連携先Microsoft Entra IDの設定

連携先Microsoft Entra IDの設定方法について説明します。

注釈

  • Microsoft Entra ID連携機能をご利用いただくためには、お客さま側でAzureのアカウントを用意していただく必要がございます。

  • FSGサービスとしては、Microsoft Entra IDのサポートはいたしません。

手順

  • 操作対象のセルグループを左ペインのドロップダウンリストから選択します。

  • 左ペインの[Active Directory]を押下します。

  • Microsoft Entra ID左の[v]を押下して、Microsoft Entra IDに関する設定アコーディオンを展開します。

../_images/active-directory65.png

  • Active Directory Server欄の[新規追加]を押下します。

../_images/active-directory66.png

  • 必要な項目を記載します。

SAML Identity Provider Config設定項目

項目

説明

名前
SAML Identity Provider Configの名前
(本設定はActive Directory利用設定で利用するため、わかりやすい名前を付けることをお勧めいたします)

フェデレーションメタデータXMLアップロード
Azure PortalからダウンロードしたフェデレーションメタデータXMLファイルをアップロードしてください。

注釈

  • Azure PortalからダウンロードしたフェデレーションメタデータXMLファイルには証明書が2つ記述されている場合、XMLファイルを編集せずにアップロードすると"A single IDPSSO certificate"エラーとなります。
    詳しい修正方法は本ページのTipsをご参照ください。 (フェデレーションメタデータXMLファイルのサポートはFSGサービスの対象外となります)

  • 編集が完了したら[確認]を押下します。

../_images/active-directory67.png

  • 編集内容に問題がなければ[実行]を押下します。

../_images/active-directory68.png

  • オーダーを受領後、下記のように申込受付画面が表示されます。

../_images/active-directory69.png

  • 最新の情報を表示する際は[更新]を押下してください。

../_images/active-directory70.png

コンフィグ反映


Tips

参考情報として、Microsoft Entra ID連携に必要な情報を確認/取得する方法について説明します。

注釈

  • Microsoft Entra IDの設定/保守に関するお問い合わせは、FSGのサービス範囲外になります。

  • 詳細なAzure側の操作方法については、Microsoftの 説明ページ をご参照ください。

FSGコンソールでのAzureに登録する識別子と応答URLの確認方法

Microsoft Entra IDと連携するためには、各セルの識別子と応答URLをAzure Portal側に登録する必要があります。
各識別子と応答URLは、Microsoft Entra IDの設定アコーディオンに配置している[識別子/応答URL参照]を押下することで確認できます。
../_images/active-directory92.png
識別子と応答URLは シングル サインオン設定 で利用します。
../_images/active-directory93.png

Azure Portalでのアプリケーションの登録

Azure Portalを操作して、[Palo Alto Networks - Captive Portal]をエンタープライズアプリケーションに登録する。
(アプリケーションを登録することでSAML署名証明書が自動生成されます)
../_images/active-directory82.png

Azure Portalでのユーザとグループ設定

Microsoft Entra ID連携するユーザとアカウントを設定する必要があります。
設定方法は[Palo Alto Networks - Captive Portal]に、Microsoft Entra IDに設定されたユーザもしくはグループの利用権限を付与することで連携できます。
../_images/active-directory83.png

Azure Portalでのシングル サインオン設定

基本的なSAML構成を編集して、識別子、応答URL、サインオンURLを設定する必要があります。
[編集]を押下して設定変更ページを開いてください。
../_images/active-directory84.png
編集画面で識別子、応答URLとサインオンURLを入力してください。
識別子と応答URLは、 [FSGコンソールでのAzureに登録する識別子と応答URLの確認方法] をご参照ください。
../_images/active-directory85.png

注釈

  • 全セルの識別子と応答URLを登録してください


サインオンURLの入力フォームは下にスクロールすることで表示されます。
お客様の全セルの中から任意のセルの応答URLを登録してください。
../_images/active-directory86.png

Azure PortalでのフェデレーションメタデータXMLダウンロード

FSGに登録するフェデレーションメタデータファイルをダウンロードしてください。
ダウンロードしたXMLファイルは SAML Identity Provider Config の手順でFSGに登録することができます。
../_images/active-directory87.png

注釈

  • 識別子、応答URL、サインオンURLが設定されていない場合、フェデレーションメタデータXMLをダウンロードすることができません。

  • フェデレーションメタデータファイルに複数個の証明書が登録されている場合、FSGへの登録時にエラーとなります。

  • 証明書が複数個登録されている場合、不要な証明書を削除する必要があります。

  • 証明書が複数個登録されている場合、エディタAzure Portal で不要な証明書を削除する必要があります。


Azure PortalでのSAML署名証明書の編集

Azure Portalを操作して不要な証明書を削除することができます。
SAML署名証明書の[編集]を押下して編集画面を開きます。
../_images/active-directory88.png
編集画面に複数個の証明書が表示されている場合は、不要な証明書の[...]を押下し、[証明書の削除]を押下してください。
../_images/active-directory89.png
../_images/active-directory90.png

エディタを用いた証明書削除方法

ダウンロードしたフェデレーションメタデータファイルをエディタで開き、不要な証明書を削除してください。
IDPSSODescriptorタグ配下のKeyDescriptorタグが証明書情報になります。
(証明書は、Azure Portalに表示されている順番でファイルに記載されています)
../_images/active-directory94.png
連携先Active Directoryサーバー設定
連携先docomo business RINK IDaaSの設定