SAMLによるSSO: Azure

🚧

開始する前に

アプリケーション内のチャットまたは[email protected]からmablサポートに連絡して、SAMLセットアッププロセスを開始します。セットアップを完了するには、サポートから提供された応答URLとオーディエンスの値が必要になります。また、IDプロバイダーとしてAzureを使用していることをサポートに伝えてください。

ここでは、mabl SSOインテグレーションの例として、Azureを使用したSAMLセットアッププロセスの概要を説明します。これは、同様のセットアップを行う他のSAML IDプロバイダーでも動作するはずです。Oktaを使用している場合は、代わりに 「SAMLによるSSOの例 (Okta)」をご覧ください。

• Azure内で、[Azure Active Directory] > [エンタープライズ アプリケーション] に移動します。
• 次に、[+ 新しいアプリケーション] を選択します。
• 次に、[+ 独自のアプリケーションの作成] を選択します。
• [ギャラリー以外のアプリケーション] を選択します。
• アプリケーションに名前を付けて、[作成] をクリックします。

次に表示されるメニューで、以下の操作を実行します。

• [シングル サインオン] を選択します。
• [SAML] を選択します。

基本的なSAML構成

• 識別子 (エンティティID): mablサポートが提供
• 応答URL (Assertion Consumer Service URL): mablサポートが提供
• サインオンURL: 省略可能
• リレー状態: 省略可能
• ログアウトURL: 省略可能

ユーザー属性とクレーム
Azureによって、以下のデフォルトのユーザー属性とクレームが自動的に入力されるはずです。

• givenname: user.givenname
• surname: user.surname
• emailaddress: user.mail
• name: user.userprincipalname
• 一意のユーザーID: user.mail

次のステップ

すべて保存します。

以下の情報をmablサポートに渡します¹。

アプリケーションのフェデレーションメタデータURL
証明書 (未加工)
フェデレーションメタデータXML
ログインURL
Azure AD識別子

🚧

X.509証明書のセキュリティ

これは公開鍵証明書です。つまり、この証明書を通常のチャネルを介してmablに渡しても、セキュリティ上のリスクがないことを意味します。

📘

mablログインのドメイン制限

設定が完了すると、指定された完全修飾ドメイン名 (mail.company.comなど) を使用してサインアップしようとするユーザーは、指定されたSAMLプロバイダーから発信することが要求されます。

📘

追加のメールドメイン

ワークスペースに追加のドメインがある場合、たとえば、メインの接続は[email protected]で行うが、ワークスペースには[email protected]でログインするユーザーもいる場合、SAML接続を設定する際にサポートチームにお知らせいただければ、mablでそれらのドメインもドメインロックに追加できます。追加のドメインもすべてドメインロックに含まれます。会社が完全に所有しているドメインのみを使用できます。

mablがこの情報を取得し、SAMLアプリケーションへの必要な接続を設定すると、組織は任意のIDプロバイダーを介してログインし、アクセスを制限できるようになります。