Microsoft Entra ID でシングル サインオン用に HPE Aruba Networking EdgeConnect Orchestrator を構成する

この記事では、HPE Aruba Networking EdgeConnect Orchestrator と Microsoft Entra ID を統合する方法について説明します。 HPE Aruba Networking EdgeConnect Orchestrator と Microsoft Entra ID を統合すると、次のことができます。

• HPE Aruba Networking EdgeConnect Orchestrator にアクセスできる Microsoft Entra ID を制御します。
• ユーザーが自分の Microsoft Entra アカウントで自動的に HPE Aruba Networking EdgeConnect Orchestrator にサインインできるようにします。
• 1 つの場所でアカウントを管理します。

前提条件

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

• アクティブなサブスクリプションを持つ Microsoft Entra ユーザー アカウント。 アカウントをまだお持ちでない場合は、 無料でアカウントを作成できます。
• 次のいずれかのロール:
  • アプリケーション管理者
  • クラウド アプリケーション管理者
  • アプリケーション所有者。

• HPE Aruba Networking EdgeConnect Orchestrator バージョン 9.4.1 以降。

シナリオの説明

この記事では、テスト環境で Microsoft Entra SSO を構成してテストします。

• HPE Aruba Networking EdgeConnect Orchestrator では、SP開始 SSO と IDP開始 SSO の両方がサポートされます。

ギャラリーから HPE Aruba Networking EdgeConnect オーケストレーターを追加する

MICROSOFT Entra ID への HPE Aruba Networking EdgeConnect Orchestrator の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に HPE Aruba Networking EdgeConnect Orchestrator を追加する必要があります。

1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。

2. Entra ID>Enterprise apps>New アプリケーションに移動します。

3. [ギャラリーからの追加] セクションで、検索ボックスに「HPE Aruba Networking EdgeConnect Orchestrator」と入力します。

4. 結果パネルから HPE Aruba Networking EdgeConnect Orchestrator タイルを選択します。 名前を入力し、[作成] を選択してアプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

   

または、 エンタープライズ アプリ構成ウィザードを使用することもできます。 このウィザードでは、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てができるほか、SSO の構成も行うことができます。 Microsoft 365 ウィザードの詳細を確認します。

HPE Aruba Networking EdgeConnect Orchestrator の Microsoft Entra SSO の構成とテスト

B.Simon というテスト ユーザーを使用して、HPE Aruba Networking EdgeConnect Orchestrator に対する Microsoft Entra SSO を構成してテストします。 SSO が機能するには、Microsoft Entra ユーザーと HPE Aruba Networking EdgeConnect Orchestrator の関連ユーザーとの間にリンク関係を確立する必要があります。

HPE Aruba Networking EdgeConnect Orchestrator に対する Microsoft Entra SSO を構成してテストするには、次の手順に従います。

1. Microsoft Entra SSO の構成 - この手順により、ユーザーはこの機能を使用できるようになります。
2. Microsoft Entra テスト ユーザーの作成 - この手順では、B.Simon で Microsoft Entra のシングル サインオンをテストできます。
3. HPE Aruba Networking EdgeConnect Orchestrator アプリケーションにテスト ユーザーを割り当てる - この手順では、B.Simon が EdgeConnect Orchestrator で Microsoft Entra シングル サインオンを使用できるようにします。
4. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO を構成する

以下の手順に従って Microsoft Entra 管理センターで Microsoft Entra SSO を有効にします。

1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。

2. Entra ID>Enterprise アプリに移動します。 検索バーに、前に作成した HPE Aruba Networking EdgeConnect Orchestrator アプリの名前を入力します。 [概要] ページが開きます。

3. 左側のウィンドウの [ 管理] で、[ シングル サインオン] を選択します。

4. [ シングル サインオン方法の選択 ] ページで、[SAML] を選択 します。

5. [ SAML でのシングル サインオンの設定 ] ページで、[ 基本的な SAML 構成 ] の鉛筆アイコンを選択して設定を編集します。

   

6. [ 基本的な SAML 構成] セクションで、次の手順を実行します。

   ある。 [識別子 (エンティティ ID)] テキスト ボックス、応答 URL (Assertion Consumer Service URL) テキスト ボックス、およびログアウト URL (省略可能) の値を入力する必要があります。 これらの値を見つけるには、まず Orchestrator にログイン し、[ 認証 ] ダイアログ ボックス (Orchestrator > [ユーザー] と [認証] > 認証) に移動します。

