1. ユーザー認証

Azure AD でアプリの登録を使用して SAML ベースの SSO をセットアップする

Version:
日本語翻訳に関する免責事項

このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。

テナントで Azure アプリケーションの登録を作成して設定すると、Sitecore Content Hub™ ユーザーは Azure Active Directory に対して正常に認証できるようになります。

アプリ登録内で SAML Auth を設定し、シングル サインオン (SSO) 認証を正常に機能させるために必要なすべてのクレームを作成します。

Azure でのセットアップ

アプリ登録を作成してセットアップするには、次の手順で設定します。

  1. アプリ登録を作成します。
  2. トークン設定を行います
  3. API を公開します。

アプリ登録の作成

新しいアプリ登録を作成するには:

  1. Azure ポータルにログインします。
  2. portal.azure.com/#home のホーム ページで、[アプリの登録] azure app registration icon をクリックします。
  3. [アプリの登録] ページで、[+ 新規登録] をクリックします。
  4. 新しいアプリの名前を入力し、既定のオプションを選択したままにします。
  5. [登録] をクリックします。
  6. 新しく作成されたアプリの登録の [管理] メニューで、[認証] をクリックします。
  7. [プラットフォーム設定] で、[+ プラットフォームを追加] をクリックします。
  8. [Web] をクリックします。
  9. [リダイレクト URI] に、Content Hub ポータル URL を入力します。
  10. [暗黙の付与とハイブリッド フロー] セクションで、次を選択してアクティブ化します。
    • アクセス トークン (暗黙のフローに使用)
    • ID トークン (暗黙的およびハイブリッド フローに使用)

  11. [設定] をクリックします。

    Azure 認証で、Web と付与およびハイブリッド フローを設定する

トークン設定

トークン設定を行うには:

  1. [管理] セクションで、[トークン設定] を選択します。
  2. [+ グループ クレームを追加] をクリックします。
  3. [グループ クレームの編集] ダイアログ ボックスで、[Access、ID、および SAML トークンに含めるグループ タイプを選択する] で、[セキュリティ グループ] をオンにします。
  4. [ID]、[Access]、および [SAML] オプションを展開し、[グループ ID] オプションが選択されたことを確認します。
  5. [追加] をクリックします。
  6. [トークン設定] ページで、[オプション クレームを追加] をクリックします。
  7. [オプション クレームを追加] ダイアログ ボックスで、[トークン タイプ] の [SAML] を選択します。
  8. [クレーム] で、[メール] をオンにして、[追加] をクリックします。
  9. [Microsoft Graph メールのアクセス許可をオンにする] ボックスをオンにして、クレームがトークンに表示されるようにします。

  10. [追加] をクリックします。

    オプション クレームの追加で Microsoft Graph メールのアクセス許可をオンにする

API の公開

API を Azure で公開するには:

  1. [管理] で、[API の公開] を選択します。

  2. [スコープの追加] をクリックします。

    [アプリケーション ID URI] が生成されます。

    アプリケーション ID URI でスコープを追加する

    注意

    Content Hub 側の設定で必要になるため、この URI を必ずメモに保存してください。

  3. [保存して続行] をクリックします。

  4. アプリケーション ID URI は正常に保存されたため、[スコープの追加] ダイアログ ボックスの [キャンセル] をクリックします。

  5. 左側のメニューの上部で、[概要] を選択します。

  6. [エンドポイント] タブを選択します。

  7. [フェデレーション メタデータ ドキュメント] エンドポイントに移動し、[コピー] コピー アイコン をクリックし、メモに貼り付けます。

    フェデレーション メタデータ ドキュメントが強調表示された [エンドポイント] ダイアログ ボックス

  8. コピーした URL を新しいブラウザ ウィンドウに貼り付けます。

  9. XML で、entityID を探します。
注意

後で必要になるため、この ID をコピーします。

この時点で、メモには次の 3 つのセクションが含まれているはずです。

  • アプリケーション ID URI: たとえば、api://111bb1a1-bb1b-1111-11bb-b11b111b111b
  • フェデレーション メタデータ ドキュメント: たとえば、https://login.microsoftonline.com/000000000-c000-4dc9-bb7e-a000df000a1e/federationmetadata/2007-06/federationmetadata.xml
  • EntityID: たとえば、https://sts.windows.net/00000184-c000-4dc9-bb7e-a000df000a1e/

Content Hub でのセットアップ

次の手順に従って、Azure アプリと Content Hub を統合します。

  1. Content Hub インスタンスにログインします。
  2. メニュー バーで、[管理] 管理アイコンをクリックします。
  3. [管理] ページで、[設定] 設定アイコン をクリックします。
  4. [ポータル設定] をクリックし、[認証] を選択します。
  5. ビューを [ツリー] から [テキスト] に変更します。

  6. 認証 JSON の [ExternalAuthenticationProviders] セクションで、キー値をメモに保存した値に設定します。

    • Metadata_location: Federation metadata document 値に置き換えられます。
    • sp_entity_id: アプリケーション ID URI の値に置き換えられます。
    • idp_entity_id: EntityID の値に置き換えられます。

    1. 必ず、provider_name を設定し、基本的なメッセージを追加します。

      "ExternalAuthenticationProviders": {
"global_username_claim_type": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
"global_email_claim_type": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"saml": [
{
"metadata_location": "https://login.microsoftonline.com/91700184-c314-4dc9-bb7e-a411df456a1e/federationmetadata/2007-06/federationmetadata.xml",
"sp_entity_id": "api://185bb0a1-df4b-4769-87ad-c75b968e904b",
"idp_entity_id": "https://sts.windows.net/91700184-c314-4dc9-bb7e-a411df456a1e/",
"provider_name": "testSSO",
"messages": {
"signIn": "SAML testSSO"
},
"authentication_mode": "Passive",
"module_path": "AuthServices",
"is_enabled": true
}
]
}
}

テスト

ログアウトして、SSO 設定をテストします。ログイン ページにメッセージが表示されます。この例では、「SAML testSSO」です。

  1. signIn メッセージを表示しているボックスをクリックします。

    ログイン ページに新しいログイン メッセージを表示する SSO テスト

  2. Azure ログイン手順を続行します。

この記事を改善するための提案がある場合は、 お知らせください!