Azure ADのOpenID設定

ここでは、Azure AD を Safous ZTNA サービスに統合し、外部 ID プロバイダとして認証する方法について説明します。この手順を実行する前に以下をご確認ください。

• Safous ZTNAのOpenID設定に関する基本情報はこちらでご確認ください。

• Azure ADに以下の権限を持つアカウントがあること。
  • ロール管理者またはグローバル管理者
  • エンタープライズアプリのロール権限で読み取りと更新が可能

Azure AD Enterprise アプリケーションの設定:

1.  Azure Active Directory > Enterprise Application に移動します。 
   
   
   
2.  "New Application"をクリックします。 
   
3.  次に "Create your own application"をクリックします。 
   
4.  アプリケーション名に関する情報を記入し、「Integrate any other application you don't find in the gallery (Non-gallery)」を選択します。"Create"をクリックします。 
   
5.  次にEnterprise Application を登録するための新しいページが開きますが、その前に" Redirect URI (optional)" のvalue オプションをWeb に変更する必要があります。"Register"をクリックします。 
   
6.  Azure Active Directory に戻って、App Registrations から前回作成したアプリケーションを探します。作成したアプリケーションをクリックします。
   
7.  Expose an API  を選択し"Application ID URI"を設定します。 
   
8.  設定が完了しsaveをクリックすると "Application (client) ID"になります。これは後でOverviewより確認できます。 
   
9.  Authenticationに移動し、"Add a Platform"をクリックします。 
   
10.  Web ページの右側にオプションが開きます。「Web 」を選択します。 
    
11. この項目には、テナントのユーザポータルから提供されたコールバックURL を追加するために必要なRedirect URIの値を入力する必要があります。
    (例: https://login<tenant>.ztna.safous.com:443/v1/auth/openid/1/callback)。
    " Configure "をクリックします。
    
    ・ 複数のOpenID IDP がある場合は、URL の変更が必要になることがあります。
    　これは後で管理者ポータルで確認できます。 
    
    
    
    
12.  次にCertificates & secretsに移動して、"New client secret"をクリックしてclient secretを作成します。 
    
13. client secreの作成オプションは、ページの右側にあります。ここでは説明情報を追加し、client secretの有効期限を選択する必要があります。決定後"Add"をクリックします。
    
     
14.  新しいシークレットが作成されます。Client Secretの値は、後でOpenID登録管理ポータルで必要になるのでメモしておいてください。
    
15.  API permissionに移動し、「User.Read」権限がすでに追加されていることを確認します。 
    
16. App Registration の最後のステップでは、これらのメモを取る必要のあるOverviewに移動します：
    
    ・Application (client) ID 
    
    
    
    ・Endpoint without "/.well-known/openid-configuration" suffix 
    
    
    
    
17.  最後に、OpenID 統合のために作成したEnterprise Application の"Users and groups" にユーザーまたはグループを追加する必要があります。これにより、これらのユーザーはSafous ZTNA User Portal にログインできます。 
    
    
    
18.  これでAzure AD に必要なすべての構成設定が完了しました。 
    
    
    

Safous ZTNA テナント構成

1. https://portal.safous.comにログインします。
2. Settingsタブ> ZTNA に移動します。
3. Configurationsで、Identity Provider を選択します。
4.  統合されたID プロバイダのリストが開きます。デフォルトではローカルのみです。
   
5.  New IDPをクリックして画面を展開します。
    
   
6.  名前を入力し、ステータスが有効(緑色)であることを確認します。 
   
   
   
7.  IDプロバイダ設定のOpenID を選択していることを確認します。 
   
   
   
8. 有効にするOpenID スコープを選択して決定する必要があります。以下はこのオプションに関する情報です:
   
   1. • openid (必須: アプリケーションがOIDCを使用してユーザーの身元を確認する意向であることを示すため)
      • profile (ユーザ名でメールをパーソナライズできるようにするため)
      • email (ウェルカムメールを送る場所)
        

   明確でない場合は、すべてのオプションにチェックを入れることを強くお勧めします。

9. 前にEndpoint でメモを取っておいたAzure ADのOpenID Issuer を入力します。
    
10.  Name Attribute には"name" を入力するだけです。 
    
11.  前にApplication (client) ID でメモを取っておいたAzure AD のClient IDを入力します。 
    
12.  新しく作成したClient Secretで前にメモを取ったAzure AD のClient Secretを入力します。 
    
13. その他のSafous ZTNA OpenID 設定については、こちらを参照してください。
14.  設定が完了したら、"Save"をクリックします。 
    
15.  統合した IDP のプラス（+）をクリックして、 "Redirect URI"が Azure AD で設定したものと同じかどうか再確認します。
    
    
16.  "Redirect URI"がまだ同じであれば、そのままでも良いですが、そうでない場合は、Azure ADの1つを変更する必要があります。
17.  すべてが正しく設定されていれば、ユーザポータルhttps://users.<xxxx>.ztna.safous.com にログインし、"With IdP" にチェックを入れると、OpenID 設定が表示されます。