Microsoft Entra シングル サインオンを Maverics Orchestrator SAML Connector と統合する
Strata の Maverics Orchestrator には、認証とアクセス制御のために、オンプレミス アプリケーションを Microsoft Entra ID と統合する簡単な方法が用意されています。 Maverics Orchestrator を使用すると、現在、ヘッダー、Cookie、およびその他の独自の認証方法に依存しているアプリの認証と承認を最新化できます。 Maverics Orchestrator のインスタンスは、オンプレミスまたはクラウドにデプロイできます。
このハイブリッド アクセスのチュートリアルでは、レガシの Web アクセス管理製品によって現在保護されているオンプレミスの Web アプリケーションを移行し、認証とアクセス制御に Microsoft Entra ID を使う方法について説明します。 基本的な手順は次のとおりです。
- Maverics Orchestrator をセットアップする
- アプリケーションをプロキシ経由にする
- Microsoft Entra ID でエンタープライズ アプリケーションを登録する
- Microsoft Entra ID を使用した認証およびアプリケーションへのアクセスの承認を行う
- シームレスなアプリケーション アクセスのためにヘッダーを追加する
- 複数のアプリケーションを操作する
前提条件
- Microsoft Entra ID サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
- Maverics Identity Orchestrator プラットフォームのアカウント。 maverics.strata.io でサインアップします。
- ヘッダー ベースの認証が使用されている少なくとも 1 つのアプリケーション。 この例では、
https://localhost:8443
でアクセスできる Sonar というアプリケーションに対して作業します。
手順 1: Maverics Orchestrator をセットアップする
maverics.strata.io で Maverics アカウントにサインアップしたら、「はじめに: 評価環境」というタイトルのラーニング センター チュートリアルを使用します。 このチュートリアルでは、評価環境の作成、オーケストレーターのダウンロード、マシンへのオーケストレーターのインストールのステップバイステップのプロセスを順に説明していきます。
手順 2: レシピを使用して Microsoft Entra ID をアプリに拡張する
次に、ラーニング センター チュートリアル「Microsoft Entra ID を標準以外のレガシ アプリに拡張する」を使用します。 このチュートリアルでは、ID ファブリック、ヘッダーベースのアプリケーション、および部分的に完了したユーザー フローを自動的に構成する .json レシピを提供します。
手順 3: Microsoft Entra ID でエンタープライズ アプリケーションを登録する
次に、エンドユーザーの認証に使用される新しいエンタープライズ アプリケーションを Microsoft Entra ID 内に作成します。
Note
条件付きアクセスなどの Microsoft Entra ID 機能を活用する場合は、オンプレミスのアプリケーションごとにエンタープライズ アプリケーションを作成することが重要です。 これにより、アプリごとの条件付きアクセス、アプリごとのリスク評価、アプリごとの割り当てられたアクセス許可などが可能になります。一般に、Microsoft Entra ID のエンタープライズ アプリケーションは、Maverics の Azure コネクタにマップされます。
Microsoft Entra ID テナントで、[エンタープライズ アプリケーション] に移動して [新しいアプリケーション] をクリックし、Microsoft Entra ID ギャラリーで [Maverics Identity Orchestrator SAML Connector] を検索して選択します。
Maverics Identity Orchestrator SAML Connector の [プロパティ] ペインで、 [ユーザーの割り当てが必要ですか?] を [いいえ] に設定して、ディレクトリ内のすべてのユーザーがアプリケーションを使用できるようにします。
Maverics Identity Orchestrator SAML Connector の [概要] ペインで、 [シングル サインオンを設定する] を選択してから、 [SAML] を選択します。
Maverics Identity Orchestrator SAML Connector の [SAML ベースのサインオン] ペインで、 [編集] (鉛筆アイコン) ボタンを選択して [基本的な SAML 構成] を編集します。
エンティティ ID
https://sonar.maverics.com
を入力します。 このエンティティ ID はテナント内のアプリ間で一意である必要があり、任意の値を指定できます。 この値は、次のセクションで Azure コネクタのsamlEntityID
フィールドを定義するときに使用します。応答 URL
https://sonar.maverics.com/acs
を入力します。 この値は、次のセクションで Azure コネクタのsamlConsumerServiceURL
フィールドを定義するときに使用します。サインオン URL
https://sonar.maverics.com/
を入力します。 このフィールドは Maverics には使われませんが、ユーザーが Microsoft Entra ID のマイ アプリ ポータルを介してアプリケーションにアクセスできるようにするために Microsoft Entra ID で必要です。[保存] を選択します。
[SAML 署名証明書] セクションで、[コピー] ボタンを選択して [アプリのフェデレーション メタデータ URL] をコピーし、お使いのコンピューターに保存します。
手順 4: Microsoft Entra ID を使用した認証およびアプリケーションへのアクセスの承認を行う
引き続き、ラーニング センター トピック「Microsoft Entra ID を標準以外のレガシ アプリに拡張する」の手順 4 に進み、Maverics でユーザー フローを編集します。 これらの手順では、アップストリーム アプリケーションにヘッダーを追加し、ユーザー フローを配置するプロセスについて順に説明します。
ユーザー フローを配置したら、認証が想定どおりに動作していることを確認するために、Maverics プロキシ経由でアプリケーション リソースに対して要求を行います。 これで、保護されたアプリケーションでは要求でヘッダーを受信するようになりました。
アプリケーションで異なるヘッダーが想定されている場合は、ヘッダー キーを自由に編集してください。 SAML フローの一部として Microsoft Entra ID から返されるすべての要求は、ヘッダーで使用できます。 たとえば、別のヘッダー secondary_email: azureSonarApp.email
を含めることができます。ここで、azureSonarApp
はコネクタ名で、email
は Microsoft Entra ID から返される要求です。
高度なシナリオ
ID の移行
有効期間が終了した Web アクセス管理ツールには満足できないが、パスワードの一括リセットを行わずにユーザーを移行する方法はないとお考えですか。 Maverics Orchestrator では、migrationgateways
を使用して ID の移行をサポートします。
Web サーバー モジュール
Maverics Orchestrator を使用してネットワークとプロキシのトラフィックをやり直したくないとお考えですか。 問題ありません。Maverics Orchestrator では、Web サーバー モジュールと組み合わせて、プロキシ経由にせずに同じソリューションを提供できます。
まとめ
この時点で、Maverics Orchestrator をインストールし、Microsoft Entra ID 内にエンタープライズ アプリケーションを作成して構成し、保護されたアプリケーションに対してプロキシ経由にするように Orchestrator を構成し、一方で認証を要求してポリシーを適用しました。 Maverics Orchestrator を分散 ID 管理のユースケースに使用する方法の詳細については、Strata にお問い合わせください。