Azure ADを使用したシングルサインオン

Azure ADコンソールでアプリを作成

SSO用にIDrive360アプリケーションがすでにAzureディレクトリにダウンロードされている場合は、既存のアプリを削除して新しいアプリケーションを作成する必要があります。

SSOのアイデンティティプロバイダーとしてAzure ADを使用するには、Azure ADコンソールでアプリを作成する必要があります。

アプリを作成するには、

1. Azure ADアカウントの認証情報を使用してAzure ADコンソールにログインし、'エンタープライズアプリケーション'をクリックします。
2. 左側のメニューから'概要'タブを選択し、'新しいアプリケーション'をクリックします。
3. '独自のアプリケーションを作成'をクリックします。
4. 'アプリの名前は何ですか？'の下にアプリケーション名を入力します。
5. 'ギャラリーにないその他のアプリケーションを統合する (ギャラリー以外)'を選択し、'作成'をクリックします。
6. これで、IDrive 360アプリがMicrosoft Azure Active Directoryに追加されました。

SSOの設定

SSOを設定するには、

1. 'Microsoft Entra ID' > 'エンタープライズアプリケーション'に戻ります。
2. 最近追加したアプリケーションを検索し、クリックします。
3. '管理' > 'シングルサインオン'に移動します。
4. 優先するシングルサインオン方法として'SAML'を選択します。
5. 表示される'SAMLでシングルサインオンをセットアップ'画面で、
   1. '基本SAML構成'に対応する'編集'をクリックし、以下のURLを入力します：
      • 識別子 (エンティティID): https://webapp.idrive360.com/api/sso/metadata
      • 返信URL (アサーションコンシューマーサービスURL): https://webapp.idrive360.com/api/sso/process
      • ログアウトURL: https://webapp.idrive360.com/api/v1/logout
   2. 'SAML証明書'セクションから、'ダウンロード'をクリックしてx509証明書 (Base64)を保存します。
   3. 'ログインURL'と'Microsoft Entra識別子URL'をコピーし、クラウドバックアップアカウントで設定します。

シングルサインオン (SSO) 用のクラウドバックアップアカウントの設定

管理者は、管理コンソールのシングルサインオン設定フォームで、Azure ADから受け取ったSAML 2.0 URLと証明書を提供する必要があります。

SSOを設定するには、

1. クラウドバックアップアカウントにサインインし、'管理コンソールに移動'をクリックします。
2. '設定' > 'シングルサインオン (SSO)'に移動します。
3. 新しく作成したAzure ADコンソール上のアプリから受け取った'IDP発行者URL'、'シングルサインオンログインURL'を入力し、'X.509証明書 (Base64)'をアップロードします。
   1. 発行者URL - Microsoft Entra識別子
   2. SSOエンドポイント - ログインURL
4. 'シングルサインオンを設定'をクリックします。

ロールの設定

アプリロールは、アプリ登録プロセス中にMicrosoft Entra管理センターで定義されます。ユーザーがアプリケーションにサインインすると、Microsoft Entra IDは割り当てられた各ロールに対してロールクレームを発行し、クレームベースの許可を有効にします。

注意: Azureが作成するデフォルトロールは削除する必要があります。サポートされていないロールを削除するには、まず値を割り当て、ロールを無効にし、その後削除します。

アプリロールを作成するには、

1. ホームに移動します。
2. 'Microsoft Entra ID' > '管理' > 'アプリ登録'に移動します。
3. 'すべてのアプリケーション'タブで最近追加したアプリを検索し、'アプリロール'をクリックします。
4. 'アプリロールの作成'をクリックし、以下の情報を入力します：
   • 表示名: Account Owner
   • 許可されるメンバータイプ: Users/Groups
   • 値: 1
   • 説明: MSP Admin
5. '適用'をクリックして変更を保存します。

上記の手順を繰り返して、会社管理者、バックアップ管理者、リストアユーザー、バックアップユーザー、バックアップとリストアユーザーのロールを作成します。

ユーザーロール	値
アカウント所有者	1
会社管理者	2
バックアップ管理者	7
ユーザー (デバイス追加と管理)	3
リストアユーザー	4
バックアップユーザー	5
バックアップとリストアユーザー	6

注意: ロール値は、アプリケーションのコードで定義された対応するロールと完全に一致する必要があります。

Microsoft Azure ADでのプロビジョニングの設定

プロビジョニングを有効にするには、以下の手順に従ってください。

1. 左側のナビゲーションパネルから'プロビジョニング'に移動します。
2. '管理 > プロビジョニング'に移動します。
3. 'プロビジョニングモード'を自動に選択します。
4. 以下の情報を提供します：
   テナントURL: https://webapp.idrive360.com/api/scim/v2/?aadOptscim062020
   シークレットトークン: IDrive360アプリで生成されたトークン。
5. Azure ADとIDrive 360アプリ間の接続を確認するために'接続テスト'をクリックします。
6. '設定'セクションで、
7. '通知メール'フィールドで、
   1. プロビジョニングエラー通知を受け取る人のメールアドレスを入力します。
   2. '障害が発生したときにメール通知を送信する'のチェックボックスにチェックを入れます。
   3. 会社のポリシーに従って'誤った削除の闾値'の値を入力します。
   4. 'スコープ'フィールドには'割り当てられたユーザーとグループのみ同期する'を選択します。
8. 'マッピング'セクションで、
   1. 'Azure Active Directory グループのプロビジョニング'を選択し、有効チェックボックスをいいえに切り替えて'保存'をクリックします。
   2. 'Azure Active Directory ユーザーのプロビジョニング'を選択します。

      注意: IDrive 360は現在グループをサポートしていません。

   3. フィールドは変更せずにおいてください。
   4. '詳細オプションを表示'をクリックします。
   5. 'サポートされる属性'の下で、'customappssoの属性リストを編集'を選択します。
   6. 属性リストに'roles'という名前の属性を追加し、タイプを文字列として選択し、必須のボックスにチェックを入れます。
   7. '保存'をクリックします。
   8. 確認ポップアップで'はい'をクリックします。
   9. '属性マッピング'セクションに戻ります。
   10. '新しいマッピングを追加'をクリックします。
   11. マッピングタイプとして'式'を選択します。
   12. 式の値を次のように指定します：
       'AppRoleAssignmentsComplex([appRoleAssignments])'。
   13. ターゲット属性として'Roles'を選択します。
   14. '属性を使用したオブジェクトのマッチング'に'いいえ'を選択します。
   15. このマッピングをいつ適用するかを選択し、'常に'を選択します。
   16. 'OK'をクリックします。
   17. '属性マッピング'の下で最近追加した属性マッピングを見つけることができます。

   プロビジョニング設定を構成した後、IDrive 360にプロビジョニングしたいユーザーを割り当てることができます。

   
   

   アプリケーションへのユーザーの割り当て

   ユーザーアカウントのSSOを有効にするには、管理者がAzure ADコンソールで作成したアプリにユーザーを割り当てる必要があります。

   Azure ADアプリにユーザーを割り当てるには、

   1. Azure AD管理コンソールの新しく作成したアプリから、'ユーザーとグループ'に移動し、'ユーザーを追加'をクリックします。
   2. アプリに割り当てたいユーザーを選択します。
   3. ドロップダウンメニューからロールを選択し、'選択'をクリックします。

      注意: 管理者は選択したユーザーに任意のロールを割り当てることができます。

   4. '割り当て'をクリックしてプロセスを完了します。

      注意: Azureでは、自動プロビジョニングサイクルは40分ごとに実行されます。