チュートリアル: Microsoft Entra シングル サインオン (SSO) と Lenses.io DataOps ポータルの統合
このチュートリアルでは、Lenses.io DataOps Portal を Microsoft Entra ID と統合する方法について説明します。 Microsoft Entra ID と Lenses.io を統合すると、次のことができます。
- Lenses.io Portal にアクセスできるユーザーを Microsoft Entra ID で制御できます。
- ユーザーが自分の Microsoft Entra アカウントを使って Lenses に自動的にサインインできるようにする。
- 1 つの中央サイト (Azure Portal) でアカウントを管理できます。
前提条件
開始するには、次が必要です。
- Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
- Lenses ポータルのインスタンス。 多数のデプロイ オプションから選択できます。
- シングル サインオン (SSO) をサポートする Lenses.io ライセンス。
Note
この統合は、Microsoft Entra 米国政府クラウド環境から利用することもできます。 このアプリケーションは、Microsoft Entra 米国政府クラウドのアプリケーション ギャラリーにあり、パブリック クラウドの場合と同じように構成できます。
シナリオの説明
このチュートリアルでは、テスト環境で Microsoft Entra SSO を構成してテストします。
- Lenses.io では、サービス プロバイダー (SP) Initiated SSO がサポートされます。
ギャラリーからの Lenses.io の追加
Microsoft Entra ID への Lenses.io の統合を構成するには、マネージド SaaS アプリの一覧に Lenses.io を追加します。
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
- [ギャラリーから追加する] セクションで、検索ボックスに「Lenses.io」と入力します。
- 結果のパネルから [Lenses.io] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。
または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。
Lenses.io 用に Microsoft Entra SSO を構成してテストする
B.Simon というテスト ユーザーを作成して、Lenses.io ポータルに対する Microsoft Entra SSO を構成してテストします。 SSO が機能するためには、Microsoft Entra ユーザーと Lenses.io の関連ユーザーとの間にリンク関係を確立する必要があります。
次の手順を実行します:
- Microsoft Entra SSO を構成して、ユーザーがこの機能を使用できるようにします。
- Microsoft Entra テスト ユーザーとテスト グループを作成して、B.Simon を使って Microsoft Entra SSO をテストします。
- Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra SSO を使用できるようにします。
- Lenses.io SSO を構成して、アプリケーション側で SSO 設定を構成します。
- Lenses.io テスト グループのアクセス許可を作成して、Lenses.io で B.Simon がアクセスできる内容を制御します (認可)。
- SSO のテスト - 構成が機能するかどうかを確認します。
Microsoft Entra SSO の構成
Azure portal で、次の手順に従って Microsoft Entra SSO を有効にします。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Lenses.io] アプリケーション統合ページに移動し、[管理] セクションを見つけて、[シングル サインオン] を選択します。
[シングル サインオン方式の選択] ページで、 [SAML] を選択します。
[SAML でシングル サインオンをセットアップします] ページで、 [基本的な SAML 構成] の鉛筆アイコンを選択して設定を編集します。
[基本的な SAML 構成] セクションで、次の手順を実行します。
a. 識別子 (エンティティ ID) :
https://<CUSTOMER_LENSES_BASE_URL>
の形式で URL を入力します。 たとえばhttps://lenses.my.company.com
です。b. 応答 URL:
https://<CUSTOMER_LENSES_BASE_URL>/api/v2/auth/saml/callback?client_name=SAML2Client
の形式で URL を入力します。 たとえばhttps://lenses.my.company.com/api/v2/auth/saml/callback?client_name=SAML2Client
です。c. サインオン URL:
https://<CUSTOMER_LENSES_BASE_URL>
の形式で URL を入力します。 たとえばhttps://lenses.my.company.com
です。注意
これらは実際の値ではありません。 これらは、お使いの Lenses ポータル インスタンスのベース URL を使用した実際の識別子、応答 URL、サインオン URL で更新します。 詳細については、Lenses.io SSO のドキュメントを参照してください。
