この手順を使用して、ユーザー認証のために Microsoft Azure Active Directory (Azure AD) との SAML 統合を有効にします。

前提条件

重要: SAML を使用してログインできない場合は、 Carbon Black Cloud の 2 つのブラウザを開きます。ログインできない場合は、2 番目のブラウザに戻り、SAML を無効にします。設定を確認するか Carbon Black のテクニカル サポートにお問い合わせください。
SAML および Azure AD の詳細については、公式の Microsoft のドキュメントを参照してください。

手順

  1. 2 つの Carbon Black Cloud ブラウザのそれぞれで、左側のナビゲーション ペインで [設定] > [ユーザー] の順にクリックします。
  2. 2 つの Carbon Black Cloud ブラウザのそれぞれで、SAML 構成に [有効] を選択します。
    SAML 構成ウィンドウが表示されます。
    注: 次のフィールドをメモします。
    • 対象ユーザー
    • 受信者
    • ACS (コンシューマー) URL バリデーター
    • ACS (コンシューマー) URL
  3. 両方のブラウザで SAML 構成ウィンドウを開いたままにし、3 つのフィールドを空白のままにします。
    • シングル サインオン URL (HTTP Redirect Binding)
    • E メール属性名
    • X509 属性名
  4. 開いているブラウザ ウィンドウのいずれかで残りの手順を実行します。
    1. Azure AD の構成を参照してください。
    2. Azure AD コンソールから収集される値を入力を参照してください。
    3. Azure AD での新しいユーザーの追加を参照してください。

Azure AD の構成

この手順を使用して、SAML シングル サインオン用の Carbon Black Cloud コンソールと統合するように Azure AD を構成します。

手順

  1. 新しいタブで、portal.azure.comに移動し、Azure AD を開きます。
  2. [Enterprise アプリケーション] > [新しいアプリケーション] > [自身のアプリケーションの作成] の順にクリックします。
  3. 表示されるペインで、次の手順を実行します。
    1. 名前を指定して、アプリケーションを識別します。
    2. [ギャラリー以外]のアプリケーションのオプション選択します。
    3. アプリケーションを作成します。
  4. 結果の画面で、[シングル サインオン] を選択します。
  5. シングル サインオン方法として [SAML] を選択します。表示される新しいウィンドウで、SAML 構成の詳細を入力します。
    1. [基本 SAML 構成] セクションで [編集] をクリックします。
    2. [基本 SAML 構成] セクションで [編集] をクリックします。
    3. Carbon Black Cloud コンソール SAML 構成ウィンドウから [対象ユーザー URL] をコピーします。
      [SAML 構成] 画面の対象ユーザー URL。
    4. 必須の [識別子] および [応答 URL] フィールドに [対象ユーザー URL] を入力します。
      [識別子] 必須フィールドと [応答 URL] 必須フィールド。
    5. [属性と要求] セクションで、要求値が user.mail のデフォルトの要求行があることを確認します。
      [属性と要求] 画面。
    6. [編集] をクリックして [属性と要求] 画面を開きます。要求名をコピーし、後で使用するために保存します。
      [属性と要求] 画面の要求名
      注: 要求値が user.mail の要求がない場合は、 [編集] > [新しい要求の追加] を選択し、任意のクレーム名と user.mail の要求値を指定して要求を作成します。後で使用するため要求名を保存します。
    7. SAML 構成の [Carbon Black Cloud の設定] 画面に戻ります。[ログイン URL] をコピーして保存します。
      ログイン URL。
    8. SAML 証明書を Base64 形式でダウンロードします。
      SAML 証明書リストの下にある Base 64 証明書をダウンロードします。

次のタスク

Azure AD コンソールから収集される値を入力を参照してください。

Azure AD コンソールから収集される値を入力

この手順を使用して、Azure AD コンソールから Carbon Black Cloud コンソールの SAML 構成ウィンドウに SAML 構成データを転送します。

前提条件

Azure AD の構成を参照してください。

手順

  1. Carbon Black Cloud コンソールの SAML 構成ウィンドウで、 ログイン URL を [シングル サインオン URL(HTTP リダイレクト バインド)] フィールドにコピーします。
  2. user.mail の要求値に対応する要求名を [E メール属性名] フィールドにコピーします。
  3. ダウンロードした証明書ファイルから、SAML 証明書を [X509 証明書] フィールドにコピーします。
    注: Carbon Black Cloud は begin-cert ヘッダーと end-cert フッターが自動的に削除されます。
  4. Carbon Black Cloud SAML 構成ウィンドウで、[保存] をクリックします。新しいブラウザのタブまたはウィンドウを開き、SAML 認証が正しく機能することを確認します。

次のタスク

Azure AD での新しいユーザーの追加を参照してください。

Azure AD での新しいユーザーの追加

この手順を使用して、Azure AD に新しいユーザーを追加します。

前提条件

Azure AD コンソールから収集される値を入力」を参照してください。

手順

  1. Azure AD の [Enterprise アプリケーション] に移動します。
  2. Azure AD の構成 で SAML を構成するために作成したギャラリー以外のアプリケーションを選択します。
  3. [管理] ヘッダーの下にある [ユーザーとグループ] をクリックします。
  4. [ユーザー/グループの追加] をクリックします。結果の画面の [ユーザー] ヘッダーで、このアプリケーションにアクセスする Azure AD ユーザーを選択します。デフォルトでは、[選択なし] と表示されます。
    注: Carbon Black Cloud にアクセスするには、Azure AD の各ユーザーがメール アドレスを指定する必要があります。Azure AD でユーザーを作成する場合は、メール アドレス フィールドが入力され保存されていることを確認します。
  5. Carbon Black Cloud で、[設定] > [ユーザー] の順に移動します。Azure AD で指定されているとおりに、正確にユーザーのメール アドレスを入力します。
    注: パスワード ウィンドウが表示される場合は、無視してかまいません。

結果

ユーザーは、Azure AD 認証情報を使用して、指定したロールで Carbon Black Cloud にログインできます。ユーザーは、 Carbon Black Cloud にログインするときに、[SSO 経由でログイン] オプションを選択する必要があります。