   

   b。 [ 認証 ] ダイアログで、[ +新しいサーバーの追加] を選択します。

   c. [種類] フィールドから [SAML] を選択します。

   d. [ 名前 ] フィールドに、SAML 構成の名前を入力します。

   え ACS URL フィールドの横にあるコピー アイコンを選択します。

   f. Microsoft の [SAML でのシングル サインオンの設定] ページの [基本的な SAML 構成] セクションに移動します。

   1. [ 識別子 (エンティティ ID)] で、[識別子リンクの 追加] を選択します。 識別子のフィールドに ACS URL の値を貼り付けます。

      注

      1. "HPE Aruba Networking EdgeConnect Cloud Orchestrator"、"HPE Aruba Networking EdgeConnect Service Provider Orchestrator"、"HPE Aruba Networking EdgeConnect Global Enterprise Orchestrator" の 3 つのオーケストレーター製品のいずれかで SAML SSO を構成する場合は、次のパターンを使用 https://<SUBDOMAIN>.silverpeak.cloud/gms/rest/authentication/saml2/consume。
      2. 自己デプロイ済みの HPE Aruba Networking EdgeConnect Orchestrator (オンプレミスにデプロイされている場合でも、Microsoft Entra などのパブリック クラウド環境でも) で SAML SSO を構成する場合は、次のパターンを使用 https://<PUBLIC-IP-ADDRESS-OF-ORCHESTRATOR>/gms/rest/authentication/saml2/consume。

   2. 応答 URL (Assertion Consumer Service URL)で、応答 URL の追加リンクを選択します。 応答 URL のフィールドに同じ ACS URL の値を貼り付けます。

      注

      1. "HPE Aruba Networking EdgeConnect Cloud Orchestrator"、"HPE Aruba Networking EdgeConnect Service Provider Orchestrator"、"HPE Aruba Networking EdgeConnect Global Enterprise Orchestrator" の 3 つのオーケストレーター製品のいずれかで SAML SSO を構成する場合は、次のパターンを使用 https://<SUBDOMAIN>.silverpeak.cloud/gms/rest/authentication/saml2/consume。
      2. 自己デプロイ済みの HPE Aruba Networking EdgeConnect Orchestrator (オンプレミスにデプロイされている場合でも、Microsoft Entra などのパブリック クラウド環境でも) で SAML SSO を構成する場合は、次のパターンを使用 https://<PUBLIC-IP-ADDRESS-OF-ORCHESTRATOR>/gms/rest/authentication/saml2/consume。

   3. [ ログアウト URL (省略可能)]で、次の図に示すように、Orchestrator の [リモート認証サーバー] ページから EdgeConnect SLO エンドポイント の値を貼り付けます。

   注

   セルフホステッド Orchestrator で、Orchestrator の [ACS URL] フィールドと [EdgeConnect SLO エンドポイント] フィールドにプライベート IP アドレスが表示されている場合は、Orchestrator のパブリック IP アドレスで更新してください。 以下のスクリーンショットに示すように、5 つのフィールドすべてに、Orchestrator のパブリック IP アドレス (プライベート IP ではなく) が含まれる必要があります。

   

   ジー [ 保存] を 選択して [ 基本的な SAML 構成] セクションを 閉じます

7. [ SAML でのシングル サインオンの設定 ] ページの [属性と要求 ] セクションで、編集アイコンを選択し、下の強調表示されたエントリをコピーし、次に示すように Orchestrator の [Username Attribute]\(ユーザー名属性 \) フィールドに情報を貼り付けます。

   

8. [ SAML でのシングル サインオンの設定 ] ページの [ SAML 署名証明書 ] セクションで、 証明書 (Base64) を探し、[ ダウンロード ] を選択して証明書をダウンロードします。

   

9. 証明書をメモ帳などのテキスト エディターで開きます。 次に示すように、Orchestrator の IdP X.509 Cert フィールドに証明書の内容をコピーして貼り付けます。

   

