メインコンテンツへスキップ
この記事は、Azure Active Directory (AD) を ID プロバイダーとして使用してシングル サインオン (SSO) を構成するための包括的なガイドとして機能します。 Azure AD を EKB と統合することで、組織はユーザーが既存の Microsoft 資格情報を使用してプラットフォームにアクセスできるようになり、ユーザー認証を強化できます。 Azure AD SSO に特化した前提条件、詳細な構成手順、トラブルシューティングのヒントが記載されています。 Azure AD SSO を利用すると、次のような重要な利点が得られます。
  • 集中認証 - すべてのエンタープライズ アプリケーションに 1 つのログイン。
  • セキュリティの強化 - 組織によるアクセス制御。
  • ユーザー管理 - 一元的なユーザーのプロビジョニングとプロビジョニング解除。
  • コンプライアンス - 企業のセキュリティ要件を満たします。
  • ユーザー エクスペリエンス - シームレスな認証エクスペリエンス。

Azure AD SSO 構成

このセクションでは、EKB インスタンスの Azure AD SSO を構成するために必要な手順の概要を説明します。

前提条件

続行する前に、以下を用意するか、各チームにサポートを依頼する必要があります。
  • Azure ポータル管理者アクセス。
  • 管理者アクセス権を持つ Microsoft 365 アカウント。
  • EKB インスタンスの URL。

ステップ 1: Azure AD アプリケーションのセットアップ

  1. Azure ポータルに移動します
    portal.azure.com にアクセスし、管理者アカウントでサインインします。
  2. オープンエンタープライズアプリケーション
    Azure portal の Azure サービス で、エンタープライズ アプリケーション をクリックします。
Azure portal – Enterprise applications
  1. エンタープライズ アプリケーションの作成
    [新しいアプリケーション] をクリックします。 [Microsoft Entra Gallery の参照] ページで、[独自のアプリケーションの作成] をクリックします。開いたダイアログで、アプリケーション名 (「EKB」など) を入力し、ギャラリーにない他のアプリケーションを統合する (ギャラリー以外) を選択し、作成 をクリックします。
Azure – Create your own application Azure – Create your own application (dialog)
  1. シングル サインオンを設定する
    アプリケーションの開始方法 ページで、シングル サインオンのセットアップ (またはそのカードの 開始する) をクリックします。 [シングル サインオン方法の選択] で、SAML を選択します。
Azure – Getting started – Set up single sign on Azure – Select a single sign-on method – SAML
  1. SAML の構成 (基本的な SAML 構成)
    基本的な SAML 構成 に次のように入力します (EKB クラウドの場合は、以下の値を使用します)。
  • 識別子 (エンティティ ID): https://api.getodin.ai/user/azure/sso/saml/acs/admin
    • 応答 URL (アサーション コンシューマ サービス URL): https://api.getodin.ai/user/azure/sso/saml/acs/admin
    • サインオン URL: 空のままにします。
    • リレー状態: default
    • ログアウト URL: 空のままにします。
  1. ユーザー属性とクレーム
    属性とクレーム で、次のマッピングを確認します (追加または変更するには、編集 をクリックします)。
  • 一意のユーザー識別子user.userprincipalname
    • メールuser.mail
    • メールアドレスuser.mail
    • user.givenname
    • user.surname
    • 名前user.userprincipalname
    • 表示名user.displayname
Azure – Attributes & Claims
  1. ユーザーの割り当て
    ユーザーとグループ > ユーザー/グループの追加 に移動し、ユーザーまたはグループを選択して、割り当て をクリックします。構成が完了すると、割り当てられたユーザーは SSO 経由でサインインします。

ステップ 2: Azure 構成を取得する

  1. メタデータ URL を取得します
    アプリケーションで、シングル サインオン > SAML に移動します。 [SAML 証明書] セクションで、App Federation Metadata URL をコピーします (その横にあるコピー アイコンを使用します)。ステップ 3 で、この URL を EKB サポートに送信します。
Azure – SAML Certificates – App Federation Metadata Url

ステップ 3: EKB に構成を送信する

EKB のサポート チームが SSO セットアップを構成し、テストします。次の情報を入力してください。
  1. 設定の詳細を送信
    Support に次の内容を電子メールで送信してください:
    • プロバイダー: Azure AD (または Azure)
    • エンタープライズ ID: 組織のドメイン (例: company.com)
    • メタデータ URL: ステップ 2 のアプリ フェデレーション メタデータ URL
    • SSO サインインのみ (オプション): このドメインのすべてのユーザーに SSO を要求するかどうかを指定します。
  2. EKB 構成
    EKB のサポート チームがインスタンスに SSO を設定し、接続をテストします。設定が完了すると通知が届きます。
  3. テスト
    EKB のチームが SSO 接続をテストし、それが機能することを確認するよう求められる場合があります。確認されると、組織で SSO が有効になります。

Azure AD SSO のトラブルシューティング

このセクションでは、Azure AD SSO に関連する一般的な問題と解決策について説明します。 問題: SAML アサーション エラー
解決策:
  • 応答 URL と識別子 (エンティティ ID) の両方が https://api.getodin.ai/user/azure/sso/saml/acs/admin と一致することを確認します。
  • リレー状態が default であることを確認します。サインオン URL とログアウト URL は空のままにしておきます。
  • ユーザー属性が正しくマッピングされていることを確認します。
  • 証明書が有効であり、期限切れでないことを確認します。
問題: SSO ログイン後にユーザーが見つからない
解決策:
  • ユーザーが Azure AD のアプリケーションに割り当てられていることを確認します。
  • 電子メールの属性マッピングを確認します。
  • ユーザーが EKB に存在することを確認します。
  • エンタープライズ ID が電子メール ドメインと一致することを確認します。
## 接触 SSO 構成に関する質問や問題については、Support にお問い合わせください。