10.13.2. AzureADとのSAML認証の設定¶

10.13.2.2.1. AzureAD に Accel-Mart Quick の情報を登録する¶

AzureAD の管理画面から Accel-Mart Quick をアプリケーションとして登録します。

1. 管理画面の「Azure Active Directory」→「エンタープライズ アプリケーション」→「新しいアプリケーション」をクリックします。

   

   図： 「エンタープライスアプリケーション」

2. 「独自のアプリケーションの作成」をクリックします。

   

   図： 「Azure AD ギャラリーの参照」

3. アプリケーションの名前を入力します（本書では saml-test と名前を入力）。

4. ラジオボタン「アプリケーションでどのような操作を行いたいですか？」の「ギャラリーに見つからないその他のアプリケーションを統合します （ギャラリー以外）」を選択します。

   

   図： 「独自アプリケーションの作成」

5. 作成ボタンをクリックします。

10.13.2.2.2. 登録したアプリケーションにユーザを割り当て¶

1. 「Azure Active Directory」→「エンタープライズ アプリケーション」→登録したアプリケーションを選択→メニューより「ユーザとグループ」をクリックします。

2. 「ユーザまたはグループの追加」ボタンから追加したいユーザを選択します。

   

   図： 「ユーザとグループ」

3. 「選択されていません」と表示されている箇所をクリックし、割り当てたいユーザを検索し選択します。

   

   図： 「割り当ての追加」

4. 選択したユーザがいる状態で右下の「選択」ボタンをクリックし、左下の「割り当て」ボタンをクリックします。

10.13.2.2.3. IdPメタデータをダウンロードする¶

1. 登録したアプリケーションの管理メニューより「シングル サインオン」を選択します。

   シングル サインオン方式は SAML を選択します。

   

   図： 「シングルサインオン」

2. 「基本的な SAML 構成」の編集ボタンをクリックします。

   

   図： 「SAMLによるシングルサインオンのセットアップ」

3. 入力項目「識別子 （エンティティ ID）」と「応答 URL (Assertion Consumer Service URL）」に仮の値を入力して、保存ボタンをクリックします（本書ではどちらも https://amq-saml-test と入力）。

   

   図： 「基本的な SAML 構成」

   コラム

   入力項目「識別子 （エンティティ ID）」と「応答 URL （Assertion Consumer Service URL）」の正式な値は、「 AzureAD にメタデータをアップロード 」で設定されます。

4. 「SAML 証明書」の項目「フェデレーション メタデータ XML」をダウンロードします。

   

   図： 「SAML 証明書」

10.13.2.2.4. Accel-Mart Quick に AzureAD を登録¶

1. 「 Accel-Mart Quick システム管理者 」ロールを持つユーザでログインし、「管理」→「外部システム連携設定」→「SAML認証設定」→「IdP一覧」をクリックします。

2. 「新規登録」ボタンをクリックします。

3. 下記を参考に必要な項目を入力します。

   IdP 新規登録時の設定例

   状態	有効
   IdP名	任意の値
   IdPメタデータ	AzureAD からダウンロードしたフェデレーション メタデータの内容

   

   図： 「IdP新規作成」

   コラム

   「ログインボタン設定」や「高度な設定」の設定を行う場合は「Accel-Mart QuickにIdPの情報を設定する 」を参考に各項目の設定を行ってください。

4. 「新規登録」ボタンをクリックします。

10.13.2.2.5. Accel-Mart Quick のメタデータをダウンロード¶

IdPを新規登録すると、「IdP一覧」画面に登録したIdPが表示されます。

「SPメタデータダウンロード」のアイコンをクリックし、SPメタデータをダウンロードしてください。

図： 「IdP一覧」

10.13.2.2.6. Accel-Mart Quick ユーザとAzureAD ユーザをマッピング¶

1. 「 Accel-Mart Quick システム管理者 」ロールを持つユーザでログインし、「管理」→「外部システム連携設定」→「SAML認証設定」→「SAMLユーザマッピング」をクリックします。

2. 「新規作成」ボタンをクリックし、以下のように設定し登録します。

   新規登録時の設定例

   IdPユーザ	AzureAD でアプリケーションに割り当てたユーザのアドレス
   ユーザ	Accel-Mart Quick で連携させたいユーザのユーザコード

図： 「SAML ユーザマッピング登録」

10.13.2.2.7. AzureAD にメタデータをアップロード¶

1. AzureAD の管理画面から「Azure Active Directory」→「エンタープライズ アプリケーション」 で 「AzureAD に Accel-Mart Quick の情報を登録する」 で設定したアプリケーションを検索します。

2. 登録したアプリケーションの管理メニューより「シングル サインオン」を選択します。

3. 「メタデータ ファイルをアップロードする」を選択し、ダウンロードした Accel-Mart Quick のメタデータを追加し保存します。

   

   図： 「シングルサインオン」

   注意

   一連の設定が完了したら AzureAD からサインアウトしてください。認証時にエラーが発生するためです。

10.13.2.4.1. AzureAD に送信するリクエストの署名について¶

10.13.2.4.2. Accel-Mart Quick のメタデータが変更された場合¶

IdPの設定を更新して Accel-Mart Quick のメタデータに変更があった場合は AzureAD でメタデータのアップロードを再度実行する必要があります。

10.13.2.4.3. シングルログアウトについて¶

シングルログアウトを有効にするには以下の手順を行います。

1. Accel-Mart Quick の「IdP一覧」から登録したIdPの「IdP更新」画面を表示します。

2. 「高度な設定」のシングルログアウトのラジオボタンを「有効」に設定します。

3. 更新ボタンをクリックします。

   

   図： 「IdP更新 - 高度な設定」

4. 作成したSPメタデータをダウンロードします。

5. AzureADにアクセスし、「Azure Active Directory」→「エンタープライズ アプリケーション」→登録したアプリケーションを選択→メニューより「シングルサインオン」をクリックします。

6. 「基本的な SAML 構成」の編集ボタンをクリックします。

7. 入力項目「ログアウト URL」に、ダウンロードしたSPメタデータ内の「Binding=”urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect”」属性をもつ「SingleLogoutService」要素の「Location」属性のURL を設定してください。

   

   図： 「基本的な SAML 構成」

8. 「保存」をクリックします。