10. [ SAML でのシングル サインオンの設定 ] ページの [HPE Aruba Networking EdgeConnect Orchestrator のセットアップ ] セクションで、 Microsoft Entra 識別子 をコピーし、Orchestrator の [発行者 URL ] フィールドに貼り付けます。

    

11. [プロパティ] タブを選択し、[ ユーザー アクセス URL] を コピーし、次に示すように Orchestrator の [SSO エンドポイント] フィールドに貼り付けます。

    

12. [Orchestrator Remote Authentication Server]\(オーケストレーター リモート認証サーバー\) ダイアログで、[ 既定のロール ] フィールドを設定します。 (例: SuperAdmin) を設定します (これがドロップダウン リストの最後の項目です)。[属性とクレーム] セクションのユーザー属性にロールベースのアクセス制御 (RBAC) を定義しなかった場合は、既定のロールが必要です。

13. [リモート認証サーバー] ダイアログで [保存] を選択します。

14. これで Orchestrator で SAML SSO 認証が構成されました。 次のステップでは、テスト ユーザーを作成し、そのユーザーに Orchestrator アプリケーションを割り当てて、SAML が正常に構成されているかどうかを確認します。

Microsoft Entra ID テスト ユーザーを作成する

このセクションでは、Microsoft Entra 管理センターで B.Simon というテスト ユーザーを作成します。

1. Microsoft Entra 管理センターに、少なくともユーザー管理者としてサインインします。
2. Entra ID>Users に移動します。
3. 画面の上部にある [ 新しいユーザー>新しいユーザーの作成] を選択します。
4. ユーザーのプロパティで、次の手順に従います。
   1. [ 表示名 ] フィールドに「 B.Simon」と入力します。
   2. [ ユーザー プリンシパル名 ] フィールドに、 username@companydomain.extensionを入力します。 たとえば、「 B.Simon@contoso.com 」のように入力します。
   3. [ パスワードの表示 ] チェック ボックスをオンにし、[ パスワード ] ボックスに表示される値を書き留めます。
   4. [ 確認と作成] を選択します。
5. 作成を選択します。

HPE Aruba Networking EdgeConnect Orchestrator アプリケーションにテスト ユーザーを割り当てる

このセクションでは、B.Simon に HPE Aruba Networking EdgeConnect Orchestrator へのアクセスを許可することで、このユーザーが Microsoft Entra シングル サインオンを使用できるようにします。

1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
2. Entra ID>エンタープライズ アプリケーション>HPE Aruba Networking EdgeConnect Orchestrator に移動します。
3. アプリの概要ページで、[ ユーザーとグループ] を選択します。
4. [ユーザー/グループの追加] を選択し、[割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。
   1. [ ユーザーとグループ ] ダイアログで、[ユーザー] の一覧から B.Simon を選択し、画面の下部にある [選択 ] ボタンを選択します。
   2. ユーザーにロールが割り当てられる予定の場合は、[ ロールの選択 ] ドロップダウンから選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
   3. [ 割り当ての追加 ] ダイアログで、[ 割り当て ] ボタンを選択します。

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。

SP Initiated:

• Microsoft Entra 管理センターで [ このアプリケーションをテスト する] を選択します。 このオプションは、ログイン フローを開始できる HPE Aruba Networking EdgeConnect Orchestrator のサインオン URL にリダイレクトします。

• HPE Aruba Networking EdgeConnect Orchestrator のサインオン URL に直接移動し、そこからログイン フローを開始します。

IDP Initiated:

• Microsoft Entra 管理センターで [ このアプリケーションをテスト する] を選択すると、SSO を設定した HPE Aruba Networking EdgeConnect Orchestrator に自動的にサインインします。

また、Microsoft マイ アプリを使用して、任意のモードでアプリケーションをテストすることもできます。 マイ アプリで HPE Aruba Networking EdgeConnect Orchestrator タイルを選択すると、SP モードで構成されている場合は、ログイン フローを開始するためのアプリケーション サインオン ページにリダイレクトされます。IDP モードで構成されている場合は、SSO を設定した HPE Aruba Networking EdgeConnect Orchestrator に自動的にサインインされます。 マイ アプリの詳細については、「マイ アプリの 概要」を参照してください。

関連コンテンツ

HPE Aruba Networking EdgeConnect Orchestrator を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用できます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を適用する方法について説明します。