SAMLによるSSO: Azure

🚧

開始する前に

アプリケーション内のチャットまたは[email protected]からmablサポートに連絡して、SAMLセットアッププロセスを開始します。セットアップを完了するには、サポートから提供された応答URLとオーディエンスの値が必要になります。また、IDプロバイダーとしてAzureを使用していることをサポートに伝えてください。

ここでは、mabl SSOインテグレーションの例として、Azureを使用したSAMLセットアッププロセスの概要を説明します。これは、同様のセットアップを行う他のSAML IDプロバイダーでも動作するはずです。Oktaを使用している場合は、代わりに 「SAMLによるSSOの例 (Okta)」をご覧ください。

  • Azure内で、[Azure Active Directory] > [エンタープライズ アプリケーション] に移動します。
  • 次に、[+ 新しいアプリケーション] を選択します。
  • 次に、[+ 独自のアプリケーションの作成] を選択します。
  • [ギャラリー以外のアプリケーション] を選択します。
  • アプリケーションに名前を付けて、[作成] をクリックします。
725725

アプリケーションの追加

次に表示されるメニューで、以下の操作を実行します。

  • [シングル サインオン] を選択します。
  • [SAML] を選択します。
15341534

設定例

基本的なSAML構成

  • 識別子 (エンティティID): mablサポートが提供
  • 応答URL (Assertion Consumer Service URL): mablサポートが提供
  • サインオンURL: 省略可能
  • リレー状態: 省略可能
  • ログアウトURL: 省略可能

ユーザー属性とクレーム
Azureによって、以下のデフォルトのユーザー属性とクレームが自動的に入力されるはずです。

  • givenname: user.givenname
  • surname: user.surname
  • emailaddress: user.mail
  • name: user.userprincipalname
  • 一意のユーザーID: user.mail

次のステップ

すべて保存します。

以下の情報をmablサポートに渡します¹。

アプリケーションのフェデレーションメタデータURL
証明書 (未加工)
フェデレーションメタデータXML
ログインURL
Azure AD識別子

🚧

X.509証明書のセキュリティ

これは公開鍵証明書です。つまり、この証明書を通常のチャネルを介してmablに渡しても、セキュリティ上のリスクがないことを意味します。

📘

mablログインのドメイン制限

設定が完了すると、指定された完全修飾ドメイン名 (mail.company.comなど) を使用してサインアップしようとするユーザーは、指定されたSAMLプロバイダーから発信することが要求されます。

📘

追加のメールドメイン

ワークスペースに追加のドメインがある場合、たとえば、メインの接続は[email protected]で行うが、ワークスペースには[email protected]でログインするユーザーもいる場合、SAML接続を設定する際にサポートチームにお知らせいただければ、mablでそれらのドメインもドメインロックに追加できます。追加のドメインもすべてドメインロックに含まれます。会社が完全に所有しているドメインのみを使用できます。

mablがこの情報を取得し、SAMLアプリケーションへの必要な接続を設定すると、組織は任意のIDプロバイダーを介してログインし、アクセスを制限できるようになります。


Did this page help you?