You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

作成日更新日影響を受けるバージョン修正バージョン

 

 

Management PortalN/A

説明

シングルサインオンは、ログイン処理を単純化してセキュリティを強化し、総合的な操作性(ユーザーエクスペリエンス)を向上させます。この記事では、Blancco Management Portalで利用可能なシングル サインオン機能を紹介します。また、Microsoft Entra ID(Azure AD)のSSOを設定して有効にするための一連の手順も説明します。

Blancco Management Portalのシングルサインオン設定は、マネージャー(Manager)ユーザー、あるいは「SSO設定」権限を付与されたカスタムロールを持つユーザーのみ設定可能です。 SSOの設定は、画面右上のユーザー名をクリックすると表示されるユーザーの「設定」から行うことができます。

ユーザーがSSO設定を構成する権限を持っている場合、「シングルサインオン (SSO) 」タブが表示されるはずです。このタブにはSSOに関連するすべての設定が含まれ、設定に必要なすべての詳細情報を提供します。

Blancco Management Portalのシングルサインオンは、ユーザーのプロビジョニングもサポートします。この機能により、Blancco Management Portalはユーザーがシングルサインオンを使用して最初に認証を行ったときに、対応するテナントに自動的にユーザーを作成することができます。

シングルサインオンは、Blancco Drive Eraser or Blancco Mobile Diagnostics and ErasureなどのBlanccoの消去製品ではサポートされていないことに注意してください。消去クライアントとManagement Portal間の通信には、アカウントの内部パスワードが必要です。

シングルサインオンはManagement Portal https://portal.blancco.cloud にログインする場合にのみサポートされます。

SAML 2.0で利用可能な設定

  • シングルサインオンURL - 応答URL/アサーションURLおよびIDプロバイダ設定のサインオンURLとして使用します。
  • サービスプロバイダ ID - SAML SSO を設定する際に、IDプロバイダ構成の識別子またはエンティティID として使用します。
  • SAMLメタデータURL - SAMLの対応するメタデータが存在する有効なURLを指定する必要があります。このURLは、SSOの設定後にIDプロバイダの詳細から利用可能になります。

OpenID Connectで利用可能な設定

  • シングルサインオンURL - IDプロバイダ側で SSO 設定を構成する際の返信/リダイレクトURL として使用します。
  • クライアントID - IDプロバイダのアプリケーション/クライアントID。
  • クライアントシークレット - 認証技術として使用される文字列ベースの鍵。
  • 発行者URL -  https://login.microsoftonline.com/GUID/v2.0 の形式で、 GUIDはEntra/AzureテナントIDに対応します。

シングルサインオンを使用したログイン

シングルサインオンを設定し、ユーザーが使用できるようになると、Management Portalのログイン画面に 「会社IDでログイン」ボタンが表示されます。

電子メールアドレスが設定されていない場合、あるいは対象のユーザーアカウントにSSOが設定されていない場合は、このボタンは表示されません。

「ログイン」ボタンを使用すると、シングルサインオンではなく、アカウントの内部パスワードを使用してユーザーを認証します。

Microsoft Entra ID/Azure AD - SAML 2.0を使用したSSO

SAML 2.0を使用するAzure ADでのシングルサインオンを設定するには、次の手順に従います。.

  1. Entra ID → 「エンタープライズアプリケーション」→「新しいアプリケーション」を開き、新しいエンタープライズアプリケーションを作成します。
    .

    次に、「独自のアプリケーションの作成」 を選択し、アプリケーションの名前を入力します。「アプリケーションでどのような操作を行いたいですか? 」の 質問には 「ギャラリー以外」の オプションを選択してください。
  2. 新しく作成したアプリケーションに対応するユーザー/グループを割り当てます(これにより、SSOを使用してサインインできるユーザーのリストが定義されます)。あるいは、 「プロパティ」オプションの 「ユーザーの割り当てが必要ですか?」 を無効にして、Entra IDテナントのすべてのユーザーがSSOを使用してログインできるようにすることもできます。
  3. 「シングルサインオン」タブで必要な設定を行います(サインオン方法には「SAML」を選択してください)。 
    1. 「基本的なSAML構成」で、「識別子 (エンティティID) 」、「応答URL (Assertion Consumer Service URL) 」、および「サインオンURL」を設定します。
      1. 「識別子 (エンティティ ID)」はBMP SSO設定で利用できる「サービスプロバイダID」 に対応します。
      2. 「返信URL(Assertion Consumer Service URL)」と「サインオンURL」は、いずれもBMP SSO設定で利用可能なシングルサインオンURLに対応しています。
    2. 「属性とクレーム」では、「name」属性を「user.displayname」に設定する必要があります。(デフォルトでは「user.userprincipalname」に設定されます)。
    3. 「SAML証明書」セクションにある「アプリのフェデレーションメタデータURL」を取得し、URLをBMP SSO設定の「SAMLメタデータURL」フィールドにコピーします。

Microsoft Entra ID/Azure AD - OpenID Connectを使用したSSO

Follow these steps to set up single sign-on with Azure AD using OpenID Connect.

  1. Register a new application in by navigating to "App registrations" and then selecting "New registration".

    Fill in the name and select appropriate account type, in this example single tenant option is selected. Set the "Redirect URI", use the Single Sign-On URL available in BMP SSO settings as the redirect URI.
  2. After registering the app copy "Application (client) ID" from the app to the BMP SSO settings "Client ID" field.
  3. Navigate to "Certificates & secrets" to generate new client secret by selecting "New client secret" under the "Client secrets" -tab.
    1. Define description and expiration for the secret and click "Add".

    2. After creating a new secret copy secret's value and enter it as the "Client secret" in BMP SSO settings.

      Note that the secret value is only shown right after creating a secret. If the value is already hidden and wasn't copied over a new secret needs to be created.

  4. Navigate to "API permissions" and grant admin consent for the "User.Read" API/Permission. This enables the system to check required user attributes need for the SSO authentication.
  5. Navigate to "Authentication" and make sure "Redirect URIs" is configured. If this was already configured when creating new app registration, this step can be ignored.
    1. Use the Single Sign-On URL available in BMP SSO settings as the redirect URI.
  6. Acquire "Issuer URL" from the "OpenID Connect metadata document".
    1. Open the document and locate "issuer" field from the document and copy the value to "Issuer URL" field in BMP SSO settings.

Limiting user and group access for the OpenID Connect SSO

When the new application was registered as part of the previous steps, the system should have created an Enterprise Application with the same name automatically. This Enterprise Application can be used to control the list of users and groups who are allowed to use the SSO (similarly as with the SAML).

  1. Go to "Enterprise Applications" and locate the correct app, it should have the same name as the App registration which was created on the above steps.
  2. Navigate to "Properties" and set "Assignment required?" to "Yes".
  3. Navigate to "Users and groups" and define the list of users and/or groups allowed to sign in using SSO.


  • No labels