チュートリアル: Microsoft Entra SSO と VIDA の統合
このチュートリアルでは、VIDA を Microsoft Entra ID と統合する方法について説明します。 VIDA を Microsoft Entra ID と統合すると、次のことができます。
- VIDA にアクセスできるユーザーを Microsoft Entra ID で制御する。
- ユーザーが自分の Microsoft Entra アカウントを使って VIDA に自動的にサインインできるようにする。
- 1 つの場所でアカウントを管理します。
開始するには、次が必要です。
- Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
- VIDA でのシングル サインオン (SSO) が有効なサブスクリプション。
このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。
VIDA では、SP によって開始される SSO がサポートされます。
VIDA では、Just-In-Time ユーザー プロビジョニングがサポートされます。
Microsoft Entra ID への VIDA の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に VIDA を追加する必要があります。
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
- [ギャラリーから追加する] セクションで、検索ボックスに「VIDA」と入力します。
- 結果のパネルから [VIDA] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。
または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。
B.Simon というテスト ユーザーを使って、VIDA に対する Microsoft Entra SSO を構成してテストします。 SSO が機能するには、Microsoft Entra ユーザーと VIDA の関連ユーザーの間にリンク関係を確立する必要があります。
VIDA に対して Microsoft Entra SSO を構成してテストするには、次の手順を実行します。
- Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
- Microsoft Entra のテスト ユーザーの作成 - B.Simon を使用して Microsoft Entra シングル サインオンをテストします。
- Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
- VIDA SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
- VIDA テスト ユーザーを作成する - VIDA で B.Simon に対応するユーザーを作成し、Microsoft Entra のこのユーザーにリンクさせます。
- SSO のテスト - 構成が機能するかどうかを確認します。
次の手順に従って Microsoft Entra SSO を有効にします。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[VIDA]>[シングル サインオン] の順に移動します。
[シングル サインオン方式の選択] ページで、 [SAML] を選択します。
[SAML によるシングル サインオンのセットアップ] ページで、 [基本的な SAML 構成] の鉛筆アイコンをクリックして設定を編集します。
[基本的な SAML 構成] セクションで、次のフィールドの値を入力します。
a. [識別子 (エンティティ ID)] ボックスに、
urn:amazon:cognito:sp:eu-west-2_IDmTxjGr6
という値を入力します。b. [応答 URL] ボックスに、URL として「
https://vitruevida.auth.eu-west-2.amazoncognito.com/saml2/idpresponse
」と入力します。c. [サインオン URL] ボックスに、次のパターンを使用して URL を入力します。
https://vitruevida.com/?teamid=<ID>&idp=<IDP_NAME>
注意
サインオン URL は実際の値ではありません。 実際のサインオン URL でこの値を更新してください。 この値を取得するには、VIDA クライアント サポート チームに問い合わせてください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。
VIDA アプリケーションでは、特定の形式の SAML アサーションを使用するため、カスタム属性のマッピングを SAML トークンの属性の構成に追加する必要があります。 次のスクリーンショットには、既定の属性一覧が示されています。
その他に、VIDA アプリケーションでは、いくつかの属性が SAML 応答で返されることが想定されています。それらの属性を次に示します。 これらの属性も値が事前に設定されますが、要件に従ってそれらの値を確認することができます。
名前 ソース属性 assignedroles user.assignedroles [SAML によるシングル サインオンのセットアップ] ページの [SAML 署名証明書] セクションで、 [フェデレーション メタデータ XML] を探して [ダウンロード] を選択し、証明書をダウンロードして、お使いのコンピューターに保存します。
[VIDA のセットアップ] セクションで、要件に基づいて適切な URL をコピーします。
このセクションでは、B.Simon というテスト ユーザーを作成します。
- Microsoft Entra 管理センターにユーザー管理者以上でサインインしてください。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
- [ユーザー] プロパティで、以下の手順を実行します。
- "表示名" フィールドに「
B.Simon
」と入力します。 - [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、「
B.Simon@contoso.com
」のように入力します。 - [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
- [Review + create](レビュー + 作成) を選択します。
- "表示名" フィールドに「
- [作成] を選択します。
このセクションでは、B.Simon に VIDA へのアクセスを許可することで、このユーザーがシングル サインオンを使用できるようにします。
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[VIDA] の順に移動します。
- アプリの概要ページで、[ユーザーとグループ] を選択します。
- [ユーザーまたはグループの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。
