Zoho Directory ユーザー向けのシングル サインオン (SSO) の設定

Okta、Microsoft Entra ID、ADFS、G-Suite の他に、ManageEngine PAM360 は、Zoho Directory の SAML 2.0 を使用した SSO もサポートしており、シングル サインオン (SSO) 用のフェデレーション ID 管理ソリューションとの統合を容易にします。PAM360 はサービス プロバイダー (SP) として機能し、SAML 2.0 を使用して ID プロバイダー (IdP) として Zoho Directory と統合します。統合には、SP に関する詳細を IdP に提供すること、またはその逆の情報を提供することが含まれます。

PAM360 を Zoho Directoryと統合すると、ユーザーは Zoho Directoryにログインする必要があります。その後、PAM360 の認証情報を再度入力しなくても、それぞれの GUI から PAM360 に自動的にログインできるようになります。

このドキュメントを読み終えると、PAM360 アプリケーション用に Zoho Directory で SAML SSO を構成するための専門知識が得られます。Zoho Directory から PAM360 アプリケーションの SAML SSO を構成する手順を以下に詳しく説明します。

1. Zoho Directoryに PAM360 をアプリケーションとして追加する
2. Zoho Directory ユーザーを PAM360 アプリケーションに割り当てる
3. PAM360 での SAML SSO の設定

1.Zoho Directoryに PAM360 をアプリケーションとして追加する

1. Zoho Directory ポータルにログインします。
   
   
2. [アプリケーション] >> [アプリケーションの追加] >> [カスタム アプリの作成] に移動します。
   
   
3. 表示されるページで、表示名と説明を入力し、SSO モードをクリックします。
4. 変更されたページで、
   1. サインインタイプとして SAML を選択します。
   2. サインイン URL、サインアウト URL、アサーション コンシューマ サービス URL、発行者の詳細を入力します。これらすべての詳細は、PAM360 インターフェースから取得できます。
      
      
      

   注記：デフォルトでは、アサーション コンシューマ URL はサーバーのホスト名です。これを更新するには、以下の手順に従ってください。
   1.[管理] >> [設定] >> [メール サーバー設定] に移動します。
   2.[アクセス URL] で必要な URL に更新し、[保存] をクリックします。
   これで、サービス プロバイダーの詳細の下のアサーション コンシューマ URL が更新されます。

   注記：
   1.サインインURLの下にPAM360ウェブインターフェースのURLを入力し（例：https://<hostname-of-PAM360-server or IP address>:<port>/saml2 （Non-MSP の場合）、または https://<hostname-of-PAM360-server or IP address>:<port>/saml2?ORGN_NAME=orgname （MSP の場合））、サインアウト URL の下にシングル ログアウト サービス URL (PAM360 からコピー)を入力します。
   2.発行者フィールドにアサーション コンシューマ サービス URL とエンティティ ID (PAM360 からコピー) を入力します。

5. 認証情報の詳細で、名前 ID 形式とアプリケーション ユーザー名を選択します。

   注記：Zoho Directory ユーザーの PAM360 ユーザー名は、アプリケーション ユーザー名で選択した形式と同じである必要があります。ここで選択した形式は、Zoho Directory 構成後に PAM360 でユーザーを作成またはインポートする際に従う必要があります。

6. サインアウト URL を追加した後、<PAM360_Installation_Directory\PAM360\conf\system_properties.conf> に移動し、既存のプロパティの最後に次のシステム プロパティ saml.logout.redirect.slo=true を追加して、SAML シングル ログアウトを構成します。

   注記：SAML シングル ログアウトは、PAM360 ビルド 5304 以降でのみ適用されます。

7. SSO ページで [完了] をクリックして、SSO の詳細を保存します。
   
8. 次に、[作成]をクリックして、PAM360 を Zoho Directory内のアプリケーションとして作成します。

2.Zoho Directory ユーザーを PAM360 アプリケーションに割り当てる

次のように、Zoho Directoryから PAM360 アプリケーションにユーザーを追加できます。

1. Zoho Directoryで PAM360 アプリケーションを開き、左上のパネルにあるハンバーガー アイコンをクリックします。
   
   
2. [ユーザーに割り当てる] フィールドの横にある [ユーザーの割り当て] ボタンをクリックします。
3. 表示されるページで、ユーザーを個別に、グループから、または完全に好みに基づいて選択します。
   
   
4. 次に、[割り当て]をクリックして、ユーザーの割り当てプロセスを完了します。

Zoho Directoryの[ユーザー]または[グループ]タブからユーザーを割り当てることもできます。

3.PAM360 での SAML SSO の設定

以下の手順に従って、SAML 構成プロセスを完了し、PAM360 の Zoho Directory SSO ログインを有効にします。

1. Zoho Directoryの PAM360 アプリケーション ページに移動します。
2. PAM360 アプリケーションのシングル サインオン セクションで、ID プロバイダーの詳細から IDP メタデータ ファイルをダウンロードするか、発行者、サインイン URL、サインアウト URL の値をコピーして証明書をダウンロードします。
   
   
3. PAM360 インターフェースに戻り、[管理]>>[認証]>>[SAML シングル サインオン]に移動します。
4. [ID プロバイダーの詳細の構成]で、XML ファイルまたは手動で IDP 情報を提供する必要があります。
5. XML ファイル経由で IDP 情報を更新する場合は、[IdP メタデータ ファイルのアップロード]を選択し、[参照]をクリックしてダウンロードした IDP メタデータ XML ファイルを選択します。
   
   
6. IDP 情報を手動で更新する場合は、Zoho Directoryからコピーした値 (発行者、Idp ログイン URL (Zoho Directoryからコピーしたサインイン URL)、Idp ログアウト URL (Zoho Directoryからコピーしたサインアウト URL)) を入力します。
   
   
7. 次に、[保存]をクリックして、Zoho Directory SAML SSO 設定を PAM360 に保存します。
8. IDP メタデータ XML を使用して IDP 情報を追加した場合は、PAM360 で現在のページを更新します。ここで、[IdP の証明書のインポート]の下に、発行者、件名、シリアル番号などの現在の証明書の詳細が表示されます。
9. Idp 情報を手動で追加した場合は、[参照] オプションを使用してダウンロードした証明書ファイルをアップロードし、[保存] をクリックします。
10. 次に、[SAML シングル サインオンの有効化/無効化]セクションの[有効化]ボタンをクリックして、PAM360 への Zoho Directory SAML SSO ログインを有効にします。
11. 次に、Zoho Directory ユーザーを PAM360 に追加します。

    注記：利用可能なエクスポート オプションを使用して Zoho Directoryからユーザーをエクスポートし、PAM360 にインポートできます。このようなインポートを行う際は、PAM360 をカスタム アプリとして作成する際にアプリケーション ユーザー名フィールドで選択したデータを使用して、インポート フィールドでユーザー名を選択するようにしてください。

シングル サインオンが機能するかどうかを検証するには、Zoho Directoryの PAM360 アプリケーションに移動し、[SSO をテスト]フィールドの横にある[アプリを開く]をクリックします。