Azure AD(Microsoft Intra ID) SAML設定マニュアル

4.2K Views

July 24, 23

スライド概要

【公式】 OnTime Group Calendar for Microsoft ページ
https://ontimesuite.jp/forms/
Azure AD(Microsoft Intra ID) SAML設定マニュアル

profile-image

【公式】 OnTime Group Calendar for Microsoft ページ https://ontimesuite.jp/forms/ 【公式】 OnTime Group Calendar for HCL Domino ページ https://ontimesuite.jp/fordomino/ 高速グループスケジュールの OnTime Group Calendar for Microsoft / for Domino の日本総代理店をしています。 CEO at AXCEL corporation that the agency of OnTime Group Calendar in Japan.

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

for Microsoft(Ver.4.1.8-) Azure AD SAML設定マニュアル クイック & ステップ バイ ステップ OnTime Group Calendar Direct Shop 2021/06/29

2.

目次 Azure AD SAML設定マニュアル • Azure Portalでの作業 • OnTimeサーバーでの作業 p.03 p.25 • ontime.ms.acs.iniの修正 p.26 • OnTime管理センターでの設定 p.28 • クライアントでログイン p.30 • 「Microsoft 365 アプリ起動ツール」から開く p.34 2

3.

Azure Portalでの作業 3

4.

エンタープライズアプリケーションを開く • Azure Portalで「エンタープライズアプリケーション」を検索し ます。 検索結果に出てきたらクリックして開きます。 • 「アプリの登録」と違い、今回はSSOにてOnTimeをテナント に統合するため「エンタープライズアプリケーション」での操作 となります。 4

5.

新しいアプリケーションを作成 • SAML認証用に新しくアプリケーションを登録します。 • 「新しいアプリケーション」をクリックします。 5

6.

独自のアプリケーションを作成 • 「独自のアプリケーションの作成」をクリックします。 6

7.

名称と操作を指定 • アプリケーションを作成します。 • 本操作後にOnTimeは「Microsoft 365 アプリ起動ツー ル」に登録され一般ユーザーも利用するので短くてわかりや すい名前をつけてください。 例)OnTime GC 表示される際に識別しやすい名前を入力します。 「ギャラリーに見つからないその他のアプリケーションを統合し ます」を選択します。 • 最後に「作成」をクリックします。 • クリック後、作成完了画面が開くまで数分かかる場合があ ります。何も操作せずお待ちください。 7

8.

作成されると概要画面が開く • 概要画面が開いたら作成完了です。 引き続き設定を始めます。 • 左サイドメニューから「プロパティ」をクリックします。 8

9.

プロパティの内容を確認 • 以下のそれぞれが「はい」になっていることを確認します。 「ユーザーのサインインが有効になっていますか?」 「ユーザーの割り当てが必要ですか?」 「ユーザーに表示しますか?」 本操作後にOnTimeは「Microsoft 365 アプリ起動ツール」 に登録され一般ユーザーも利用するのでロゴなどは適宜わか りやすい画像に変更してください。 • OnTimeのアイコン画像は以下からダウンロードしてください。 https://ontimesuite.jp/download/otlogoc60x60.png 次に「シングルサインオン」を開きます。 9

10.

シングルサインオン方式の選択 • シングルサインオン方式の選択で「SAML」をクリックします。 10

11.

基本的なSAML構成の編集1 • シングルサインオンの画面が開いたら「基本的な SAML 構 成」を設定します。 「編集」ボタンをクリックします。 11

12.

基本的なSAML構成の編集2 • 「基本的な SAML 構成」の画面が開いたら次ページを参 考に各項目を入力します。 12

13.

基本的なSAML構成の編集3 識別子(エンティティID)にはOnTimeサーバーが稼働する ホスト名を新しく入力します。 “Ontimedemo.com”ドメインでホスト名が”XXX”の場合 例) https://XXX.ontimedemo.com 入力枠の右にある「既定」にチェックをつけます。 応答URLにはOnTimeサーバーが稼働するホスト名の後ろに 以下のように文字列を追加して入力します。 例) https://XXX.ontimedemo.com/ontime/acs.html サインオンURLにはOnTimeサーバーが稼働するホスト名の 後ろに以下のように文字列を追加して入力します。 例) https://XXX.ontimedemo.com/ontimegcms/desktop • 入力が終われば画面一番上の「保存」をクリックします。 13

14.

ユーザー属性とクレームの編集1 • もしメールアドレスがUPN(UserPrincipalName)と違う 場合は一意のユーザーIDを変更します。 「編集」ボタンをクリックします。 14

15.

ユーザー属性とクレームの編集2 • 「一意のユーザー識別子(名前 ID)」をクリックします。 15

16.

ユーザー属性とクレームの編集3 スクロールしてソース属性から「user.mail」を選択します。 16

17.

