属性を「user.displayname」に設定する必要があります。 (デフォルトでは「user.userprincipalname」に設定されます) 。
    3. 「SAML証明書」セクションにある「アプリのフェデレーションメタデータURL」を取得し、URLをBMP SSO設定の「SAMLメタデータURL」フィールドにコピーします。

Microsoft Entra IDまたはAzure AD - OpenID Connectを使用するSSO

OpenID Connectを使用するAzure ADでのシングルサインオンを設定するには、次の手順に従います。 

  1. 「アプリの登録」 (App registrations) に移動し、「新規登録」 (New registration) を選択して、新しいアプリケーションを登録します。

    名前を入力し、適切なアカウントタイプを選択します。この例では、シングルテナントが選択されています。「リダイレクトURI」を設定します。リダイレクトURIにはBMPのSSO設定に表示されるシングルサインオンURLを使用します。
  2. アプリ登録後、アプリの「アプリケーション (クライアント) ID」をBMPのSSO設定「クライアントID」欄にコピーします。
  3. 「クライアントシークレット」タブの 「新しいクライアントシークレット」を選択して、「証明書とシークレット」 に移動し、新しいクライアントシークレットを生成します。
    1. シークレットの説明と有効期限を設定し、「追加」をクリックします。

    2. 新しいシークレットを作成したら、シークレットの値をコピーし、BMP SSO設定の「クライアントシークレット」に入力します。

      シークレットの値は、シークレットを作成した直後にのみ表示されることに注意してください。値が既に非表示になっていて、コピーされていない場合は、新しいシークレットを作成する必要があります。

  4. 「APIアクセス許可」に移動し、「User.Read」API/Permissionに管理者の同意を付与します。これにより、システムはSSO認証に必要なユーザー属性をチェックすることができます。
  5. 「認証」に移動し、「リダイレクトURI」が設定されていることを確認します。新規アプリ登録時にすでに設定されている場合は、このステップは無視できます。
    1.  BMP SSO設定で表示されるシングルサインオンURLをリダイレクトURIとして使用します。
  6. 「OpenID Connectメタデータドキュメント」から「発行者URL」を取得します。 
    1. ドキュメントを開き、ドキュメントから「issuer」フィールドを見つけて、その値をBMP SSO設定の「発行者URL」フィールドにコピーします。

OpenID Connect SSOのユーザーとグループのアクセス制限

前述の手順で新しいアプリケーションが登録されると、同じ名前のエンタープライズアプリケーションがシステムにより自動的に作成されます。このエンタープライズアプリケーションを使用して、SSO の使用を許可するユーザとグループのリストを制御できます (SAML の場合と同様) 。

  1. 「エンタープライズアプリケーション」に移動し、適切なアプリを見つけます。このアプリは、上記の手順で作成したアプリ登録と同じ名前が付いているはずです。
  2. 「プロパティ 」に移動して、「割り当てが必要ですか?」で 「はい 」を選択します。
  3. 「ユーザーとグループ 」に移動し、SSOを使用してサインインすることを許可するユーザーおよびグループのリストを定義します。

ユーザーのメールアドレスの小文字変換

Blancco Management Portalでは、ユーザーのメールアドレスを小文字で入力する必要があります。大文字が含まれているとシステムが正常に動作しなくなります。メールアドレスを小文字で扱うための変換ルールを追加するとこの手間を軽減できます。

次の手順は、Entra IDにおいて電子メール アドレス変換規則を設定する方法です。

  1. BMP SSO専用のエンタープライズアプリケーションを開き、「シングルサインオン」に移動し、次に「属性とクレーム」に移動して、クレームを編集します。

  2. 「追加の要求」セクションにある「emailaddress」要求 (値を user.mail に設定) を開いて編集し、要求ソースを「変換」にします。

  3. 「変換の管理」ダイアログで次のように設定します。

    1. 変換 - ToLowercase()

    2. パラメータ1 - 属性

    3. 属性名 - user.mail

  4. 変更を保存します。
  5. 「属性とクレーム」は次のようになります (変換ルールがEメールアドレスクレームに適用される) 。