チュートリアル: Microsoft Entra SSO と NS1 SSO for Azure の統合
このチュートリアルでは、NS1 SSO for Azure と Microsoft Entra ID を統合する方法について説明します。 NS1 SSO for Azure を Microsoft Entra ID と統合すると、次のことができます:
- NS1 SSO for Azure にアクセスできるユーザーを Microsoft Entra ID で制御します。
- ユーザーが自分の Microsoft Entra アカウントを使って NS1 SSO for Azure に自動的にサインインできるようにします。
- 1 つの中央サイト (Azure Portal) でアカウントを管理できます。
前提条件
開始するには、次が必要です。
- Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
- NS1 SSO for Azure でのシングル サインオン (SSO) が有効なサブスクリプション。
- クラウド アプリケーション管理者と共に、アプリケーション管理者も、Microsoft Entra ID でアプリケーションを追加または管理することができます。 詳細については、Azure の組み込みロールに関するページを参照してください。
シナリオの説明
このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。
- NS1 SSO for Azure では、SP Initiated SSO と IDP Initiated SSO がサポートされます。
注意
このアプリケーションの識別子は固定文字列値であるため、1 つのテナントで構成できるインスタンスは 1 つだけです。
ギャラリーからの NS1 SSO for Azure の追加
Microsoft Entra ID への NS1 SSO for Azure の統合を構成するには、ギャラリーからマネージド SaaS アプリの一覧に NS1 SSO for Azure を追加する必要があります。
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
- [ギャラリーから追加する] セクションで、検索ボックスに「NS1 SSO for Azure」と入力します。
- 結果のパネルから [NS1 SSO for Azure] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。
または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。
NS1 SSO for Azure 用に Microsoft Entra SSO を構成してテストする
B.Simon というテスト ユーザーを使用して、NS1 SSO for Azure に対する Microsoft Entra SSO を構成してテストします。 SSO を機能させるために、Microsoft Entra ユーザーと NS1 SSO for Azure の関連ユーザーとの間にリンク関係を確立します。
NS1 SSO for Azure で Microsoft Entra SSO を構成してテストする一般的な手順を以下に示します:
Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
a. Microsoft Entra テスト ユーザーを作成し、B.Simon を使用して Microsoft Entra シングル サインオンをテストします。
b. Microsoft Entra テスト ユーザーを割り当て、B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
NS1 SSO for Azure の SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
a. NS1 SSO for Azure のテスト ユーザーの作成 - NS1 SSO for Azure で B.Simon に対応するユーザーを作成します。 このユーザーを Microsoft Entra の対応するユーザーにリンクさせます。
SSO のテスト - 構成が機能するかどうかを確認します。
Microsoft Entra SSO の構成
次の手順に従って Microsoft Entra SSO を有効にします。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[NS1 SSO for Azure] アプリケーション統合ページに移動し、[管理] セクションを見つけます。 [シングル サインオン] を選択します。
[シングル サインオン方式の選択] ページで、 [SAML] を選択します。
[SAML でシングル サインオンをセットアップします] ページで、 [基本的な SAML 構成] の鉛筆アイコンを選択して設定を編集します。
[基本的な SAML 構成] セクションで、次の手順を実行します。
a. [識別子] ボックスに、次の URL を入力します:
https://api.nsone.net/saml/metadata
。b. [応答 URL] ボックスに、
https://api.nsone.net/saml/sso/<ssoid>
のパターンを使用して URL を入力しますアプリケーションを SP 開始モードで構成する場合は、 [追加の URL を設定します] を選択して次の手順を実行します。
[サインオン URL] ボックスに、次の URL を入力します:
https://my.nsone.net/#/login/sso
注意
応答 URL は、実際の値ではありません。 応答 URL 値を実際の応答 URL で更新します。 この値を取得するには、NS1 SSO for Azure クライアント サポート チームに問い合わせください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。
