Microsoft Entra SSO と ServusConnect の統合
この記事では、ServusConnect と Microsoft Entra ID を統合する方法について学習します。 ServusConnect では、Microsoft Entra ID を使用してユーザー アクセスを管理し、ServusConnect メンテナンス操作プラットフォームでシングル サインオンを有効にします。 既存の ServusConnect サブスクリプションが必要です。
ServusConnect を Microsoft Entra ID と統合すると、次のことができます。
- ServusConnect にアクセスできるユーザーを Microsoft Entra ID で制御する。
- ユーザーが自分の Microsoft Entra アカウントを使用して、ServusConnect に自動的にサインインできるようにする。
- 1 つの場所でアカウントを管理します。
自分の Azure 環境で ServusConnect 用の Azure AD シングル サインオンを構成してテストします。 ServusConnect では、SP Initiated SSO と Just In Time ユーザー プロビジョニングがサポートされます。
前提条件
Microsoft Entra ID を ServusConnect と統合するには、次のものが必要です。
- Microsoft Entra ユーザー アカウント。 まだアカウントがない場合は、無料でアカウントを作成することができます。
- アプリケーション管理者ロール、クラウド アプリケーション管理者ロール、またはアプリケーション所有者ロールのいずれか。
- Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
- ServusConnect のシングル サインオン (SSO) 対応サブスクリプション。 ServusConnect を持っていない場合は、詳細を確認し、デモを依頼できます。
アプリケーションを追加してユーザーを割り当てる
シングル サインオンの構成プロセスを開始する前に、Microsoft Entra ギャラリーから ServusConnect アプリケーションを追加する必要があります。 また、アプリケーションに割り当てるユーザー アカウントも必要です。 組織へのロールアウトを開始する前に、まずテスト ユーザーを作成して割り当てることを検討してください。
Microsoft Entra ギャラリーから ServusConnect を追加する
Microsoft Entra アプリケーション ギャラリーから ServusConnect を追加して、ServusConnect でシングル サインオンを構成します。 ギャラリーからアプリケーションを追加する方法の詳細については、クイック スタート: ギャラリーからのアプリケーションの追加に関する記事を参照してください。
Microsoft Entra ユーザーを作成または割り当てる
「ユーザー アカウントを作成して割り当てる」のガイドラインに従ってユーザーを作成し (必要な場合)、ServusConnect エンタープライズ アプリケーションに 1 人以上のユーザーを割り当てます。 アプリケーションに割り当てたユーザーのみが、シングル サインオンを介して ServusConnect にアクセスできます。 個々のユーザーまたはグループ全体を割り当てることができます。
または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てができます。 このウィザードには、シングル サインオン構成ウィンドウへのリンクも表示されます。 Microsoft 365 ウィザードの詳細をご覧ください。
Microsoft Entra SSO の構成
Microsoft Entra シングル サインオンを有効にするには、次の手順を行います。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]、[アプリケーション]、[エンタープライズ アプリケーション]、[ServusConnect]、[シングル サインオン] の順に移動します。
[シングル サインオン方式の選択] ページで、 [SAML] を選択します。
[SAML でシングル サインオンをセットアップします] ページで、 [基本的な SAML 構成] の鉛筆アイコンを選択して設定を編集します。
[基本的な SAML 構成] セクションで、次の手順を実行します。
a. [識別子] ボックスに、値「
urn:amazon:cognito:sp:us-east-1_rlgU6e3y5
」を入力します。b. [応答 URL] ボックスに、URL「
https://login.servusconnect.com/saml2/idpresponse
」を入力します。c. [サインオン URL] ボックスに、URL「
https://app.servusconnect.com
」を入力します。[SAML によるシングル サインオンのセットアップ] ページの [SAML 署名証明書] セクションで、[フェデレーション メタデータ XML] を探して [ダウンロード] を選択し、証明書をダウンロードして、お使いのコンピューターに保存します。
ServusConnect SSO の構成
ServusConnect アプリケーションでシングル サインオンを構成するには、Azure portal からダウンロードしたフェデレーション メタデータ XML ファイルを ServusConnect サポート チームに送信する必要があります。 ServusConnect サポート チームにメールを送信する場合は、次の情報を入力してください。
- フェデレーション メタデータ XML ファイル。
- Microsoft Entra アカウントから SSO を介して接続するすべての電子メール ドメインのリスト。
ServusConnect サポート チームは、SAML SSO 接続を完了し、準備ができたら通知します。
ServusConnect ユーザー アカウント
ServusConnect ユーザー アカウントは、ユーザーが最初に SSO を試行する前にプロビジョニングするか、SSO の試行の結果として "Just-In-Time" でプロビジョニングすることができます。 ただし、2 つの方法では、ユーザーがアクセスできる内容が異なります。
事前プロビジョニング済みのユーザー
SSO ログインと一致するメール アドレスを持ち、ServusConnect に存在するユーザーには、SSO 操作後に ServusConnect へのアクセス権が自動的に付与されます。
Just-In-Time ユーザーと Waiting Room
ServusConnect にまだ存在しないユーザーは、SSO ログインと一致するメール アドレスを使用して作成されたユーザー アカウントを持っています。 ただし、これらのユーザーは、ServusConnect に直接アクセスするのではなく、"Waiting Room" に配置されます。 これらのユーザーは、SSO によって Waiting Room の通過を許可される前に、正しいアクセス レベルとプロパティ レベルのアクセス権がプロビジョニングされる必要があります。
適切なアクセス権を持つ既存の ServusConnect ユーザーは、作業しているサイト/プロパティの ServusConnect の [管理] ページにある ServusConnect の "新しいユーザー" フォームに入力できます。 これが完了したら、ServusConnect サポート チームが要求を処理し、メールでユーザーに通知します。 その後、ユーザーは SSO を使用してサインインし、ServusConnect にアクセスできます。
SSO をテストする
次の方法のいずれかを使用して、Microsoft Entra のシングル サインオン構成をテストすることができます。
[このアプリケーションをテストします] をクリックすると、ログイン フローを開始できる ServusConnect のサインオン URL にリダイレクトされます。
ServusConnect のサインオン URL に直接移動し、そこからログイン フローを開始します。 以下の「SSO を使用したサインオン」を参照してください。
Microsoft マイ アプリを使用することができます。 マイ アプリで [ServusConnect] タイルをクリックすると、ServusConnect のサインオン URL にリダイレクトされます。 詳細については、「Microsoft Entra のマイ アプリ」を参照してください。
SSO を使用したサインオン
サインオンするには、次の手順を実行します。
ServusConnect のサインオン URL にアクセスします。
メール アドレスを入力し、[続行] をクリックします。 メール ドメインは、構成時に ServusConnect と共有したドメインと一致している必要があることに注意してください (次のスクリーンショットをご覧ください)。
ドメインが Microsoft Entra ID での SSO 用に適切に構成されている場合は、[Microsoft アカウントでログイン] ボタンが表示されます。 (次のスクリーンショットをご覧ください)。
[Log In with Microsoft] (Microsoft アカウントでログイン) ボタンをクリックすると、標準の Microsoft ログイン画面が表示されます。 ログインに成功すると、再び ServusConnect にリダイレクトされます。
SSO 認証に一致する既存の ServusConnect ユーザーがある場合は、直ちにログインされます。 それ以外の場合は、下の図のように Waiting Room に入ります。
その他のリソース
次のステップ
ServusConnect を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用することができます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Cloud App Security でセッション制御を強制する方法をご覧ください。