4.6K Views
July 24, 23
スライド概要
【公式】 OnTime Group Calendar for Microsoft ページ
https://ontimesuite.jp/forms/
Azure AD(Microsoft Intra ID) SAML設定マニュアル
【公式】 OnTime Group Calendar for Microsoft ページ https://ontimesuite.jp/forms/ 【公式】 OnTime Group Calendar for HCL Domino ページ https://ontimesuite.jp/fordomino/ 高速グループスケジュールの OnTime Group Calendar for Microsoft / for Domino の日本総代理店をしています。 CEO at AXCEL corporation that the agency of OnTime Group Calendar in Japan.
for Microsoft(Ver.4.1.8-) Azure AD SAML設定マニュアル クイック & ステップ バイ ステップ OnTime Group Calendar Direct Shop 2021/06/29
目次 Azure AD SAML設定マニュアル • Azure Portalでの作業 • OnTimeサーバーでの作業 p.03 p.25 • ontime.ms.acs.iniの修正 p.26 • OnTime管理センターでの設定 p.28 • クライアントでログイン p.30 • 「Microsoft 365 アプリ起動ツール」から開く p.34 2
Azure Portalでの作業 3
エンタープライズアプリケーションを開く • Azure Portalで「エンタープライズアプリケーション」を検索し ます。 検索結果に出てきたらクリックして開きます。 • 「アプリの登録」と違い、今回はSSOにてOnTimeをテナント に統合するため「エンタープライズアプリケーション」での操作 となります。 4
新しいアプリケーションを作成 • SAML認証用に新しくアプリケーションを登録します。 • 「新しいアプリケーション」をクリックします。 5
独自のアプリケーションを作成 • 「独自のアプリケーションの作成」をクリックします。 6
名称と操作を指定 • アプリケーションを作成します。 • 本操作後にOnTimeは「Microsoft 365 アプリ起動ツー ル」に登録され一般ユーザーも利用するので短くてわかりや すい名前をつけてください。 例)OnTime GC 表示される際に識別しやすい名前を入力します。 「ギャラリーに見つからないその他のアプリケーションを統合し ます」を選択します。 • 最後に「作成」をクリックします。 • クリック後、作成完了画面が開くまで数分かかる場合があ ります。何も操作せずお待ちください。 7
作成されると概要画面が開く • 概要画面が開いたら作成完了です。 引き続き設定を始めます。 • 左サイドメニューから「プロパティ」をクリックします。 8
プロパティの内容を確認 • 以下のそれぞれが「はい」になっていることを確認します。 「ユーザーのサインインが有効になっていますか?」 「ユーザーの割り当てが必要ですか?」 「ユーザーに表示しますか?」 本操作後にOnTimeは「Microsoft 365 アプリ起動ツール」 に登録され一般ユーザーも利用するのでロゴなどは適宜わか りやすい画像に変更してください。 • OnTimeのアイコン画像は以下からダウンロードしてください。 https://ontimesuite.jp/download/otlogoc60x60.png 次に「シングルサインオン」を開きます。 9
シングルサインオン方式の選択 • シングルサインオン方式の選択で「SAML」をクリックします。 10
基本的なSAML構成の編集1 • シングルサインオンの画面が開いたら「基本的な SAML 構 成」を設定します。 「編集」ボタンをクリックします。 11
基本的なSAML構成の編集2 • 「基本的な SAML 構成」の画面が開いたら次ページを参 考に各項目を入力します。 12
基本的なSAML構成の編集3 識別子(エンティティID)にはOnTimeサーバーが稼働する ホスト名を新しく入力します。 “Ontimedemo.com”ドメインでホスト名が”XXX”の場合 例) https://XXX.ontimedemo.com 入力枠の右にある「既定」にチェックをつけます。 応答URLにはOnTimeサーバーが稼働するホスト名の後ろに 以下のように文字列を追加して入力します。 例) https://XXX.ontimedemo.com/ontime/acs.html サインオンURLにはOnTimeサーバーが稼働するホスト名の 後ろに以下のように文字列を追加して入力します。 例) https://XXX.ontimedemo.com/ontimegcms/desktop • 入力が終われば画面一番上の「保存」をクリックします。 13
ユーザー属性とクレームの編集1 • もしメールアドレスがUPN(UserPrincipalName)と違う 場合は一意のユーザーIDを変更します。 「編集」ボタンをクリックします。 14
ユーザー属性とクレームの編集2 • 「一意のユーザー識別子(名前 ID)」をクリックします。 15
ユーザー属性とクレームの編集3 スクロールしてソース属性から「user.mail」を選択します。 16