- [ユーザーとグループ] ダイアログの [ユーザー] の一覧から [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。
- ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
- [割り当ての追加] ダイアログで、 [割り当て] をクリックします。
VIDA ロールを Microsoft Entra ユーザーに関連付けるには、次の手順に従って Microsoft Entra ID でロールを作成する必要があります。
a. Microsoft Graph Explorer にサインオンします。
b. [アクセス許可の変更] をクリックし、ロールの作成に必要なアクセス許可を取得します。
c. 次の画像のように、一覧から次のアクセス許可を選択し、 [アクセス許可の変更] をクリックします。
注意
アクセス許可が付与されたら、Graph Explorer に再度ログオンします。
d. Graph Explorer ページで、最初のドロップダウン リストから [GET] を選択し、2 つ目のドロップダウン リストから [ベータ] を選択します。 ドロップダウン リストの横にあるフィールドに「
https://graph.microsoft.com/beta/servicePrincipals
」と入力し、 [クエリの実行] を実行します。注意
複数のディレクトリを使用している場合、クエリのフィールドに「
https://graph.microsoft.com/beta/contoso.com/servicePrincipals
」と入力できます。e. [Response Preview](応答プレビュー) セクションで、後で使用するために "Service Principal" から appRoles プロパティを抽出します。
注意
クエリのフィールドに「
https://graph.microsoft.com/beta/servicePrincipals/<objectID>
」と入力することで appRoles プロパティを見つけることができます。objectID
は Microsoft Entra ID の [プロパティ] ページからコピーしたオブジェクト ID であることに注意してください。f. Graph Explorer に戻り、メソッドを GET から PATCH に変更し、 [要求本文] セクションに次のコンテンツを貼り付け、 [クエリの実行] をクリックします。
{ "appRoles": [ { "allowedMemberTypes": [ "User" ], "description": "User", "displayName": "User", "id": "18d14569-c3bd-439b-9a66-3a2aee01****", "isEnabled": true, "origin": "Application", "value": null }, { "allowedMemberTypes": [ "User" ], "description": "msiam_access", "displayName": "msiam_access", "id": "b9632174-c057-4f7e-951b-be3adc52****", "isEnabled": true, "origin": "Application", "value": null }, { "allowedMemberTypes": [ "User" ], "description": "VIDACompanyAdmin", "displayName": "VIDACompanyAdmin", "id": "293414bb-2215-48b4-9864-64520937d437", "isEnabled": true, "origin": "ServicePrincipal", "value": "VIDACompanyAdmin" }, { "allowedMemberTypes": [ "User" ], "description": "VIDATeamAdmin", "displayName": "VIDATeamAdmin", "id": "2884f1ae-5c0d-4afd-bf28-d7d11a3d7b2c", "isEnabled": true, "origin": "ServicePrincipal", "value": "VIDATeamAdmin" }, { "allowedMemberTypes": [ "User" ], "description": "VIDAUser", "displayName": "VIDAUser", "id": "37b3218c-0c06-484f-90e6-4390ce5a8787", "isEnabled": true, "origin": "ServicePrincipal", "value": "VIDAUser" } ] }
注意
Microsoft Entra ID から、SAML 応答の要求値としてこれらのロールの値が送信されます。 ただし、パッチ操作では、
msiam_access
部分の後にのみ、新しいロールを追加できます。 作成過程を速やかに進めるため、GUID Generator など、ID ジェネレーターを使用してリアルタイムで ID を生成することをお勧めします。g. 必要なロールを使ってその "サービス プリンシパル" にパッチを適用したら、チュートリアルの「Microsoft Entra テスト ユーザーの割り当て」セクションの手順に従って、Microsoft Entra ユーザー (B.Simon) とロールを関連付けます。
VIDA 側でシングル サインオンを構成するには、ダウンロードしたフェデレーション メタデータ XML と、アプリケーション構成からコピーした適切な URL を VIDA サポート チームに送信する必要があります。 サポート チームはこれを設定して、SAML SSO 接続が両方の側で正しく設定されるようにします。
このセクションでは、Britta Simon というユーザーを VIDA に作成します。 VIDA では、Just-In-Time ユーザー プロビジョニングがサポートされています。この設定は既定で有効になっています。 このセクションでは、ユーザー側で必要な操作はありません。 VIDA にユーザーがまだ存在していない場合は、認証後に新規に作成されます。
このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。
[このアプリケーションをテストする] をクリックすると、VIDA のサインオン URL にリダイレクトされ、そこでログイン フローを開始できます。
VIDA のサインオン URL に直接移動し、そこからログイン フローを開始します。
Microsoft マイ アプリを使用することができます。 マイ アプリで [VIDA] タイルをクリックすると、VIDA のサインオン URL にリダイレクトされます。 詳細については、「Microsoft Entra のマイ アプリ」を参照してください。
VIDA を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用できます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。