SAMLによるSSO: Azure

🚧
開始する前に
アプリケーション内のチャットまたは[email protected]からmablサポートに連絡して、SAMLセットアッププロセスを開始します。セットアップを完了するには、サポートから提供された応答URLとオーディエンスの値が必要になります。また、IDプロバイダーとしてAzureを使用していることをサポートに伝えてください。

ここでは、mabl SSOインテグレーションの例として、Azureを使用したSAMLセットアッププロセスの概要を説明します。これは、同様のセットアップを行う他のSAML IDプロバイダーでも動作するはずです。Oktaを使用している場合は、代わりに「SAMLによるSSOの例 (Okta)」をご覧ください。

Azure内で、[Azure Active Directory] > [エンタープライズアプリケーション] に移動します。
次に、[+ 新しいアプリケーション] を選択します。
次に、[+ 独自のアプリケーションの作成] を選択します。
[ギャラリー以外のアプリケーション] を選択します。
アプリケーションに名前を付けて、[作成] をクリックします。

次に表示されるメニューで、以下の操作を実行します。

[シングルサインオン] を選択します。
[SAML] を選択します。

基本的なSAML構成

識別子 (エンティティID): mablサポートが提供
応答URL (Assertion Consumer Service URL): mablサポートが提供
サインオンURL: 省略可能
リレー状態: 省略可能
ログアウトURL: 省略可能

ユーザー属性とクレーム
Azureによって、以下のデフォルトのユーザー属性とクレームが自動的に入力されるはずです。

givenname: user.givenname
surname: user.surname
emailaddress: user.mail
name: user.userprincipalname
一意のユーザーID: user.mail

次のステップ

すべて保存します。

以下の情報をmablサポートに渡します¹。

アプリケーションのフェデレーションメタデータURL
証明書 (未加工)
フェデレーションメタデータXML
ログインURL
Azure AD識別子

🚧
X.509証明書のセキュリティ
これは公開鍵証明書です。つまり、この証明書を通常のチャネルを介してmablに渡しても、セキュリティ上のリスクがないことを意味します。

📘
mablログインのドメイン制限
設定が完了すると、指定された完全修飾ドメイン名 (mail.company.comなど) を使用してサインアップしようとするユーザーは、指定されたSAMLプロバイダーから発信することが要求されます。

📘
追加のメールドメイン
ワークスペースに追加のドメインがある場合、たとえば、メインの接続は[email protected]で行うが、ワークスペースには[email protected]でログインするユーザーもいる場合、SAML接続を設定する際にサポートチームにお知らせいただければ、mablでそれらのドメインもドメインロックに追加できます。追加のドメインもすべてドメインロックに含まれます。会社が完全に所有しているドメインのみを使用できます。

mablがこの情報を取得し、SAMLアプリケーションへの必要な接続を設定すると、組織は任意のIDプロバイダーを介してログインし、アクセスを制限できるようになります。