Microsoft Azure Active Directory (AzureAD) でシングル サインオン (SSO) のために OpenID Connect (OIDC) ベースのアプリケーションをセットアップするには、次の手順を実行します。

前提条件

ログインに必要な AzureAD アカウントがあることを確認します。

手順

  1. Microsoft Azure アカウントに管理者ユーザーとしてログインします。
    [Microsoft Azure] ホーム画面が表示されます。
  2. 新しいアプリケーションを作成するには、次の手順を実行します。
    1. [Azure Active Directory] サービスを検索して選択します。
    2. [アプリの登録 (App registration)] > [新規登録 (New registration)] の順に移動します。
      [アプリケーションの登録 (Register an application)] 画面が表示されます。
    3. [名前 (Name)] フィールドに、SD-WAN Orchestrator アプリケーションの名前を入力します。
    4. [リダイレクト URL (Redirect URL)] フィールドに、SD-WAN Orchestrator アプリケーションがコールバック エンドポイントとして使用するリダイレクト URL を入力します。
      SD-WAN Orchestrator アプリケーションの [認証の構成 (Configure Authentication)] 画面の下部にリダイレクト URL リンクがあります。 SD-WAN Orchestrator リダイレクト URL は https://<Orchestrator URL>/login/ssologin/openidCallback の形式にするのが理想的です。
    5. [登録 (Register)] をクリックします。
      SD-WAN Orchestrator アプリケーションが登録され、 [すべてのアプリケーション (All applications)] および [所有しているアプリケーション (Owned applications)] タブに表示されます。 SD-WAN Orchestrator での SSO の構成時に使用されるクライアント ID/アプリケーション ID をメモしておきます。
    6. [エンドポイント (Endpoints)] をクリックし、SD-WAN Orchestrator での SSO 構成時に使用される既知の OIDC 構成 URL をコピーします。
    7. SD-WAN Orchestrator アプリケーションのクライアント シークレットを作成するには、[所有しているアプリケーション (Owned applications)] タブで、SD-WAN Orchestrator アプリケーションをクリックします。
    8. [証明書とシークレット (Certificates & secrets)] > [新しいクライアント シークレット (New client secret)] の順に移動します。
      [クライアント シークレットの追加 (Add client secret)] 画面が表示されます。
    9. シークレットの説明や有効期限の値などの詳細を入力して、[追加 (Add)] をクリックします。
      アプリケーションのクライアント シークレットが作成されます。 SD-WAN Orchestrator での SSO の構成時に使用される新しいクライアント シークレットの値をメモしておきます。
    10. SD-WAN Orchestrator アプリケーションの権限を構成するには、SD-WAN Orchestrator アプリケーションをクリックして [API のアクセス許可 (API permissions)] > [アクセス許可の追加 (Add a permission)] の順に移動します。
      [API アクセス許可の要求 (Request API permissions)] 画面が表示されます。
    11. [Microsoft Graph] をクリックして、アプリケーションの権限のタイプとして [アプリケーションのアクセス許可 (Application permissions)] を選択します。
    12. [アクセス許可の選択 (Select permissions)] で、[ディレクトリ (Directory)] ドロップダウン メニューから [Directory.Read.All] を選択し、[ユーザー (User)] ドロップダウン メニューから [User.Read.All] を選択します。
    13. [アクセス許可の追加 (Add permissions)] をクリックします。
    14. マニフェストにロールを追加して保存するには、SD-WAN Orchestrator アプリケーションをクリックし、アプリケーションの [概要 (Overview)] 画面で、[マニフェスト (Manifest)] をクリックします。
      Web ベースのマニフェスト エディタが開き、ポータル内でマニフェストを編集できます。必要に応じて、 [ダウンロード (Download)] を選択し、マニフェストをローカルで編集してから、 [アップロード (Upload)] を使用してアプリケーションに再適用することもできます。
    15. マニフェストで、appRoles アレイを検索し、次の例に示すように 1 つ以上のロール オブジェクトを追加して、[保存 (Save)] をクリックします。
      ロール オブジェクトのサンプル
      {
                  "allowedMemberTypes": [
                      "User"
                  ],
                  "description": "Standard Administrator who will have sufficient privilege to manage resource",
                  "displayName": "Standard Admin",
                  "id": "18fcaa1a-853f-426d-9a25-ddd7ca7145c1",
                  "isEnabled": true,
                  "lang": null,
                  "origin": "Application",
                  "value": "standard"
              },
              {
                  "allowedMemberTypes": [
                      "User"
                  ],
                  "description": "Super Admin who will have the full privilege on SD-WAN Orchestrator",
                  "displayName": "Super Admin",
                  "id": "cd1d0438-56c8-4c22-adc5-2dcfbf6dee75",
                  "isEnabled": true,
                  "lang": null,
                  "origin": "Application",
                  "value": "super"
              } 
      
      注: id は、新たに生成された GUID 値に設定してください。
  3. グループとユーザーを SD-WAN Orchestrator アプリケーションに割り当てるには、次の手順を実行します。
    1. [Azure Active Directory] > [エンタープライズ アプリケーション (Enterprise applications)] の順に移動します。
    2. SD-WAN Orchestrator アプリケーションを検索して選択します。
    3. [ユーザーとグループ (Users and groups)] をクリックして、ユーザーとグループをアプリケーションに割り当てます。
    4. [送信 (Submit)] をクリックします。

結果

これで、AzureAD で SSO のために OIDC ベースのアプリケーションをセットアップする手順が完了しました。

次のタスク

SD-WAN Orchestrator でシングル サインオンを構成します。