AzureADとのSSO連携

作成日：2020年10月5日 | 更新日：2023年9月7日

機能仕様

近日中にヘルプページにて日本語版最新手順を公開予定です。
※公開後こちらのページは非公開といたします。
更新までは英語版手順をご参照ください。

~~本ナレッジではAzureADとのSSO(シングルサインオン)連携する手順について解説します。~~

SSO(シングルサインオン)とは

異なるドメイン間でユーザー認証情報(SAML)を交換するXMLベースの標準規格です。IdP(Identity Provider)とSP(Service Provider)の2つの構成要素によってシングルサインオンを実現します。AzureAD(IdP)が認証基盤となり、PMP(SP)へのシングルサインオンまでのワークフローは以下の通りです。

AzureADポータル側

Azure Active Directoryへログイン
AzureポータルからAzure Active Directoryコンソール画面へ移動する。
エンタープライズアプリケーションの登録
「エンタープライズアプリケーション」>>「新しいアプリケーション」へ進みます。
SAML認証用アプリケーションの追加
アプリケーションの追加画面にてカテゴリからSAMLで検索し、「SAML 1.1 Token enabled LOB App」を選択します。画面右側に表示されるウィンドウにてアプリケーションの名前を任意で変更した後に、「追加」をクリックします。
SAML認証の有効化
作成したアプリケーションから「シングルサインオン」タブを選択し、「SAML」をクリックします。
SSOのセットアップ画面が表示されます。基本的なSAML構成ウィンドウの右上に表示されている「編集」アイコンをクリックします。
以下3つの項目を入力し、「保存」をクリックします。
- 識別子(エンティティID)
- 応答URL(Assertion Consumer Service URL)
- サインオンURL
PMPに管理者としてログインし、「管理」タブ>>「認証」欄>>「SAMLシングルサインオン」へ進み、①サービスプロバイダの情報にてSP(サービスプロバイダー)であるPMPの識別子(エンティティID)を確認できます。

PMPにて記載されているアサーションコンシューマーURLとSAMLアプリケーションに登録する応答URL、サインオンURLは一致する必要があります。またアサーションコンシューマーURLがFQDNではない場合、SAML SSOに失敗します。PMPで記載されているアサーションコンシューマーURLはPMP上で設定されたメールサーバー設定のアクセスURLの値が反映されています。メールサーバー設定のアクセスURLをPMPへログインできる正しいURLに変更してください。(「管理」タブ>>「セットアップ」欄>>メールサーバー設定からアクセスURLのメガネアイコンをクリックし、アクセスURLを編集します。)
シングルサインオンを適用するユーザーの追加
「ユーザーとグループ」タブ>>「ユーザーの追加」をクリックします。
ユーザーとグループの選択
SAML認証を適用するユーザまたはユーザーグループを「選択」し、「保存」をクリックします。

PMP側

IdPメタデータファイルのダウンロード
AzureADポータルにて作成したSAMLアプリケーションの「シングルサインオン」タブへと進み、「SAML署名証明書」欄の「フェデレーションメタデータ XML」をダウンロードします。
IdPメタデータファイルのアップロード
取得した「フェデレーションメタデータ XML」をPMPにてアップロードします。「アップロード」ボタンをクリックした後に、ブラウザーをリフレッシュしてください。
<PMP>\conf\system_properties.confの設定の確認
現在の証明書情報が記載されていることを確認した後に、<PMP>\conf\system_properties.confファイルを開き、AzureAD SSOに関するパラメーター全てをコメントアウトを外します。(#を削除して保存する。)
PMPサービスの再起動
SAML SSOの設定を反映するために、PMPのサービスを再起動します。
SAML SSOを有効化
「有効化」をクリックして、SAML SSOを有効化する。
SAML SSOの動作確認
PMPのコンソール画面へアクセスを試みますと、AzureADの認証画面へリダイレクトされます。ユーザーIDとパスワードを入力し、認証に成功するとPMPへ自動ログインします。