SAMLによるSSO: Azure
開始する前に
アプリケーション内のチャットまたは[email protected]からmablサポートに連絡して、SAMLセットアッププロセスを開始します。セットアップを完了するには、サポートから提供された応答URLとオーディエンスの値が必要になります。また、IDプロバイダーとしてAzureを使用していることをサポートに伝えてください。
ここでは、mabl SSOインテグレーションの例として、Azureを使用したSAMLセットアッププロセスの概要を説明します。これは、同様のセットアップを行う他のSAML IDプロバイダーでも動作するはずです。Oktaを使用している場合は、代わりに 「SAMLによるSSOの例 (Okta)」をご覧ください。
- Azure内で、[Azure Active Directory] > [エンタープライズ アプリケーション] に移動します。
- 次に、[+ 新しいアプリケーション] を選択します。
- 次に、[+ 独自のアプリケーションの作成] を選択します。
- [ギャラリー以外のアプリケーション] を選択します。
- アプリケーションに名前を付けて、[作成] をクリックします。

アプリケーションの追加
次に表示されるメニューで、以下の操作を実行します。
- [シングル サインオン] を選択します。
- [SAML] を選択します。

設定例
基本的なSAML構成
- 識別子 (エンティティID): mablサポートが提供
- 応答URL (Assertion Consumer Service URL): mablサポートが提供
- サインオンURL: 省略可能
- リレー状態: 省略可能
- ログアウトURL: 省略可能
ユーザー属性とクレーム
Azureによって、以下のデフォルトのユーザー属性とクレームが自動的に入力されるはずです。
- givenname:
user.givenname
- surname:
user.surname
- emailaddress:
user.mail
- name:
user.userprincipalname
- 一意のユーザーID:
user.mail
次のステップ
すべて保存します。
以下の情報をmablサポートに渡します¹。
アプリケーションのフェデレーションメタデータURL
証明書 (未加工)
フェデレーションメタデータXML
ログインURL
Azure AD識別子
X.509証明書のセキュリティ
これは公開鍵証明書です。つまり、この証明書を通常のチャネルを介してmablに渡しても、セキュリティ上のリスクがないことを意味します。
mablログインのドメイン制限
設定が完了すると、指定された完全修飾ドメイン名 (mail.company.comなど) を使用してサインアップしようとするユーザーは、指定されたSAMLプロバイダーから発信することが要求されます。
追加のメールドメイン
ワークスペースに追加のドメインがある場合、たとえば、メインの接続は[email protected]で行うが、ワークスペースには[email protected]でログインするユーザーもいる場合、SAML接続を設定する際にサポートチームにお知らせいただければ、mablでそれらのドメインもドメインロックに追加できます。追加のドメインもすべてドメインロックに含まれます。会社が完全に所有しているドメインのみを使用できます。
mablがこの情報を取得し、SAMLアプリケーションへの必要な接続を設定すると、組織は任意のIDプロバイダーを介してログインし、アクセスを制限できるようになります。
Updated 8 months ago