Azure AD ユーザーの SAML シングル サインオン (SSO) の構成

Azure AD ユーザーに対して、PAM360で SAML シングル サインオン(SSO)を設定できます。このドキュメントでは、Microsoft Azureポータルで多要素認証 (MFA) を有効にする手順についても詳しく説明します。 

注記:PAM360 を使用すると、ユーザーはサービスプロバイダーとしてセカンダリサーバーのSAML SSOを構成できるため、プライマリがダウンしているときにユーザーはセカンダリサーバーを使用してPAM360にログインできます。

前提条件

SAML SSO を設定する前に、ここで説明する手順に従って Azure AD ユーザーを PAM360 にインポートします。

Azure AD ユーザー向けに SAML SSO を構成する手順

  1. Azure Portal でのエンタープライズ アプリケーションの追加
  2. Azure ユーザーをエンタープライズ アプリケーションに割り当てる
  3. SAML SSOのPAM360での構成

MFA を有効にして Azure AD ユーザーの初回ログインを設定する手順

注記:Microsoft Azure ポータルで Azure AD ユーザーに対して MFA を有効にすることはオプションであり、SAML SSO 構成とは独立しています。

  1. Azureユーザーの多要素認証の有効化
  2. Azure ユーザーをエンタープライズ アプリケーションに割り当てる
  3. MFAが有効なAzureユーザーの初回ログインのセットアップ

Azure AD ユーザー向けに SAML SSO を構成する手順

Microsoft AzureポータルのAzure ADユーザーに対してPAM360でSAML SSOを構成する手順の詳細を以下に示します。

1.Azure Portal でのエンタープライズ アプリケーションの追加

  1. https://portal.azure.com を介して Microsoft Azure ポータルにログインします。
  2. 一番左のパネルで [Azure Active Directory] をクリックします。[管理]タブで[エンタープライズ アプリケーション]を選択します。
  3. [エンタープライズ アプリケーション]ページの上部にある[新規アプリケーション]をクリックします。
  4. [すべてのアプリケーション] ページが表示され、そこから選択して追加できるアプリケーションが一覧表示されます。検索バーに[SAML]と入力し、Enterを押します。
  5. 検索結果から、[SAML 1.1 トークンが有効な LOB アプリ]をクリックします。アプリケーションは、右側のパネルの最小化されたウィンドウで開きます。
  6. 右上隅にある四角形のアイコンをクリックして、アプリ ウィンドウを最大化します。名前を[PAM360 SAML 1.1 SSO]として編集し、[追加]をクリックします。
  7. PAM360 SAML 1.1 SSOエンタープライズ アプリケーションとして正常に追加されます。

2.Azure ユーザーをエンタープライズ アプリケーションに割り当てる

  1. 左側のパネルの[管理][ユーザーとグループ]を選択し、上部にある[ユーザーの追加]をクリックします。
  2. [割り当ての追加] パネルで、[選択なし] をクリックしてユーザーのリストを開きます。必要なユーザーを選択し、下部にある[選択]オプションをクリックします。
  3. 必要なユーザーを選択したら、[割り当て]をクリックしてエンタープライズ・アプリケーションに割り当てます。

3.SAML SSOのPAM360での構成

  1. 左側のパネルの[管理]タブで、[シングル サインオン]をクリックします。[シングル サインオン方法の選択] ウィンドウで、[SAML] を選択します。
  2. SAML を使用したシングル サインオンを設定するには、ここで識別子 (エンティティ ID)サインオン URL などの基本的な SAML 構成の詳細を指定する必要があります。
  3. エンティティ ID とサインオン URL は、PAM360 インターフェイスから取得できます。
    1. PAM360 にログインしたら、[管理] >> [認証] >> [SAML シングル サインオン] に移動します。
    2. 1.サービスプロバイダーの詳細には、エンティティ IDアサーションコンシューマーURL が表示されます。両方の値をコピーします。
  4. 注記:

    デフォルトでは、アサーション コンシューマ URL はサーバーのホスト名です。これを更新するには、次の手順に従います:

    1. [管理者] >> [設定] >> [メールサーバー設定] に移動します。
    2. アクセス URLで、必要なURLを更新し、[保存]をクリックします。

    これで、サービス プロバイダーの詳細の下のAssertion Consumer URL が更新されます。

  5. Azureポータルに戻り、編集アイコンをクリックして基本的な SAML 構成の詳細を編集します:
    1. MSPでない場合は、PAM360 のエンティティ ID[識別子 (エンティティ ID)] の下に入力します。サインオン URLPAM360 Webインターフェイスの URLを入力し (例: https://<Host-Name-of-PAM360-Server またはIPアドレス>:<Port> ) 、応答URLアサーションコンシューマサービスURLを指定します。
    2. MSP クライアント組織の場合は、PAM360 のエンティティ ID[識別子 (エンティティ ID)] の下に入力します。応答URLの下にアサーションコンシューマURL を入力し、サインオンURL組織URLを入力します(例:https://<Host-Name-of-PAM360-Server または IPアドレス>:<Port>/<Org_name>)。
    3. [保存]をクリックします。
  6. SAML シングル ログアウトを設定するには、
    1. [ログアウト URL]の下に、PAM360 からのシングル ログアウト サービス URL を記載します。
    2. <PAM360_Installation_Directory\PAM360\conf\system_properties.conf>に移動し、次のシステム プロパティを既存のプロパティの下に追加します。
      • saml.logout.redirect.slo=true
    3. 注記:SAMLシングル ログアウトは、PAM360ビルド5304 以降のみに適用されます。

