| 作成日 | 更新日 | 影響を受けるバージョン | 修正バージョン |
|---|---|---|---|
|
| Management Portal | N/A |
説明
シングルサインオンは、ログイン処理を単純化してセキュリティを強化し、総合的な操作性(ユーザーエクスペリエンス)を向上させます。この記事では、Blancco Management Portalで利用可能なシングル サインオン機能を紹介します。また、Microsoft Entra ID(Azure AD)のSSOを設定して有効にするための一連の手順も説明します。
Blancco Management Portalのシングルサインオン設定は、Managerユーザー、あるいは「SSO設定」権限を付与されたカスタムロールを持つユーザーのみ設定可能です。 SSOの設定は、画面右上のユーザー名をクリックすると表示されるユーザーの「設定」から行うことができます。
ユーザーがSSO設定を設定する権限を持っている場合、「シングルサインオン (SSO) 」タブが表示されるはずです。このタブにはSSOに関連するすべての設定が含まれ、設定に必要なすべての情報を提供します。
Blancco Management Portalのシングルサインオンは、ユーザーのプロビジョニングもサポートします。この機能により、Blancco Management Portalはユーザーがシングルサインオンを使用して最初に認証を行ったときに、対応するテナントに自動的にユーザーを作成することができます。
シングルサインオンは、Blancco Drive EraserやBlancco Mobile Diagnostics and ErasureなどのBlanccoの消去製品ではサポートされていないことに注意してください。消去クライアントとManagement Portal間の通信には、アカウントの内部パスワードが必要です。
シングルサインオンはManagement Portal https://portal.blancco.cloud にログインする場合にのみサポートされます。
SAML 2.0で利用可能な設定
- シングルサインオンURL - 応答URL/アサーションURLおよびIDプロバイダ設定のサインオンURLとして使用します。
- サービスプロバイダ ID - SAML SSO を設定する際に、IDプロバイダ構成の識別子またはエンティティID として使用します。
- SAMLメタデータURL - SAMLの対応するメタデータが存在する有効なURLを指定する必要があります。このURLは、SSOの設定後にIDプロバイダの詳細から利用可能になります。
OpenID Connectで利用可能な設定
- シングルサインオンURL - IDプロバイダ側で SSO 設定を構成する際の返信/リダイレクトURL として使用します。
- クライアントID - IDプロバイダのアプリケーション/クライアントID。
- クライアントシークレット - 認証技術として使用される文字列ベースの鍵。
- 発行者URL - https://login.microsoftonline.com/GUID/v2.0 の形式で、 GUIDはEntra/AzureテナントIDに対応します。
シングルサインオンを使用したログイン
シングルサインオンを設定し、ユーザーが使用できるようになると、Management Portalのログイン画面に 「会社IDでログイン」ボタンが表示されます。
電子メールアドレスが設定されていない場合、あるいは対象のユーザーアカウントにSSOが設定されていない場合は、このボタンは表示されません。
「ログイン」ボタンを使用すると、シングルサインオンではなく、アカウントの内部パスワードを使用してユーザーを認証します。
Microsoft Entra ID/Azure AD - SAML 2.0を使用するSSO
SAML 2.0を使用するAzure ADでのシングルサインオンを設定するには、次の手順に従います。.
- Entra ID → 「エンタープライズアプリケーション」→「新しいアプリケーション」を開き、新しいエンタープライズアプリケーションを作成します。
.
次に、「独自のアプリケーションの作成」 を選択し、アプリケーションの名前を入力します。「アプリケーションでどのような操作を行いたいですか? 」の 質問には 「ギャラリー以外」の オプションを選択してください。
- 新しく作成したアプリケーションに対応するユーザー/グループを割り当てます(これにより、SSOを使用してサインインできるユーザーのリストが定義されます)。あるいは、 「プロパティ」オプションの 「ユーザーの割り当てが必要ですか?」 を無効にして、Entra IDテナントのすべてのユーザーがSSOを使用してログインできるようにすることもできます。
- 「シングルサインオン」タブで必要な設定を行います(サインオン方法には「SAML」を選択してください)。
- 「基本的なSAML構成」で、「識別子 (エンティティID) 」、「応答URL (Assertion Consumer Service URL) 」、および「サインオンURL」を設定します。
- 「識別子 (エンティティ ID)」はBMP SSO設定で利用できる「サービスプロバイダID」 に対応します。
- 「返信URL(Assertion Consumer Service URL)」と「サインオンURL」は、いずれもBMP SSO設定で利用可能なシングルサインオンURLに対応しています。
- 「属性とクレーム」では、「name」属性を「user.displayname」に設定する必要があります。(デフォルトでは「user.userprincipalname」に設定されます)。
- 「SAML証明書」セクションにある「アプリのフェデレーションメタデータURL」を取得し、URLをBMP SSO設定の「SAMLメタデータURL」フィールドにコピーします。
- 「基本的なSAML構成」で、「識別子 (エンティティID) 」、「応答URL (Assertion Consumer Service URL) 」、および「サインオンURL」を設定します。
Microsoft Entra ID/Azure AD - OpenID Connectを使用するSSO
OpenID Connectを使用するAzure ADでのシングルサインオンを設定するには、次の手順に従います。
- 「アプリの登録」に移動し、「新規登録」を選択して、新しいアプリケーションを登録します。
名前を入力し、適切なアカウントタイプを選択します。この例では、シングルテナントが選択されています。 「リダイレクトURI」を設定します。リダイレクトURIにはBMPのSSO設定に表示されるシングルサインオンURLを使用します。
- アプリ登録後、アプリの「アプリケーション(クライアント)ID」をBMPのSSO設定「クライアントID」欄にコピーします。
- 「クライアントシークレット」タブの 「新しいクライアントシークレット」を選択して、「証明書とシークレット」 に移動し、新しいクライアントシークレットを生成します。
- シークレットの説明と有効期限を設定し、「追加」をクリックします。
新しいシークレットを作成したら、シークレットの値をコピーし、BMP SSO設定の「クライアントシークレット」に入力します。
シークレットの値は、シークレットを作成した直後にのみ表示されることに注意してください。値が既に非表示になっていて、コピーされていない場合は、新しいシークレットを作成する必要があります。
- 「APIアクセス許可」に移動し、「User.Read」API/Permissionに管理者の同意を付与します。これにより、システムはSSO認証に必要なユーザー属性をチェックすることができます。
- 「認証」に移動し、「リダイレクトURI」が設定されていることを確認します。新規アプリ登録時にすでに設定されている場合は、このステップは無視できます。
- BMP SSO設定で表示されるシングルサインオンURLをリダイレクトURIとして使用します。
- 「OpenID Connectメタデータドキュメント」から「発行者URL」を取得します。
- ドキュメントを開き、ドキュメントから「issuer」フィールドを見つけて、その値をBMP SSO設定の「発行者URL」フィールドにコピーします。
OpenID Connect SSOのユーザーとグループのアクセス制限
前述の手順で新しいアプリケーションが登録されると、同じ名前のエンタープライズアプリケーションがシステムにより自動的に作成されます。このエンタープライズアプリケーションを使用して、SSO の使用を許可するユーザとグループのリストを制御できます (SAML の場合と同様)。
- 「エンタープライズアプリケーション」に移動し、適切なアプリを見つけます。このアプリは、上記の手順で作成したアプリ登録と同じ名前が付いているはずです。
- 「プロパティ 」に移動して、「割り当てが必要ですか?」で 「はい 」を選択します。
- 「ユーザーとグループ 」に移動し、SSOを使用してサインインすることを許可するユーザーおよびグループのリストを定義します。