NS1 SSO for Azure アプリケーションは、特定の形式で構成された SAML アサーションを受け入れます。 このアプリケーションには、次の要求を構成します。 これらの属性の値は、アプリケーション統合ページの [ユーザー属性とクレーム] セクションで管理できます。 [SAML でシングル サインオンをセットアップします] ページで、鉛筆アイコンを選択して [ユーザー属性] ダイアログ ボックスを開きます。
属性名を選択して要求を編集します。
[変換] を選択します。
[変換の管理] セクションで、次の手順を実行します。
[Transformation](変換) として [ExactMailPrefix()] を選択します。
[パラメーター 1] として [user.userprincipalname] を選択します。
[追加] を選択します。
[保存] を選択します。
[SAML でシングル サインオンをセットアップします] ページの [SAML 署名証明書] セクションで、コピー ボタンを選択します。 これにより、アプリのフェデレーション メタデータ URL がコピーされ、お使いのコンピューターに保存されます。
Microsoft Entra テスト ユーザーを作成する
このセクションでは、B.Simon というテスト ユーザーを作成します。
- Microsoft Entra 管理センターにユーザー管理者以上でサインインしてください。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
- [ユーザー] プロパティで、以下の手順を実行します。
- "表示名" フィールドに「
B.Simon
」と入力します。 - [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、「
B.Simon@contoso.com
」のように入力します。 - [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
- [Review + create](レビュー + 作成) を選択します。
- "表示名" フィールドに「
- [作成] を選択します。
Microsoft Entra テスト ユーザーを割り当てる
このセクションでは、B.Simon に NS1 SSO for Azure へのアクセスを許可することで、このユーザーが Azure シングル サインオンを使用できるようにします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
- アプリケーションの一覧で、 [NS1 SSO for Azure] を選択します。
- アプリの概要ページで、 [管理] セクションを見つけて、 [ユーザーとグループ] を選択します。
- [ユーザーの追加] を選択します。 [割り当ての追加] ダイアログ ボックスで [ユーザーとグループ] を選択します。
- [ユーザーとグループ] ダイアログ ボックスで、ユーザーの一覧から [B.Simon] を選択します。 次に、画面の下部にある [選択] ボタンを選択します。
- SAML アサーション内にロール値が必要な場合、 [ロールの選択] ダイアログ ボックスで、一覧からユーザーに適したロールを選択します。 次に、画面の下部にある [選択] ボタンを選択します。
- [割り当ての追加] ダイアログ ボックスで [割り当て] を選びます。
NS1 SSO for Azure の SSO の構成
NS1 SSO for Azure 側でシングル サインオンを構成するには、アプリのフェデレーション メタデータ URL を NS1 SSO for Azure サポート チームに送信する必要があります。 この設定が構成され、SAML SSO 接続が両側で正しく行われます。
NS1 SSO for Azure のテスト ユーザーの作成
このセクションでは、NS1 SSO for Azure で B.Simon というユーザーを作成します。 NS1 SSO for Azure サポート チームと協力して、NS1 SSO for Azure プラットフォームにユーザーを追加します。 ユーザーを作成してアクティブ化するまでは、シングル サインオンを使用できません。
SSO のテスト
このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。
SP Initiated:
[このアプリケーションをテストします] をクリックすると、ログイン フローを開始できる NS1 SSO for Azure のサインオン URL にリダイレクトされます。
NS1 SSO for Azure サインオン URL に直接移動し、そこからログイン フローを開始します。
IDP Initiated:
- [このアプリケーションをテストします] をクリックすると、SSO を設定した NS1 SSO for Azure に自動的にサインインします。
また、Microsoft マイ アプリを使用して、任意のモードでアプリケーションをテストすることもできます。 [マイ アプリ] で [NS1 SSO for Azure ] タイルをクリックすると、SP モードで構成されている場合は、ログイン フローを開始するためのアプリケーションのサインオン ページにリダイレクトされ、IDP モードで構成されている場合は、SSO を設定した NS1 SSO for Azure に自動的にサインインします。 詳細については、「Microsoft Entra のマイ アプリ」を参照してください。
次のステップ
NS1 SSO for Azure を構成すると、セッション制御を適用して、組織の機密データの流出と侵入をリアルタイムで保護できます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Cloud App Security でセッション制御を強制する方法をご覧ください。