  7. これで、PAM360から取得した SAML 構成の詳細が Azureポータルに保存されます。
  8. SAML 構成設定ウィンドウで、下にスクロールして[SAML 署名証明書]セクションに移動し、フェデレーション メタデータ XML という名前の XML ファイルをダウンロードします。
  9. PAM360インターフェイスに戻り、[管理] >> [認証] >> [SAMLシングル サインオンの構成] に移動します。
  10. セクション 2.プロバイダーの詳細の構成で、[idP メタデータ ファイルのアップロード]を選択し、Azureポータルから以前にダウンロードしたフェデレーション メタデータ XML ファイルを参照して、[アップロード]をクリックします。Azure SAML SSO 設定がPAM360に保存されるようになりました。
  11. PAM360で現在のページをリフレ主します。次に、3.IdP の証明書のインポートで、発行者件名シリアル番号などの現在の証明書の詳細が表示されます。[保存]をクリックします。
  12. Azure SAML が適切に機能するには、次のパスに移動します:<PAM360_Installation_Directory\PAM360\conf\system_properties.conf>。以下に示すシステム プロパティが conf ファイルで使用できるかどうかを確認します。そうでない場合は、既存のプロパティの下に追加します。
  13. saml.redirect.idpprotocolbindingpost=true 
    saml.authcontext.comparison.exact=true 
    saml.AuthreqForceAuthn=false 
    saml.nameidFormat=unspecified 
    saml.idp.version=1.1 
    saml.authnContextClassRef=Password
     

  14. プロパティを追加したら、PAM360 サーバーを再起動して変更を有効にします。
  15. 最後に、4.SAML シングル サインオンの有効化/無効化で、[今すぐ有効化]をクリックしてSAML SSOをアクティブ化します。
  16. シングルサインオンが機能するかどうかを検証するには、Azureポータルに移動し、[PAM360 SAML 1.1 SSO によるシングル サインオンの検証] の下にある [検証] をクリックします。

MFA を有効にして Azure AD ユーザーの初回ログインを設定する手順

以下は、Microsoft ポータルで Azure AD ユーザーの MFA をアクティブ化し、最初のログインを設定する詳細な手順です。

1.Azure AD ユーザーの多要素認証の有効化

  1. https://portal.azure.com を介して Microsoft Azure ポータルにログインします。
  2. 左側のパネルから [Azure Active Directory] を選択します。
  3. [管理]タブで[ユーザー]を選択します。
  4. ここで、上部にある [多要素認証] オプションをクリックします。新しいブラウザ ウィンドウにユーザーのリストが表示されます。
  5. MFA を有効にするユーザーを選択し、右側のパネルで [有効にする] オプションをクリックします。新しいブラウザ
  6. ポップアップ ボックスで、[多要素認証を有効にする] ボタンをクリックしてセットアップを完了します。

2.Azure ユーザーをエンタープライズ アプリケーションに割り当てる

  1. 左側のパネルから Azure Active Directory を選択し、[管理] タブで [エンタープライズ アプリケーション] を選択します。
  2. エンタープライズ SAML アプリケーションを検索して選択します。
  3. 左側のパネルから[ユーザーとグループ]を選択し、上部にある[ユーザーの追加]オプションをクリックします。
  4. [割り当ての追加] パネルで、[選択なし] をクリックしてユーザーのリストを開きます。必要なユーザーを選択し、下部にある[選択]オプションをクリックします。
  5. 必要なユーザーを選択したら、左側のパネルで[割り当て]をクリックして、それらのユーザーをエンタープライズ アプリケーションに割り当てます。

3.MFAが有効なAzureユーザーの初回ログインのセットアップ

3.1 前提条件

追加のセキュリティ検証を行うには、携帯電話に Microsoft Authenticator アプリをインストールする必要があります。

3.2 必要な手順

以下の手順は、ユーザーが Microsoft Authenticator アプリを使用して最初のログインと多要素認証を設定するための手順です。

  1. Microsoft Azureポータル-https://portal.azure.comにログインします。
  2. ログインすると、追加のセキュリティ検証画面にリダイレクトされます。ここで、ドロップダウン メニューから [モバイル アプリ] を選択し、[確認のための通知を受け取る] を選択します。[次へ]をクリックします。
  3. 携帯電話で Microsoft Authenticator アプリを開き、表示された QR コードをスキャンし、[次へ]をクリックします。
  4. 国を選択し、携帯電話番号を入力します。[次へ]をクリックします。
  5. このウィンドウで初回ログイン時のパスワードを取得します。パスワードをコピーして安全に保存し、[完了]をクリックします。
  6. 初回ログインの設定が完了しました。初めて Azure アカウントにログインしようとすると、ログイン試行の信頼性を確認する通知がモバイル デバイスに届きます。