[SAML によるシングル サインオンのセットアップ] ページで、 [SAML 署名証明書] セクションに移動します。 [フェデレーション メタデータ XML] を見つけ、 [ダウンロード] を選択して、証明書をダウンロードし、お使いのコンピューターに保存します。
[Lenses.io のセットアップ] セクションで、ダウンロードした XML ファイルを使用して、Azure SSO に対して Lenses を構成します。
Microsoft Entra テスト ユーザーとテスト グループを作成する
Azure portal で、B.Simon というテスト ユーザーを作成します。 次に、B.Simon が Lenses で持つアクセス権を制御するテスト グループを作成します。
Lenses でグループ メンバーシップのマッピングを使用して認可を行う方法については、Lenses SSO のドキュメントを参照してください。
- Microsoft Entra 管理センターにユーザー管理者以上でサインインしてください。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
- [ユーザー] プロパティで、以下の手順を実行します。
- "表示名" フィールドに「
B.Simon
」と入力します。 - [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、「
B.Simon@contoso.com
」のように入力します。 - [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
- [Review + create](レビュー + 作成) を選択します。
- "表示名" フィールドに「
- [作成] を選択します。
グループを作成するには、次のようにします。
- [Microsoft Entra ID] に移動し、[グループ] を選択します。
- 画面の上部で、 [新しいグループ] を選択します。
- [グループのプロパティ] で、以下の手順を実行します。
- [グループの種類] ボックスで [セキュリティ] を選択します。
- [グループ名] ボックスに、「LensesUsers」と入力します。
- [作成] を選択します
- グループ LensesUsers を選択し、オブジェクト ID (たとえば、aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) をコピーします。 この ID は、このグループのユーザーを適切なアクセス許可にマップするために、Lenses で使用します。
テスト ユーザーにグループを割り当てるには、次のようにします。
- [Microsoft Entra ID] に移動し、[ユーザー] を選択します。
- テスト ユーザー B.Simon を選択します。
- [グループ] を選びます。
- 画面の上部で、 [メンバーシップの追加] を選択します。
- LensesUsers を検索して選択します。
- [選択] をクリックします。
Microsoft Entra テスト ユーザーを割り当てる
このセクションでは、B.Simon に Lenses.io へのアクセスを許可することで、シングル サインオンを使用できるようにします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
- アプリケーションの一覧で [Lenses.io] を選択します。
- アプリの概要ページの [管理] セクションで、 [ユーザーとグループ] を選択します。
- [ユーザーの追加] を選択します。
- [割り当ての追加] ダイアログ ボックスで [ユーザーとグループ] を選択します。
- [ユーザーとグループ] ダイアログ ボックスで、ユーザーの一覧から [B.Simon] を選択します。 次に、画面の下部にある [選択] ボタンをクリックします。
- SAML アサーション内にロール値が必要な場合、 [ロールの選択] ダイアログ ボックスで、一覧からユーザーに適したロールを選択します。 次に、画面の下部にある [選択] ボタンをクリックします。
- [割り当ての追加] ダイアログ ボックスで、 [割り当て] ボタンを選択します。
Lenses.io の SSO の構成
Lenses.io ポータルで SSO を構成するには、ダウンロードしたフェデレーション メタデータ XML を Lenses インスタンスにインストールし、SSO が有効になるように Lenses を構成します。
Lenses.io テスト グループのアクセス許可を作成する
- Lenses でグループを作成するには、LensesUsers グループのオブジェクト ID を使用します。 これは、ユーザーの作成セクションでコピーした ID です。
- B.Simon に必要なアクセス許可を割り当てます。
詳細については、Azure - Lenses グループ マッピングに関する記述を参照してください。
SSO のテスト
このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。
[このアプリケーションをテストします] を選ぶと、ログイン フローを開始できる Lenses.io のサインオン URL にリダイレクトされます。
Lenses.io のサインオン URL に直接移動し、そこからログイン フローを開始します。
Microsoft マイ アプリを使用することができます。 マイ アプリで [Lenses.io] タイルをクリックすると、Lenses.io のサインオン URL にリダイレクトされます。 マイ アプリの詳細については、マイ アプリの概要に関するページを参照してください。
次のステップ
Lenses.io を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用することができます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。