シングルサインオン (SSO) のセットアップ

ドットコムモニターは、SAML 2.0 を使用した SSO ログインをサポートしています。

Id プロバイダーとしてアクティブディレクトリ FS (ADFS) と AZURE アクティブディレクトリ (Azure AD) を使用して SSO を有効にするために必要な手順を次に示します。また、OKTA SAML 統合のステップバイステップガイドも提供されています。

アクティブディレクトリ FS を使用した SSO
1. ADFS 2.0 をインストールします (ヘルプは http://www.microsoft.com/en-us/download/details.aspx?id=10909にあります)。

2.
メタデータ.xml
をダウンロードします。

3. ADFS 2.0 管理 コンソールで、Ssl 証明書を追加して、Dotcom モニタの応答/要求に署名します。
- ADFS 2.0 管理コンソールを起動し、サーバー構成ウィザードを開きます。
- [ 新しい FS の作成 ] をクリックし、[ スタンドアロン FS]を選択します。
- [SSL 証明書( 証明書がない場合は 、INETMGR Server 証明書を使用して > > 自己署名証明書を作成できます)。
4. ADFS 2.0 管理 コンソールで、ADFS 証明書利用者信頼に IDR を追加します。
- [ 証明書利用者信頼 ] をクリックし、[ 証明書利用者信頼の追加]を選択します。
- ウィザードウィンドウで、[ スタート ] ボタンをクリックし、[ 証明書利用者に関するデータをファイルからインポートする] を選択します。
- メタデータ.xmlを選択します。
- 任意の意味のある名前 (dotcom-monitor.com) を選択します。
- [ 次へ ] をクリックし、プロンプトに従います。
- [ 発行承認規則] ステップで、[ すべてのユーザーがこの証明書利用者へのアクセスを許可する] を選択します。
- 完了したら、 ウィザードを閉じたときに、この証明書利用者信頼の [要求規則の編集] ダイアログボックスを開 く] チェックボックスをオフにする手順をクリックします。
- ウィザードを閉じます。
5. SHA-1 をセキュアハッシュアルゴリズムとして設定します。
- 証明書利用者信頼を作成した後、リスト内で信頼を右クリックし、P ropertiesを選択します。
- [ 詳細設定 ] タブに移動し、ハッシュアルゴリズムを SHA-1に変更します。
6. 要求規則を追加して、LDAP 属性を要求として送信します。
- 証明書利用者を右クリックし、[ 要求規則の編集] を選択します。
- [ ルールの追加 ] をクリックし、[ 要求規則テンプレート で LDAP 属性を要求として送信 ] が選択されていることを確認します。
- 要求ルール名を指定します。
- [アクティブディレクトリになる属性ストア] を選択します。
- 2 つの属性マッピングを追加します: ユーザープリンシパル名 セット UPNのトークングループ – 非修飾名 セット ロール。
7. カスタムルールを追加します。
- 証明書利用者を右クリックし、[ 要求規則の編集] を選択します。
- [ ルールの追加 ] をクリックし、[ 要求規則テンプレート ] を [カスタム規則を使用して要求を送信する]に設定します。
- 要求ルール名を指定します。
- 次のスクリプトを挿入します。
c: [種類] = > 発行日(タイプ = “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier”, 発行者 = c.発行者, 元発行者 = c.オリジナル発行者, 値 = 値型, 値型, c.値型, プロパティ[http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format] = “urn:オアシス:名前:一時”, プロパティ[http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier” = “http://www.example.com/adfs/services/trust”, https://userauth.dotcom-monitor.com/ http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier プロパティ”
- “http://www.example.com/adfs/services/trust” を適切な ID プロバイダー (IdP) エンティティ ID(“http://idpsite.com/adfs/services/trust” ) に置き換えます。
8. IdP マシンからブラウザで URL を開く: https://localhost/federationmetadata/2007-06/federationmetadata.xml

9. XML コンテンツをファイルとして保存し、チケットシステムを使用して Dotcom モニタのサポートに送信します。

SSO が有効になっている場合、AD で新しいユーザーを作成するかMonitor_Accounting_UsersMonitor_User_Users、または既存のユーザーを次のグループのいずれかに追加することで、ドットMonitor_OperatorsMonitor_ReadOnly_Usersコムモニタ Web サイトユーザーを追加できますMonitor_Power_Users。 これらのグループには、”グローバル” または “ユニバーサル” スコープと “セキュリティ” の種類がそれぞれ必要です。
Azure アクティブディレクトリを使用した SSO
1.グローバル管理者または共同管理者としてAzure ポータルにログインします。

2. ポータルの左側のナビゲーションパネルで 、[Azure Active Directory]を選択します。

3. Azure AD を使用して今後の SSO ログインのユーザーを管理 (作成) するには、Azure Active Directoryナビゲーションパネルの [管理] セクションで、[すべてのユーザー]を選択 > します。

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UserManagementMenuBlade/Overview/menuId/

4. 新しいエンタープライズアプリケーションを作成します。
- Azure Active Directory ナビゲーションパネルで、[ エンタープライズアプリケーション] を選択します。
- [ 新しいアプリケーション] をクリックし、[ ギャラリー以外のアプリケーション]をクリックします。
- [ 独自のアプリケーションの追加 ] ページで、新しいアプリケーションの名前(” userauth.dotcom-monitor.com” ) を設定し、[ 追加] をクリックします。
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/Overview/menuId/

