Azure ADのOpenID設定

ここでは、Azure AD を Safous ZTNA サービスに統合し、外部 ID プロバイダとして認証する方法について説明します。この手順を実行する前に以下をご確認ください。

  • Safous ZTNAのOpenID設定に関する基本情報はこちらでご確認ください。
  • Azure ADに以下の権限を持つアカウントがあること。
    • ロール管理者またはグローバル管理者
    • エンタープライズアプリのロール権限で読み取りと更新が可能


Azure AD Enterprise
アプリケーションの設定:

  1.  Azure Active Directory > Enterprise Application に移動します。 
    image-png-Jul-20-2022-11-43-05-00-AM

  2.  "New Application"をクリックします。 
    image-png-Jul-20-2022-11-44-01-73-AM
  3.  次に "Create your own application"をクリックします。 
    image-png-Jul-20-2022-11-44-23-06-AM
  4.  アプリケーション名に関する情報を記入し、「Integrate any other application you don't find in the gallery (Non-gallery)」を選択します。"Create"をクリックします。 
    image-png-Jul-20-2022-11-45-23-83-AM
  5.  次にEnterprise Application を登録するための新しいページが開きますが、その前に" Redirect URI (optional)" のvalue オプションをWeb に変更する必要があります。"Register"をクリックします。 
    image-png-Jul-20-2022-11-49-09-04-AM
  6.  Azure Active Directory に戻って、App Registrations から前回作成したアプリケーションを探します。作成したアプリケーションをクリックします。
    image-png-Jul-20-2022-12-18-38-16-PM
  7.  Expose an API  を選択し"Application ID URI"を設定します。 
    image-png-Jul-20-2022-12-21-01-53-PM
  8.  設定が完了しsaveをクリックすると "Application (client) ID"になります。これは後でOverviewより確認できます。 
    image-png-Jul-20-2022-12-21-49-60-PM
  9.  Authenticationに移動し、"Add a Platform"をクリックします。 
    image-png-Jul-20-2022-12-25-33-96-PM
  10.  Web ページの右側にオプションが開きます。「Web 」を選択します。 
    image-png-Jul-20-2022-12-26-31-91-PM
  11. この項目には、テナントのユーザポータルから提供されたコールバックURL を追加するために必要なRedirect URIの値を入力する必要があります。
    (例: https://login<tenant>.ztna.safous.com:443/v1/auth/openid/1/callback)。
    " Configure "をクリックします。

    ・ 複数のOpenID IDP がある場合は、URL の変更が必要になることがあります。
     これは後で管理者ポータルで確認できます。 
    image-png-Jul-20-2022-12-31-27-08-PM


  12.  次にCertificates & secretsに移動して、"New client secret"をクリックしてclient secretを作成します。 
    image-png-Jul-20-2022-12-40-43-16-PM
  13. client secreの作成オプションは、ページの右側にあります。ここでは説明情報を追加し、client secretの有効期限を選択する必要があります。決定後"Add"をクリックします。
    image-png-Jul-20-2022-12-43-15-77-PM
     
  14.  新しいシークレットが作成されます。Client Secretの値は、後でOpenID登録管理ポータルで必要になるのでメモしておいてください。
    image-png-Jul-20-2022-12-45-24-84-PM
  15.  API permissionに移動し、「User.Read」権限がすでに追加されていることを確認します。 
    image-png-Jul-20-2022-12-49-06-67-PM
  16. App Registration の最後のステップでは、これらのメモを取る必要のあるOverviewに移動します:

    Application (client) ID 
    image-png-Jul-20-2022-12-52-42-09-PM


    Endpoint without "/.well-known/openid-configuration" suffix 
    image-png-Jul-20-2022-12-54-29-92-PM


  17.  最後に、OpenID 統合のために作成したEnterprise Application の"Users and groups" にユーザーまたはグループを追加する必要があります。これにより、これらのユーザーはSafous ZTNA User Portal にログインできます。 

    image-png-Jul-20-2022-12-59-52-93-PM
    image-png-Jul-20-2022-01-00-24-30-PM
  18.  これでAzure AD に必要なすべての構成設定が完了しました。 


Safous ZTNA テナント構成

  1. https://portal.safous.comにログインします。
  2. Settingsタブ> ZTNA に移動します。
  3. Configurationsで、Identity Provider を選択します。
  4.  統合されたID プロバイダのリストが開きます。デフォルトではローカルのみです。
    image-png-Apr-14-2022-05-29-35-66-AM
  5.  New IDPをクリックして画面を展開します。
    image-png-Apr-14-2022-05-33-36-41-AM
     
  6.  名前を入力し、ステータスが有効(緑色)であることを確認します。 
    image-png-Apr-14-2022-02-58-20-09-PM

  7.  IDプロバイダ設定のOpenID を選択していることを確認します。 
    image-png-Jul-20-2022-11-18-26-81-AM

  8. 有効にするOpenID スコープを選択して決定する必要があります。以下はこのオプションに関する情報です:
      • openid (必須: アプリケーションがOIDCを使用してユーザーの身元を確認する意向であることを示すため)
      • profile (ユーザ名でメールをパーソナライズできるようにするため)
      • email (ウェルカムメールを送る場所)
        image-png-Jul-20-2022-11-22-45-92-AM

    明確でない場合は、すべてのオプションにチェックを入れることを強くお勧めします。

  9. 前にEndpoint でメモを取っておいたAzure ADのOpenID Issuer を入力します。
    image-png-Jul-20-2022-01-03-38-08-PM 
  10.  Name Attribute には"name" を入力するだけです。 
    image-png-Jul-20-2022-01-03-56-80-PM
  11.  前にApplication (client) ID でメモを取っておいたAzure AD のClient IDを入力します。 
    image-png-Jul-20-2022-01-06-13-99-PM
  12.  新しく作成したClient Secretで前にメモを取ったAzure AD のClient Secretを入力します。 
    image-png-Jul-20-2022-01-06-43-77-PM
  13. その他のSafous ZTNA OpenID 設定については、こちらを参照してください。
  14.  設定が完了したら、"Save"をクリックします。 
    image-png-Jul-20-2022-01-10-10-99-PM
  15.  統合した IDP のプラス(+)をクリックして、 "Redirect URI"が Azure AD で設定したものと同じかどうか再確認します。
    image-png-Jul-20-2022-01-11-51-49-PM
    image-png-Jul-20-2022-01-12-43-71-PM
  16.  "Redirect URI"がまだ同じであれば、そのままでも良いですが、そうでない場合は、Azure ADの1つを変更する必要があります。
  17.  すべてが正しく設定されていれば、ユーザポータルhttps://users.<xxxx>.ztna.safous.com にログインし、"With IdP" にチェックを入れると、OpenID 設定が表示されます。 
    image-png-Apr-14-2022-06-08-13-26-AM   image-png-Jul-20-2022-11-28-34-80-AM