よくあるご質問 >外部システム連携オプション >外部連携(SSO) >Azure AD(Azure Active Directory)とのSAML連携設定をするには
FAQ Azure AD(Azure Active Directory)とのSAML連携設定をするには
-
ご注意
・ご利用には事前にシングルサインオンオプション(SAML2.0)のお申込みが必要です。
オプションのお申込みは、サポートチャットまたはsales@ingage.jpまでご連絡ください。
・設定するには、Re:lationの[アカウントオーナ]の権限が必要です。こちらでは以下項目を説明しています。
・Re:lationのサービスプロバイダ情報を確認する
・Azure ADでシングルサインオン(SAML認証)の設定をする
・Azure ADでRe:lationにユーザの割り当てをする
・Azure ADの情報をRe:lationに入力する
・Re:lationにAzure ADでログインする
・はじめてRe:lationにログインする場合設定する前に設定はRe:lationとAzure ADにて行います。
そのため事前にブラウザにて両方の画面を開いておくと便利です。Re:lationのサービスプロバイダ情報を確認するRe:lationのサービスプロバイダ情報は、Re:lation画面左下のツールアイコンより[システム設定] >[ログイン認証]>[SAML/SCIM]から確認できます。
ここで確認した情報を、Azure ADに入力します。Azure ADでシングルサインオン(SAML認証)の設定をするAzure ADのセットアップをします。
1.Azure ADにログインします。
2.[Azure Active Directory の管理]の[ビュー]をクリックします。
3.[エンタープライズアプリケーション]をクリックします。
4.[新しいアプリケーション]をクリックします。
5.[独自のアプリケーションの作成]をクリック>「お使いのアプリの名前は何ですか?」に『Re:lation』と入力し、
「ギャラリーに見つからないその他のアプリケーションを統合します (ギャラリー以外)」を選択したのちに[作成]をします。
6.アプリ作成後、「2.シングルサインオンの設定」の[作業の開始]をクリックします。
7.[SAML]をクリックします。
8.「SAML によるシングル サインオンのセットアップ」>[基本的な SAML 構成]の[編集]をクリックします。
9.「識別子の追加」と「応答 URL の追加」をそれぞれクリックします。
10.Re:lation上のサービスプロバイダ情報をそれぞれ入力し、左上の[保存]をクリックします。Re:lation
Azure AD
SP識別子
Re:lation上で確認した
応答URL (Assertion Consumer Service URL)応答URL (Assertion Consumer Service URL)
Re:lation上で確認したSP識別子 シングルサインオンURL
識別子 (エンティティ ID)
11.「正常に保存されました」と表示されます。
12.右上の[×]ボタンで閉じます。Azure ADでRe:lationにユーザの割り当てをする
Azure ADにて、Re:lationを使用するユーザを割り当てます。
1.エンタープライズアプリケーション>すべてのアプリ>[Re:lation]より、「1。ユーザーとグループの割り当て」の[ユーザーとグループの割り当て]をクリックします。
または、エンタープライズアプリケーション>すべてのアプリ>[Re:lation]の左サイドバーより、[ユーザーとグループ]をクリックします。
2.[ユーザーまたはグループの追加]をクリックします。
3.以下手順でユーザを選択します。
①「選択されていません」という青色の文字をクリックします。
②選択するユーザを検索します。
③選択したいユーザをクリックします。
④[選択]をクリックします。
4.[割り当て]をクリックします。
5.ユーザが割り当てられます。Azure ADの情報をRe:lationに入力する
Re:lation側の設定をします。
1.[エンタープライズアプリケーション>すべてのアプリ>[Re:lation]>「2.シングルサインオンの設定」の[作業の開始]をクリックします。
2.[SAML 証明書]より、「証明書 (Base64)」をダウンロードします。
3.[Re:lation のセットアップ]より、以下項目を控えておきます。
・ログイン URL
・Azure AD 識別子
4.Re:lation画面左下のツールアイコンより[システム設定] >[ログイン認証]>[SAML/SCIM]を選択し、画面右側の鉛筆アイコンを押下します。
5.「モード」は[移行モード]を選択のうえ、Azure ADの情報をそれぞれ入力し、[保存]をクリックします。Azure AD上の表記 Re:lation上の表記 ログインURL
ログインURL
Azure AD識別子
IdP識別子
証明書 (Base64)
証明書
※証明書はダウンロードしたファイルをメモ帳などのテキストエディタで開き、テキストエディタよりコピーしRe:lationに全文を貼り付けます。
※モードは設定が完了するまでは、[移行モード](SAMLとID/パスワードのいずれでもログインが可能)にすることを推奨します。
動作の確認が取れたのちに[SAML SSOのみ有効]へ変更ください。
以上でAzure ADおよびRe:lationの設定は完了です。Re:lationにAzure ADでログインする設定が完了すると、Re:lationログイン画面では[SAML SSOでログイン]のボタンが表示されます。
はじめてRe:lationにログインする場合Re:lationに登録が無いユーザが初めてRe:lationにアクセスした場合、[SAML SSOでログイン]をクリックすると下図のようにユーザ作成画面が表示されます。
※姓・名や部署名を反映する場合、Azure ADでカスタムアトリビュートの設定が必要です。
1.エンタープライズアプリケーション>すべてのアプリ>[Re:lation]>[シングルサインオンの設定]>「属性とクレーム」の、[編集]をクリックします。
2.[新しいクレームの追加]をクリックします。
3.[名前]にRe:lationの属性を入力し、[ソース属性]より、対応するAzure ADの属性を選択し、[保存]します。
Re:lationの属性と対応するAzure ADの属性は以下の通りです。Re:lation([名前]に入力)
Azure AD([ソース属性]より選択)
姓
last_name
user.surname
名
first_name
user.givenname
社員番号
emp_no
user.employeeid
部署名
dept_name
user.department
例)last_name(姓)の場合それぞれクレームを追加すると、ユーザー新規登録時に姓などが反映されます。
管理番号:15193 / 作成日時: