SAML (Azure AD)
Azure AD SAML 認証と統合する
-
Azure 管理コンソールで、Azure Active Directory の「エンタープライズ アプリケーション」メニュー項目を選択します。
-
"`New Application`"を選択します。
-
ギャラリーにないアプリケーションを作成し、一意の名前を付けます。
-
アプリケーションの設定ページで、左側のパネルから「シングル サインオン」を選択し、SAML ベースのサインオンを選択します。
-
証明書を base64 形式でダウンロードし、アプリケーションのログイン URL と Azure AD 識別子をメモします。
-
SUSE® Security 管理コンソールに管理者としてログインします。右上隅の管理者ドロップダウンメニューから「設定」を選択します。SAML 設定をクリックします。
-
SAML サーバーを次のように構成します:
-
アプリケーションの「ログイン URL」をシングル サインオン URL としてコピーします。
-
「Azure AD 識別子」を発行者としてコピーします。
-
ダウンロードした証明書を開き、テキストを X.509 証明書ボックスにコピーします。
-
デフォルトの役割を設定します。
-
役割マッピングのためのグループ名を入力します。Azure によって返されるグループクレームは、名前ではなく「オブジェクト ID」で識別されます。グループのオブジェクト ID は、menu:Azure Active Directory[グループ> グループ名ページ] にあります。この値を使用して、SUSE® Security でグループベースの役割マッピングを構成する必要があります。
次に、SAML サーバーを有効にします。
-
-
リダイレクト URL をコピーします。
-
Azure 管理コンソールに戻り、「基本 SAML 構成」を設定します。SUSE® Security コンソールのリダイレクト URL を「識別子」と「応答 URL」ボックスの両方にコピーします。
-
「SAML 署名証明書」を編集し、署名オプションを「SAML 応答に署名」に変更します。
-
「ユーザー属性とクレーム」を編集して、応答がログインユーザーの属性をSUSE® Securityに返すことができるようにします。「新しいクレームを追加」をクリックして、「ユーザー名」と「メール」クレームをそれぞれ「user.userprincipalname」と「user.mail」で追加します。
-
ユーザーがアクティブディレクトリのグループに割り当てられている場合、そのグループメンバーシップをクレームに追加できます。「アプリ登録」からアプリケーションを見つけ、マニフェストを編集します。「groupMembershipClaims」の値を「All」に変更します。
-
ユーザーとグループにアプリケーションへのアクセスを許可し、Azure AD SAML SSO を使用して SUSE® Security コンソールにログインできるようにします。
グループを役割およびネームスペースにマッピングします。
SUSE® Security内のプリセットおよびカスタム役割、ならびにネームスペースにグループをマッピングする方法については、ユーザーと役割セクションをご覧ください。