Strata の Maverics Orchestrator には、認証とアクセス制御のために、オンプレミス アプリケーションを Microsoft Entra ID と統合する簡単な方法が用意されています。 Maverics Orchestrator を使用すると、現在、ヘッダー、Cookie、およびその他の独自の認証方法に依存しているアプリの認証と承認を最新化できます。 Maverics Orchestrator のインスタンスは、オンプレミスまたはクラウドにデプロイできます。
このハイブリッド アクセスの記事では、従来の Web アクセス管理製品によって現在保護されているオンプレミスの Web アプリケーションを移行し、認証とアクセス制御に Microsoft Entra ID を使用する方法について説明します。 基本的な手順は次のとおりです。
- Maverics Orchestrator をセットアップする
- アプリケーションをプロキシ経由にする
- Microsoft Entra ID でエンタープライズ アプリケーションを登録する
- Microsoft Entra ID を使用した認証およびアプリケーションへのアクセスの承認を行う
- シームレスなアプリケーション アクセスのためにヘッダーを追加する
- 複数のアプリケーションを操作する
前提条件
- Microsoft Entra ID サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
- Maverics Identity Orchestrator プラットフォームのアカウント。 maverics.strata.io でサインアップします。
- ヘッダー ベースの認証が使用されている少なくとも 1 つのアプリケーション。 この例では、
https://localhost:8443で到達可能な Sonar というアプリケーションに対して作業します。
手順 1: Maverics Orchestrator をセットアップする
maverics.strata.io で Maverics アカウントにサインアップした後、ラーニング センターの記事「Getting Started: Evaluation Environment」を使用します。 この記事では、評価環境の作成、オーケストレーターのダウンロード、マシンへのオーケストレーターのインストールの手順について説明します。
手順 2: レシピを使用して Microsoft Entra ID をアプリに拡張する
次に、ラーニング センターの記事「 Microsoft Entra ID を従来の標準以外のアプリに拡張する」を使用します。 この記事では、ID ファブリック、ヘッダー ベースのアプリケーション、部分的に完全なユーザー フローを自動的に構成する .json レシピについて説明します。
手順 3: Microsoft Entra ID でエンタープライズ アプリケーションを登録する
次に、エンド ユーザーの認証に使用される新しいエンタープライズ アプリケーションを Microsoft Entra ID で作成します。
注
条件付きアクセスなどの Microsoft Entra ID 機能を活用する場合は、オンプレミスのアプリケーションごとにエンタープライズ アプリケーションを作成することが重要です。 これにより、アプリごとの条件付きアクセス、アプリごとのリスク評価、アプリごとの割り当てアクセス許可などが許可されます。一般に、Microsoft Entra ID のエンタープライズ アプリケーションは、Maverics の Azure コネクタにマップされます。
Microsoft Entra ID テナントで、 エンタープライズ アプリケーションに移動し、[ 新しいアプリケーション ] を選択し、Microsoft Entra ID ギャラリーで Maverics Identity Orchestrator SAML Connector を検索して選択します。
Maverics Identity Orchestrator SAML Connector の [プロパティ] ペインで、 [ユーザーの割り当てが必要ですか?] を [いいえ] に設定して、ディレクトリ内のすべてのユーザーがアプリケーションを使用できるようにします。
Maverics Identity Orchestrator SAML Connector の [概要] ペインで、 [シングル サインオンを設定する] を選択してから、 [SAML] を選択します。
Maverics Identity Orchestrator SAML Connector の [SAML ベースのサインオン] ペインで、 [編集] (鉛筆アイコン) ボタンを選択して [基本的な SAML 構成] を編集します。
エンティティ ID
https://sonar.maverics.comを入力します。 このエンティティ ID はテナント内のアプリ間で一意である必要があり、任意の値を指定できます。 この値は、次のセクションで Azure コネクタのsamlEntityIDフィールドを定義するときに使用します。応答 URL
https://sonar.maverics.com/acsを入力します。 この値は、次のセクションで Azure コネクタのsamlConsumerServiceURLフィールドを定義するときに使用します。サインオン URL
https://sonar.maverics.com/を入力します。 このフィールドは Maverics では使用されませんが、ユーザーが Microsoft Entra ID My Apps ポータルを使用してアプリケーションにアクセスできるようにするには、Microsoft Entra ID で必要です。[保存] を選択します。
[SAML 署名証明書] セクションで、[コピー] ボタンを選択して [アプリのフェデレーション メタデータ URL] をコピーし、お使いのコンピューターに保存します。
![[SAML 署名証明書] コピー ボタンのスクリーンショット。](common/copy-metadataurl.png)
手順 4: Microsoft Entra ID を使用した認証およびアプリケーションへのアクセスの承認を行う
引き続き、ラーニング センター トピック「Microsoft Entra ID を標準以外のレガシ アプリに拡張する」の手順 4 に進み、Maverics でユーザー フローを編集します。 これらの手順では、アップストリーム アプリケーションにヘッダーを追加し、ユーザー フローを配置するプロセスについて順に説明します。
ユーザー フローを配置したら、認証が想定どおりに動作していることを確認するために、Maverics プロキシ経由でアプリケーション リソースに対して要求を行います。 これで、保護されたアプリケーションでは要求でヘッダーを受信するようになりました。
アプリケーションで異なるヘッダーが想定されている場合は、ヘッダー キーを自由に編集してください。 SAML フローの一部として Microsoft Entra ID から返されるすべての要求は、ヘッダーで使用できます。 たとえば、別のヘッダー secondary_email: azureSonarApp.email を含めることができます。ここで、azureSonarApp はコネクタ名で、email は Microsoft Entra ID から返される要求です。
高度なシナリオ
ID の移行
有効期間が終了した Web アクセス管理ツールには満足できないが、パスワードの一括リセットを行わずにユーザーを移行する方法はないとお考えですか。 Maverics Orchestrator では、migrationgateways を使用して ID の移行をサポートします。
Web サーバー モジュール
Maverics Orchestrator を使用してネットワークとプロキシのトラフィックをやり直したくないとお考えですか。 問題ありません。Maverics Orchestrator では、Web サーバー モジュールと組み合わせて、プロキシ経由にせずに同じソリューションを提供できます。
まとめ
この時点で、Maverics Orchestrator をインストールし、Microsoft Entra ID 内にエンタープライズ アプリケーションを作成して構成し、保護されたアプリケーションに対してプロキシ経由にするように Orchestrator を構成し、一方で認証を要求してポリシーを適用しました。 Maverics Orchestrator を分散 ID 管理のユースケースに使用する方法の詳細については、Strata にお問い合わせください。