ユーザー属性とクレームの編集4 • 「user.mail」を選択したら「保存」をクリックします。 17
ユーザー属性とクレームの編集5 • 「一意のユーザー識別子(名前 ID)」の値が「user.mail」 に変更されたことを確認します。 × を押して閉じます。 18
フェデレーションメタデータURLのコピー • 一意のユーザーIDが「user.mail」に変更されてるのが確認 できます。 • 後ほどOnTimeサーバーでの作業に必要となるので「アプリ のフェデレーションメタデータ URL」をコピーして保管します。 「コピー」をクリックして取得した値をメモ帳などに保持します。 • 続いて対象アカウントを指定する「ユーザーとグループ」の作 業を行います。 19
ユーザーとグループの追加1 • 「ユーザーとグループ」を開き対象となるアカウントを登録しま す。 • 「ユーザーまたはグループの追加」をクリックします。 20
ユーザーとグループの追加2 • 「割り当ての追加」画面で利用するアカウントを追加します。 • グループを割り当てに追加するためには Azure AD の有償 プランのアカウントで操作頂く必要があります。 • また「エンタープライズアプリケーション」でグループを利用する 際は現時点では以下の制約もございます。 • アドレスが有効なセキュリティグループやセキュリティグループが 利用できます。 • Office365グループや配布リストは利用できません。 • 入れ子になったグループは展開されません。 「選択されていません」をクリックします。 21
ユーザーとグループの追加3 • ユーザーやグループを選択します。 最後に「選択」をクリックします。 22
ユーザーとグループの追加4 • 選択したユーザーの数があっているか確認します。 確認できれば「割り当て」をクリックします。 23
ユーザーとグループの追加5 • 画面に割り当てたユーザーが表示されているのを確認します。 • Azure Portal での作業は以上です。 24
OnTimeサーバーでの作業 25
ontime.ms.acs.ini の修正1 • 続いてOnTimeサーバーでの作業を行います。 • OnTimeがAzure ADのSAML連携をする機能はOnTime ACS(OnTime Access Control Service)といいます。 • 設定はontime.ms.acs.iniにパラメータを記述することで行 います。 • ダウンロードしたOnTimeプログラムのフォルダに移動します。 • OnTimeMS-X.X.X¥ontime.ms.acsフォルダに移動します。 • ontime.ms.acs.iniファイルを確認できたらコピーします。 • 続いて以下のフォルダに移動します。 C:¥ProgramData¥Intravision¥OnTime¥Microsoft • ProgramDataフォルダはデフォルトでは非表示なので適宜 表示させてください。 • OnTime¥Microsoftフォルダが存在しない場合は作成してく ださい。 • ontime.ms.acs.iniファイルをコピーしたらメモ帳で開きます。 26
ontime.ms.acs.ini の修正2 • 内容を編集します。編集箇所は左図で囲んである2箇所 です。 • APP_ID_URI OnTimeサーバーが稼働するホスト名を記述します。 本マニュアルの例では https://XXX.ontimedemo.com • FEDERATION_METADATA_URL Azure Portalでの作業時にコピーして保持していた情報で す。該当行にそのまま貼り付けします。 • 修正が済めば保存して閉じます。 27
OnTime 管理センター での設定1 • OnTime管理センターを開きます。 • 認証方法の変更は「グローバル設定/バックエンド」で変更し ます。 • 「認証方法(Authentication)」でDesktopクライアント、 Mobileクライアントでそれぞれ利用する場合に「HTTPS ADFS(SSO)」を選択します。 設定の変更を行ったら「保存」をクリックします。 28
OnTime 管理センター での設定2 • ポップアップが表示されたら「保存して閉じる」を選択し、 メッセージの通りダッシュボードに移動してアプリケーションの 再起動を行います。 • OnTime管理センターの作業は以上となります。 29
クライアントでログイン 30
未ログインのブラウザでOnTime クライアントに接続 • OnTimeやMicrosoft365からログアウトした状態で OnTimeクライアントを開くURLを入力します。 31
Microsoftのサインイン画面が開く • Microsoftのサインイン画面にリダイレクトされます。 • ログイン用のメールアドレスを入力します。 • 組織の設定に基づき多要素認証などの手続きが行われま す。 32
OnTime クライアントが起動 • 認証が確認されればOnTimeクライアントの画面にリダイレ クトされます。 • すでにMicrosoft365環境にログインが済んでいる状態で OnTimeクライアントのURLを開いた際はSSOが機能してい るのでログイン画面を経由せずにOnTimeクライアントが開 きます。 33
「Microsoft 365 アプリ起動ツール」から開く • また、「Microsoft 365 アプリ起動ツール」からも起動できる ようになりますので一般ユーザーにはこちらをご案内すること もご検討ください。 34