SAMLの統合

JP : ユーザー管理 : ユーザー管理 : SAMLの統合

SAMLの統合

SAMLの統合を完了するには、3つの手順を実行します。

手順1：IDプロバイダの構成

手順2：Deep Freeze CloudにおけるSAML設定の構成

手順3：IDプロバイダを通じたDeep Freeze Cloudへのアクセス権限の割り当て（IdPによるログイン）

サポート対象IDプロバイダは次のとおりです。

• OneLogin

• Azure

• Google Workplace

• Okta

OneLogin

手順1：OneLoginの構成

OneLoginにログインした後、［アプリケーション］でDeep Freezeの設定を行います。

1. 検索フィールドに［SAMLテストコネクタ］と入力します。

2. ［SAMLテストコネクタ（IdP w/ attr w/ sign response）］を選択します。

3. ［表示名］を割り当てて、［保存］をクリックします。

4. 左側のペインで［SSO］をクリックします。

5. 画面右上で、［その他のアクション］>［SAMLメタデータ］の順にクリックし、IdPメタデータをダウンロードします。

6. IdPメタデータをダウンロードした後、手順2：Deep Freeze CloudにおけるSAML設定を構成するため［Deep Freeze Cloud］に移動し、［サービスプロバイダの構成］情報を取得します。

7. Deep Freezeの構成とサービスプロバイダの構成の生成が完了したら、左側のペインで［構成］をクリックします。

8. Deep Freeze Cloudの［オーディエンスURI］を使用して、［オーディエンス］フィールドに情報を入力します。

9. Deep Freeze Cloudの［アサーションコンシューマURL］を使用して、［受信者］および［ACS（コンシューマ）URLバリデータ］、［URL］フィールドに情報を入力し、［保存］をクリックします。

10. 左側のペインで［SSO］をクリックします。

11. ［SAML署名アルゴリズム］で［SHA-256］/［SHA-512］を選択します。

現在サポートされているのは、SHA-256およびSHA-512 SAML署名アルゴリズムのみです。

12. ［保存］をクリックします。

これで、OneLoginの設定が完了しました。

手順2：Deep Freeze CloudにおけるSAML設定

SAML統合のためのDeep Freeze CloudのSAML設定を行うには、以下の手順を実行します。

1. ［ユーザー管理］に移動します。

2. ［SAML統合］をクリックします。

3. ［IDプロバイダ］および［その他の設定］、［サービスプロバイダ］のパラメータを設定します。

> サービスプロバイダの構成

リフレッシュボタンをクリックして［サービスプロバイダの構成］タブを更新すると、割り当てられた［ログインドメイン］および［オーディエンスURI］、［アサーションコンシューマURL］の情報が表示されます。

> IDプロバイダの設定

IdPメタデータをアップロードするか、手動設定を実行します。

IdPメタデータのアップロード

i. IdPメタデータをアップロードするには、［参照］をクリックし、ダウンロードしたIdPメタデータ（.xml）ファイルを選択します。その他のフィールドはすべて自動的に入力されます。

ii. ［次へ］をクリックします。

手動設定

IDプロバイダを手動設定するには。

i. ［IdPログインURL］および［エンティティID］の情報を入力します。

ii. ［参照］をクリックし、適切なIdP証明書ファイルを選択します。

iii. ［次へ］をクリックします。

> 設定

i. ［ジャストインタイムプロビジョニング］ユーザーに許可する権限を選択します。

* すべてのサイトへのアクセスを許可します – このオプションを選択すると、新規ユーザーがすべてのサイトにアクセスできます。デフォルトでは、新規ユーザーにはサイトにアクセスする許可がありません。

属性マッピング

［属性マッピング］タブには、IdPメタデータからマッピングされた情報が含まれます。生成された情報をそのまま使うか、編集アイコンをクリックしてこのフィールドを編集するかを選択できます。

電子メールおよび名、姓のフィールドを編集する際は、［user.email］、［user.firstName］、［user.lastName］の形式で情報を入力します。

特定の識別子を割り当てるには、［ユーザーを一意に識別するのに、名前IDではなくカスタム属性を使用する］チェックボックスを選択し、［カスタム属性］フィールドの情報を編集します。

編集が完了したら、［次へ］をクリックします。

IDプロバイダのポータルで設定を完了するには、［オーディエンスURI］と［アサーションコンシューマURL］が必要です。

SAML設定を編集するには、右上の［編集］をクリックします。

SAML設定をリセットするには、右上の［リセット］をクリックします。SAML設定をリセットすると、IdPのリンクが解除され、すべてのSAML設定が削除されますのでご注意ください。

手順3：OneLogin を通じたDeep Freeze Cloudへのアクセス権限の割り当て（IdPによるログイン）

OneLoginユーザーがOneLoginを通じてDeep Freezeにアクセスするには、まずDeep Freezeへのアクセス権限の割り当てを受ける必要があります。

ユーザーにアクセス権限を割り当てるには。

1. ［ユーザー］から1人のユーザーを選択します。

2. ［ユーザー］ページの左側のペインで、［アプリケーション］をクリックします。

3. ［アプリケーション］タブの右上にある［+］アイコンをクリックします。

4. ドロップダウンリストから目的のアプリを選択して、［続行］をクリックします。

5. 選択したユーザーに関する、アプリへのログインの詳細を編集して、［保存］をクリックします。

これで、このユーザーはOneLoginを通じてDeep Freezeにアクセスできるようになります。

IdPによるアクセスを実行するには、お勤め先組織のOneLoginポータルにログインします。Deep Freezeアプリをクリックします。これで、Deep Freeze Cloudにリダイレクトされます。

SAMLユーザーの追加

SAMLユーザーは、OneLoginで作成・割り当てできます。［手順3：OneLogin を通じたDeep Freeze Cloudへのアクセス権限の割り当て（IdPによるログイン）］を参照してください。

SAMLユーザーは、以下のアクションを実行できます。

• 編集

• 無効化

• 削除

• タグ

Azure

手順1：Azureの構成

Azure Portalにログインし、［Azure Active Directory］をクリックします。

1. 左側のペインで［エンタープライズアプリケーション］をクリックし、［新しいアプリケーション］をクリックします。

2. ［独自のアプリケーションの作成］をクリックします。

3. アプリケーションの名前を入力し、［ギャラリーに見つからないその他のアプリケーションを統合します］を選択します。

4. ［作成］をクリックします。

5. アプリケーションの［概要］ページで、［はじめに］の下にある［シングルサインオンの設定］をクリックします。

6. ［SAML］をクリックします。

7. ［基本的なSAML構成］を編集します。

> Deep Freeze Cloud のオーディエンスURIを使用して、［識別子（エンティティID）］に情報を入力します。

> Deep Freeze Cloud のアサーションコンシューマURLを使用して、［応答URL（ASSERTION CONSUMER SERVICE URL）］に情報を入力します。

> Deep Freeze Cloud のアサーションSAMLログインURLを使用して、［サインオンURL］に情報を入力します。

8. ［保存］をクリックします。

9. ［ユーザー属性とクレーム］で、既存のクレーム情報を次の情報に変更します。

> user.lastname – user.surname

> user.firstname – user.givenname

> user.email – user.localuserprincipalname

> name – user.userprincipalname

> Unique User Identifier – user.userprincipalname

10. ［SAML署名証明書］で［証明書の追加］をクリックします。

SAMLをリセットする場合は、新しいSAMLに対して新規証明書を作成する必要があります。古い証明書は削除する必要があります。

11. ［新しい証明書］をクリックします。

12. .希望する［署名オプション］と［署名アルゴリズム］を選択します。

13. ［通知用メール］を指定して［保存］をクリックします。

14. ［拇印］フィールドをクリックして証明書のオプションを表示し、［証明書をアクティブにする］を選択します。

15. ［SAML署名証明書］画面を閉じ、［SAMLベースのサインオン］画面に戻ります。

16. ［ダウンロード］をクリックしてフェデレーションメタデータXMLをダウンロードします。

17. IdPメタデータをダウンロードしたら、［手順2：Deep Freeze CloudにおけるSAML設定］を実行します。

手順3：Azureを通じたDeep Freeze Cloudへのアクセス権限の割り当て（IdPによるログイン）

1. 左側のペインで［ユーザーとグループ］をクリックします。

2. ［ユーザーの追加］をクリックします。

3. ［割り当ての追加］ページで［ユーザー］をクリックし、すべてのユーザーのリストを表示します。リストから目的のユーザーを選択して、［選択］をクリックします。

4. ［割り当て］をクリックします。

Google Workplace

手順1：Google Workplaceの構成

［Google Admin］にログインして［アプリ］に移動します。

1. ［アプリを追加］>［カスタムSAMLアプリの追加］の順にクリックします。

2. ［アプリ名］を設定し、［続行］をクリックします。

3. ［メタデータのダウンロード］をクリックし、IdPメタデータをダウンロードします。

4. IdPメタデータをダウンロードしたら、［手順2：Deep Freeze CloudにおけるSAML設定］を実行します。

5. Google管理コンソールで、［サービスプロバイダの詳細］を編集します。

> Deep Freeze CloudのアサーションコンシューマURLを使用して、［ACSのURL］に情報を入力します。

> Deep Freeze CloudのオーディエンスURIを使用して、［エンティティID］に情報を入力します。

6. ［続行］をクリックします。

7. ［マッピングを追加］をクリックします。次の形式で、3つの必須のアプリ属性を入力します。

> Primary email – user.email

> First name – user.firstName

> Last name – user.lastName

8. ［完了］をクリックします。

手順3：Google G-Suiteを通じたDeep Freeze Cloudへのアクセス権限の割り当て（IdPによるログイン）

1. Google管理コンソールのホーム画面から、［アプリ］>［ウェブアプリとモバイルアプリ］に移動します。

2. 自分のSAMLアプリを選択します。

3. ［ユーザーアクセス］をクリックします。

4. 左側のペインで［組織部門］を選択し、［オン（すべてのユーザー）］を選択します。

5. ［保存］をクリックします。

SAMLを用いたDeep Freeze Cloudへのログイン（SPによるログイン）

1. Deep Freeze Cloudのサインインページで、［その他のサインインオプション］をクリックし、［SAMLでログイン］を選択します。

2. ［ドメイン識別子］フィールドにログインドメイン名を入力します。

3. ［サインイン］をクリックします。