5. アプリケーションメタデータを編集してドットコムモニターグループを追加します。
- Azure のアクティブディレクトリ ナビゲーションパネルで、[ アプリの登録] を選択します。
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps
- [userauth.dotcom-monitor.com] アプリケーションをクリックし、[管理] セクションの [マニフェスト]をクリックします。
- Web ベースのマニフェストエディターで、次のロールを [appRoles] ノードと [保存] ノードに追加します。
```
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Power_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52baaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Power_Users",
      "value": "Dotcom-Monitor_Power_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52babc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Users",
      "value": "Dotcom-Monitor_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Accounting_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bbbb",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Accounting_Users",
      "value": "Dotcom-Monitor_Accounting_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_ReadOnly_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bccc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_ReadOnly_Users",
      "value": "Dotcom-Monitor_ReadOnly_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Operators",
      "id": "b9632174-c057-4f7e-951b-be3adc52bddd",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Operator_Users",
      "value": "Dotcom-Monitor_Operator_Users"
    },
```
5. SSO 設定の編集:
- Azure Active Directory ナビゲーションパネルで、[ エンタープライズアプリケーション] を選択し、[ すべてのアプリケーション] をクリックします。
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- “userauth.dotcom-monitor.com”アプリケーションをクリックします。
- [ 管理 ] セクションで、[ シングルサインオン] を選択します。
- シングルサインオンを構成するには 、[SAML] を選択します。 [SAML でのシングルサインオンのセットアップ – プレビュー ] ページで、基本的な SAML オプションを設定します。
```
Identifier: “https://userauth.dotcom-monitor.com/” 
Reply URL: “https://userauth.dotcom-monitor.com/Login.ashx”
Unique User Identifier: “user.userprincipalname”
```
- [ユーザー属性とクレーム] セクションの右上隅にある編集アイコン (鉛筆) を選択し、新しい属性を追加します。
```
 Name: “Roles”
 Value: “user.assignedroles”
```
- [SAML 署名証明書] セクションの右上隅にある[編集]アイコン (鉛筆) を選択します。
- [SAML 署名証明書 ] セクションで、[ メタデータ XML のダウンロード ] をクリックし、ディスクに保存します。このファイルは、サポート dotcom-monitor.com 送信する必要があります。
- [ 新しい証明書をアクティブに する ( メタデータのダウンロード後のみ ) をオンにして、アクションを確認します。
- [ 証明書の署名の詳細設定を表示する] をオンにし、署名アルゴリズムとして SHA-1 を設定します。
- [ 保存 ]をクリックします。
6.役割の割り当て:
- Azure Active Directory ナビゲーションパネルで、[ エンタープライズアプリケーション] を選択し、[ すべてのアプリケーション] をクリックします。
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- [ userauth.dotcom-monitor.com ] アプリケーションをクリックし、[ ユーザーとグループ ]を選択します。
- [ ユーザーの追加 ]をクリックし、ユーザーを選択し、ロール ( ドットコムモニタロールの 1 つ) を選択します。必要なすべてのユーザーのためにそれを行います。
7. メタデータ.xml をドットコムモニターのサポートに送信します。ここをクリックして、アカウントにログインしてチケットを送信してください。
SSO と OKTA

以下の資料を確認して、Dotcom-Monitor との OKTA 統合を構成し、SSO を有効にします。

OKTA – ドットコムモニター統合PDFガイド

ドットコムモニターウォークスルービデオを使用したOKTA SAML統合

SAML ログインビデオ

以下の代替ガイドも参照してください。

オクタからドットコムモニターの代替ガイド

オクタからドットコムモニター SAML 設定ビデオ

部門の SSO の構成

Dotcom-Monitor アカウント用に部門を作成した場合は、SSO ユーザーがアカウントにログインするように設定できます。

部門の SSO を有効にするには、AD で Dotcom-Monitor 用に予約されているグループまたはロールの名前に、その部門名をサフィックスとして追加します。区切り文字として二重ハイフンを使用します。

<グループ名 > — < 部門名>

たとえば、ユーザーが パワーユーザー として “AlphaDep” 部門にログインできるようにするには 、Dotcom Monitor_Power_Users AD グループに次のサフィックスを追加する必要があります。

«Dotcom-Monitor_Power_Users--AlphaDep»

ADFS グループ名を変更するには、グループを右クリックし、[ 名前の変更] を選択します。名前を変更したら、ポップアップボックスまたはプロパティ > の全般グループ名 > (Windows 2000 以前) からも Windows 2000 以前の名前を変更します。

同じ形式を使用して、複数の部門名を 1 つずつ追加することもできます。例えば：

«Dotcom-Monitor_Accounting_Users--AlphaDep--BetaDep--Department3»

ルートアカウントにログインするユーザーを許可するには、上記のように、部門のサフィックスなしで関連する AD グループを指定します。

«Dotcom-Monitor_ReadOnly_Users»

あるユーザーが複数の «Dotcom-Monitor_» の AD グループに含まれ、部門用に SSO が構成されている場合、対応するすべての部門へのログインが有効になります (部署が Dotcom-Monitor アカウントに存在する場合)。

アクティブ ディレクトリ FS を使用した SSO

Azure アクティブ ディレクトリを使用した SSO

SSO と OKTA

部門の SSO の構成

アクティブディレクトリ FS を使用した SSO

Azure アクティブディレクトリを使用した SSO