Microsoft Entra IDとの連携

Microsoft Entra ID（AzureAD）をIdP としてSAML 認証を行うための設定例を説明します。

注記

Accel-Mart Quick上の操作は、「Accel-Mart Quick システム管理者」ロールを持つユーザで実施してください。

前提条件

• Accel-Mart Quick に連携対象のユーザが存在すること
• AzureAD のディレクトリ作成が完了していること
• 作成したディレクトリにユーザが存在すること

設定方法

AzureAD に Accel-Mart Quick の情報を登録する

AzureAD の管理画面から Accel-Mart Quick をアプリケーションとして登録します。

1. 管理画面の「Azure Active Directory」→「エンタープライズ アプリケーション」→「新しいアプリケーション」をクリックします。

   

2. 「独自のアプリケーションの作成」をクリックします。

   

3. アプリケーションの名前を入力します（本書では saml-test と名前を入力）。

4. ラジオボタン「アプリケーションでどのような操作を行いたいですか？」の「ギャラリーに見つからないその他のアプリケーションを統合します （ギャラリー以外）」を選択します。

   

5. 作成ボタンをクリックします。

登録したアプリケーションにユーザを割り当て

1. 「Azure Active Directory」→「エンタープライズ アプリケーション」→登録したアプリケーションを選択→メニューより「ユーザとグループ」をクリックします。

2. 「ユーザまたはグループの追加」ボタンから追加したいユーザを選択します。

   

3. 「選択されていません」と表示されている箇所をクリックし、割り当てたいユーザを検索し選択します。

   

4. 選択したユーザがいる状態で右下の「選択」ボタンをクリックし、左下の「割り当て」ボタンをクリックします。

IdPメタデータをダウンロードする

1. 登録したアプリケーションの管理メニューより「シングル サインオン」を選択します。 シングル サインオン方式は SAML を選択します。

   

2. 「基本的な SAML 構成」の編集ボタンをクリックします。

   

3. 入力項目「識別子 （エンティティ ID）」と「応答 URL (Assertion Consumer Service URL）」に仮の値を入力して、保存ボタンをクリックします（本書ではどちらも https://amq-saml-test と入力）。

   

   備考

   入力項目「識別子 （エンティティ ID）」と「応答 URL （Assertion Consumer Service URL）」の正式な値は、「 AzureAD にメタデータをアップロード 」で設定されます。

4. 「SAML 証明書」の項目「フェデレーション メタデータ XML」をダウンロードします。

   

Accel-Mart Quick に AzureAD を登録

1. 「Accel-Mart Quick システム管理者」ロールを持つユーザでログインし、「管理」→「外部システム連携設定」→「SAML認証設定」→「IdP一覧」をクリックします。

2. 「新規登録」ボタンをクリックします。

3. 下記を参考に必要な項目を入力します。

   項目名	設定値
   状態	有効
   IdP名	任意の値
   IdPメタデータ	AzureAD からダウンロードしたフェデレーション メタデータの内容

   

   備考

   「ログインボタン設定」や「高度な設定」の設定を行う場合は「Accel-Mart QuickにIdPの情報を設定する」を参考に各項目の設定を行ってください。

4. 「新規登録」ボタンをクリックします。

Accel-Mart Quick のメタデータをダウンロード

IdPを新規登録すると、「IdP一覧」画面に登録したIdPが表示されます。
「SPメタデータダウンロード」のアイコンをクリックし、SPメタデータをダウンロードしてください。

Accel-Mart Quick ユーザとAzureAD ユーザをマッピング

1. 「Accel-Mart Quick システム管理者」ロールを持つユーザでログインし、「管理」→「外部システム連携設定」→「SAML認証設定」→「SAMLユーザマッピング」をクリックします。

2. 「新規作成」ボタンをクリックし、以下のように設定し登録します。

   項目名	設定値
   IdPユーザ	AzureAD でアプリケーションに割り当てたユーザのアドレス
   ユーザ	Accel-Mart Quick で連携させたいユーザのユーザコード

   

AzureAD にメタデータをアップロード

1. AzureAD の管理画面から「Azure Active Directory」→「エンタープライズ アプリケーション」 で 「AzureAD に Accel-Mart Quick の情報を登録する」 で設定したアプリケーションを検索します。

2. 登録したアプリケーションの管理メニューより「シングル サインオン」を選択します。

3. 「メタデータ ファイルをアップロードする」を選択し、ダウンロードした Accel-Mart Quick のメタデータを追加し保存します。

   

   注意

   一連の設定が完了したら AzureAD からサインアウトしてください。認証時にエラーが発生するためです。

AzureAD のユーザで Accel-Mart Quick にログイン

上記設定が完了すると、 Accel-Mart Quick の「一般ユーザログイン」画面に SAML 認証を行うボタンが表示されます。
ボタンをクリックすると、AzureAD の認証画面に遷移します。アプリケーションに割り当てを行ったユーザの認証情報を入力します。
認証に成功すると Accel-Mart Quick にログインできます。

注意事項

AzureAD に送信するリクエストの署名について

Accel-Mart Quick からAzureAD に送信するリクエストに署名してもエラーが発生することはありませんが、署名チェックは行われずに無視されます。

Azure AD 側で署名の設定を行った場合は、 Accel-Mart Quick 側でも「署名する」を選択してください。

Accel-Mart Quick のメタデータが変更された場合

IdPの設定を更新して Accel-Mart Quick のメタデータに変更があった場合は AzureAD でメタデータのアップロードを再度実行する必要があります。

シングルログアウトについて

シングルログアウトを有効にするには以下の手順を行います。

1. Accel-Mart Quick の「IdP一覧」から登録したIdPの「IdP更新」画面を表示します。

2. 「高度な設定」のシングルログアウトのラジオボタンを「有効」に設定します。

3. 更新ボタンをクリックします。

   

4. 作成したSPメタデータをダウンロードします。

5. AzureADにアクセスし、「Azure Active Directory」→「エンタープライズ アプリケーション」→登録したアプリケーションを選択→メニューより「シングルサインオン」をクリックします。

6. 「基本的な SAML 構成」の編集ボタンをクリックします。

7. 入力項目「ログアウト URL」に、ダウンロードしたSPメタデータ内のBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"属性をもつSingleLogoutService要素のLocation属性のURL を設定してください。

   

8. 「保存」をクリックします。