このガイドでは、 Microsoft Entra IDで新しいアプリケーションを作成し、SAML 2.0 経由でAxur Platformサービスと通信するための手順を段階的に説明します。このガイドでは、シングルサインオン(SSO) が正しく期待どおりに機能するために必要なすべての設定について説明します。
目次
始める前に
Microsoft Entra IDに管理者アカウントがあり、問題なくアクセスできることを確認してください。
設定を行う際は、指定されたフィールドにコピーまたは入力するデータが正しいことを確認してください。誤ったデータ入力は、後でアプリケーションのテストを行う際に問題を引き起こす可能性があります。
このソリューションは、 オンプレミスのActive Directory(AD)サービス、つまり自社のインフラストラクチャ内でホストされているサービスではなく、 Azureが提供する ADサービスをクラウドで利用することに重点を置いている点にご留意ください。
注: Azure Active Directory (Azure AD) は現在 Microsoft Entra IDです。このガイドでは Microsoft Entra ID を使用しますが、一部のポータルインターフェースでは引き続き「Azure AD」と表示される場合があります。
グループ、ユーザー、割り当て
Axur Platform SSOアプリケーション作成チュートリアルでは 、ユーザーとグループの概念が常に登場します。プロバイダーは、ユーザー情報と所属グループがすべて保存される場所です(プロバイダー経由でのグループ作成は任意です)。そのため、このセクションでは、 Microsoft Entra IDでグループとユーザーを作成し、ユーザーをグループに割り当てる方法を説明します。
グループの作成(オプション)
このセクションはオプションです。グループはAxurプラットフォーム内で管理できます 。そのため、グループの作成、ユーザーへのグループの割り当て、ユーザーグループのマッピングのセクションはスキップできます。
注意:Entra ID ClaimsにおけるオンプレミスADグループ
オンプレミスのActive DirectoryからMicrosoft Entra IDに同期されたグループは、「cloud-native」ではないため、SAML/OIDCトークンでグループClaimsとして使用できません。この制限に対応するには、グループを「クラウド専用グループ」(cloud-only groups)としてMicrosoft Entra IDで直接作成する必要があります。
注意事項:グループ名が定められたパターンに従うことは非常に重要です。具体的には、新しいグループには、表の値を接尾辞として含める必要があります。
グループ |
|
|
|
|
|
Axur-one-managerこの意味では、や の ようなグループ値はClientX-one-expert有効ですが、Axur-manager や は予期される接尾辞を含まないため有効でClientX-analystはありません。
グループに関するもう少し詳しい情報は次のとおりです。
グループ名 | グループの説明 |
one-viewer | このグループのユーザーは Axur プラットフォームにアクセスでき、すべてのチケット、結果、請求書情報を表示できますが、アクションを実行することはできません。 |
one-practitioner | このグループのユーザーは Axur プラットフォームにアクセスでき、すべての情報を表示できるほか、課金対象外のアクション (削除リクエストを除く) を実行できます。 |
one-expert | このグループのユーザーは Axur プラットフォームにアクセスでき、課金対象外のアクションの実行に加えて、削除をリクエストすることもできます。 |
one-manager | このグループのユーザーは Axur プラットフォームにアクセスでき、すべてのアクション (課金対象および非課金対象) を実行できるほか、Axur プラットフォームでユーザーが実行したアクティビティを表示することもできます。 |
one-basic | このグループのユーザーには、個別の権限セットが付与されます。ユーザーが作成された際に、マネージャーは権限の内容を指定できます。 |
Microsoft Entra IDで新しいグループを作成するには、画像の手順に従ってください。また、示されているガイドラインに従うことを忘れないでください。
いくつかのグループを追加すると、次の画像のような画面が表示されます。
ユーザーの作成
Microsoft Entra IDで新しいユーザーを作成するには、画像の手順に従ってください。
作成するユーザーの「名」、「姓」、「メール」フィールドが入力されていることが非常に重要です。後で追加するため、この時点でユーザーにグループを追加する必要はありません。
ユーザーにグループを割り当てる(オプション)
このセクションはオプションです。グループはAxurプラットフォーム内で管理できます 。そのため、グループの作成、ユーザーへのグループの割り当て、ユーザーグループのマッピングのセクションはスキップできます。
作成したグループをユーザーに割り当てたい場合は、画像の手順に従ってください。
新しいアプリケーションの作成
Azureアカウントにアクセスし、 管理者としてログインします。次に、以下の画像の手順に従って、Axur Platform にデータを提供する新しいSAMLアプリケーションを作成します。
Axur Platform データを Microsoft Entra ID に送信する
SSOプロセスをスムーズに実行するには、Microsoft Entra IDが通信相手を特定する必要があります。画像に従って、以下のAxur PlatformデータをMicrosoft Entra ID設定に 入力してください。
データを追加するには、ファイルをアップロードする必要があります。以下のURLにアクセスしてファイルをダウンロードしてください。
https://api.axur.com/gateway/1.0/saml-proxy/saml/metadata
続行する前に、ファイルから取得したデータが画像と一致していることを確認してください。
ユーザー属性のマッピング
Microsoft Entra ID をプロバイダーとして使用することで、 Microsoftが既に保存・管理している認証情報を活用します 。これらの認証情報は、プロバイダーが定義した形式で保存されます。しかし、 SAMLを使用してAxur プラットフォームと通信するには、ユーザーデータを標準化された方法で送信する必要があります。つまり、データがMicrosoftから送信されたものか他のプロバイダーから送信されたものかに関わらず、 Axur プラットフォームがユーザーのメール属性を常に同じ形式で受信できるようにする必要があります。プロバイダーによってデータの保存方法は異なりますが、マッピングによってこの問題を解決できます。
一部のプロバイダーとは異なり、Microsoft Entra ID にはSAML アプリケーションの作成 時に定義されたユーザーマッピングが既に含まれています。この設定を完了するには、という名前のマッピングを 1 つ 削除するuserprincipalnameだけです。手順は以下のとおりです。
ユーザーグループのマッピング(オプション)
このセクションはオプションです。グループはAxurプラットフォーム内で管理できます 。そのため、グループの作成、ユーザーへのグループの割り当て、ユーザーグループのマッピングのセクションはスキップできます。
ユーザー属性と同様に、グループも存在します。グループは、特定の基準に基づいてユーザーをグループ化します。これらのグループは、 Microsoft Entra IDの管理者によって作成されます。前のセクションで説明したように、このデータが プロバイダーに関係なく標準化された方法でAxur プラットフォームに送信されるように、マッピングを作成する必要があります。
このセクションでは、グループ作成セクションで作成した各グループを取得し、Axur プラットフォームに送信するときにこれらのグループ名をどのようにマッピングするかをMicrosoft Entra IDに伝えることに重点を置きます。
画像に従って、 Microsoft Entra ID設定でグループとそのマッピングを作成します 。画像に表示されているデータを使用して、プラットフォームで設定を実行します。
分野 | 価値 |
名前(必須) | グループ |
名前空間(元のテーブルのエンティティ ID の代わりに) |
|
Microsoft Entra IDプロバイダーデータの取得
当社では ID プロバイダーとしてMicrosoft Entra ID を使用しているため、 Axur プラットフォームが通信相手となり、その情報が安全かつ信頼できるかどうかを判断できる情報を取得する必要があります。
Microsoft Entra IDの場合、.xml情報が記載されたファイルをダウンロードするか、同じデータへのリンクをコピーすることができます。Axurプラットフォームではどちらのオプションもサポートされているため、お好きな方をお選びいただけます。
この情報は、 Axur プラットフォームでSSOを構成するときに使用するので、保存してください 。
アプリケーションへのグループ/ユーザーの割り当て
残りは、作成した新しいアプリケーションにユーザーまたはグループを割り当てるだけです。画像の手順に従ってください。
グループを割り当てるには:
ユーザーを割り当てるには:
このセクションでは、グループとユーザーの両方を直接割り当てることができます。検索後、メニューから選択するだけです。そのため、プロバイダー経由でグループを作成する場合と、 Axurプラットフォーム自体でグループを管理する場合のどちらの場合でも、アプリケーションを簡単に設定できます。
よくあるエラー
サービスプロバイダー(SP)情報(この場合はAxur Platform )。対応するセクションのデータを確認し、それらが同一であることを確認してください。
IDプロバイダー(IdP)情報(この場合はMicrosoft Entra ID)。ダウンロードしたファイルまたはコピーしたリンクが有効であり、変更されていないことを確認してください。
アプリケーションアクセス情報。グループまたは直接ユーザーの割り当てを確認します。
これで、Microsoft Entra IDプロバイダーでの必要な設定は完了です。プラットフォームの設定ガイドに戻り、アプリケーションの作成を完了してください。
ご不明点があれば、いつでも [email protected] までお気軽にご連絡ください 😊