ユーザー属性とクレームの編集4 • 「user.mail」を選択したら「保存」をクリックします。 17

18.

ユーザー属性とクレームの編集5 • 「一意のユーザー識別子(名前 ID)」の値が「user.mail」 に変更されたことを確認します。 × を押して閉じます。 18

19.

フェデレーションメタデータURLのコピー • 一意のユーザーIDが「user.mail」に変更されてるのが確認 できます。 • 後ほどOnTimeサーバーでの作業に必要となるので「アプリ のフェデレーションメタデータ URL」をコピーして保管します。 「コピー」をクリックして取得した値をメモ帳などに保持します。 • 続いて対象アカウントを指定する「ユーザーとグループ」の作 業を行います。 19

20.

ユーザーとグループの追加1 • 「ユーザーとグループ」を開き対象となるアカウントを登録しま す。 • 「ユーザーまたはグループの追加」をクリックします。 20

21.

ユーザーとグループの追加2 • 「割り当ての追加」画面で利用するアカウントを追加します。 • グループを割り当てに追加するためには Azure AD の有償 プランのアカウントで操作頂く必要があります。 • また「エンタープライズアプリケーション」でグループを利用する 際は現時点では以下の制約もございます。 • アドレスが有効なセキュリティグループやセキュリティグループが 利用できます。 • Office365グループや配布リストは利用できません。 • 入れ子になったグループは展開されません。 「選択されていません」をクリックします。 21

22.

ユーザーとグループの追加3 • ユーザーやグループを選択します。 最後に「選択」をクリックします。 22

23.

ユーザーとグループの追加4 • 選択したユーザーの数があっているか確認します。 確認できれば「割り当て」をクリックします。 23

24.

ユーザーとグループの追加5 • 画面に割り当てたユーザーが表示されているのを確認します。 • Azure Portal での作業は以上です。 24

25.

OnTimeサーバーでの作業 25

26.

ontime.ms.acs.ini の修正1 • 続いてOnTimeサーバーでの作業を行います。 • OnTimeがAzure ADのSAML連携をする機能はOnTime ACS(OnTime Access Control Service)といいます。 • 設定はontime.ms.acs.iniにパラメータを記述することで行 います。 • ダウンロードしたOnTimeプログラムのフォルダに移動します。 • OnTimeMS-X.X.X¥ontime.ms.acsフォルダに移動します。 • ontime.ms.acs.iniファイルを確認できたらコピーします。 • 続いて以下のフォルダに移動します。 C:¥ProgramData¥Intravision¥OnTime¥Microsoft • ProgramDataフォルダはデフォルトでは非表示なので適宜 表示させてください。 • OnTime¥Microsoftフォルダが存在しない場合は作成してく ださい。 • ontime.ms.acs.iniファイルをコピーしたらメモ帳で開きます。 26

27.

ontime.ms.acs.ini の修正2 • 内容を編集します。編集箇所は左図で囲んである2箇所 です。 • APP_ID_URI OnTimeサーバーが稼働するホスト名を記述します。 本マニュアルの例では https://XXX.ontimedemo.com • FEDERATION_METADATA_URL Azure Portalでの作業時にコピーして保持していた情報で す。該当行にそのまま貼り付けします。 • 修正が済めば保存して閉じます。 27

28.

OnTime 管理センター での設定1 • OnTime管理センターを開きます。 • 認証方法の変更は「グローバル設定/バックエンド」で変更し ます。 • 「認証方法(Authentication)」でDesktopクライアント、 Mobileクライアントでそれぞれ利用する場合に「HTTPS ADFS(SSO)」を選択します。 設定の変更を行ったら「保存」をクリックします。 28

29.

OnTime 管理センター での設定2 • ポップアップが表示されたら「保存して閉じる」を選択し、 メッセージの通りダッシュボードに移動してアプリケーションの 再起動を行います。 • OnTime管理センターの作業は以上となります。 29

30.

クライアントでログイン 30

31.

未ログインのブラウザでOnTime クライアントに接続 • OnTimeやMicrosoft365からログアウトした状態で OnTimeクライアントを開くURLを入力します。 31

32.

Microsoftのサインイン画面が開く • Microsoftのサインイン画面にリダイレクトされます。 • ログイン用のメールアドレスを入力します。 • 組織の設定に基づき多要素認証などの手続きが行われま す。 32

33.

OnTime クライアントが起動 • 認証が確認されればOnTimeクライアントの画面にリダイレ クトされます。 • すでにMicrosoft365環境にログインが済んでいる状態で OnTimeクライアントのURLを開いた際はSSOが機能してい るのでログイン画面を経由せずにOnTimeクライアントが開 きます。 33

34.

「Microsoft 365 アプリ起動ツール」から開く • また、「Microsoft 365 アプリ起動ツール」からも起動できる ようになりますので一般ユーザーにはこちらをご案内すること もご検討ください。 34