シングルサインオン用の Azure Active Directory の設定

Microsoft Azure Active Directory (AzureAD) でシングルサインオン (SSO) のために OpenID Connect (OIDC) ベースのアプリケーションをセットアップするには、次の手順を実行します。

前提条件

ログインに必要な AzureAD アカウントがあることを確認します。

手順

Microsoft Azure アカウントに管理者ユーザーとしてログインします。
[Microsoft Azure] ホーム画面が表示されます。
新しいアプリケーションを作成するには、次の手順を実行します。
1. [Azure Active Directory] サービスを検索して選択します。
2. [アプリの登録 (App registration)] > [新規登録 (New registration)] の順に移動します。
  [アプリケーションの登録 (Register an application)] 画面が表示されます。
3. [名前 (Name)] フィールドに、SD-WAN Orchestrator アプリケーションの名前を入力します。
4. [リダイレクト URL (Redirect URL)] フィールドに、SD-WAN Orchestrator アプリケーションがコールバックエンドポイントとして使用するリダイレクト URL を入力します。
  SD-WAN Orchestrator アプリケーションの [認証の設定 (Configure Authentication)] 画面の下部にリダイレクト URL リンクがあります。 SD-WAN Orchestrator リダイレクト URL は https://<Orchestrator URL>/login/ssologin/openidCallback の形式にするのが理想的です。
5. [登録 (Register)] をクリックします。
  SD-WAN Orchestrator アプリケーションが登録され、 [すべてのアプリケーション (All applications)] および [所有しているアプリケーション (Owned applications)] タブに表示されます。 SD-WAN Orchestrator での SSO の設定時に使用されるクライアント ID/アプリケーション ID をメモしておきます。
6. [エンドポイント (Endpoints)] をクリックし、SD-WAN Orchestrator での SSO 設定時に使用される既知の OIDC 設定 URL をコピーします。
7. SD-WAN Orchestrator アプリケーションのクライアントシークレットを作成するには、[所有しているアプリケーション (Owned applications)] タブで、SD-WAN Orchestrator アプリケーションをクリックします。
8. [証明書とシークレット (Certificates & secrets)] > [新しいクライアントシークレット (New client secret)] の順に移動します。
  [クライアントシークレットの追加 (Add client secret)] 画面が表示されます。
9. シークレットの説明や有効期限の値などの詳細を入力して、[追加 (Add)] をクリックします。
  アプリケーションのクライアントシークレットが作成されます。 SD-WAN Orchestrator での SSO の設定時に使用される新しいクライアントシークレットの値をメモしておきます。
10. SD-WAN Orchestrator アプリケーションの権限を設定するには、SD-WAN Orchestrator アプリケーションをクリックして [API のアクセス許可 (API permissions)] > [アクセス許可の追加 (Add a permission)] の順に移動します。
  [API アクセス許可の要求 (Request API permissions)] 画面が表示されます。
11. [Microsoft Graph] をクリックして、アプリケーションの権限のタイプとして [アプリケーションのアクセス許可 (Application permissions)] を選択します。
12. [アクセス許可の選択 (Select permissions)] で、[ディレクトリ (Directory)] ドロップダウンメニューから [Directory.Read.All] を選択し、[ユーザー (User)] ドロップダウンメニューから [User.Read.All] を選択します。
13. [アクセス許可の追加 (Add permissions)] をクリックします。
14. マニフェストにロールを追加して保存するには、SD-WAN Orchestrator アプリケーションをクリックし、アプリケーションの [概要 (Overview)] 画面で、[マニフェスト (Manifest)] をクリックします。
  Web ベースのマニフェストエディタが開き、ポータル内でマニフェストを編集できます。必要に応じて、 [ダウンロード (Download)] を選択し、マニフェストをローカルで編集してから、 [アップロード (Upload)] を使用してアプリケーションに再適用することもできます。
15. マニフェストで、appRoles アレイを検索し、次の例に示すように 1 つ以上のロールオブジェクトを追加して、[保存 (Save)] をクリックします。
  
  注：ロールを正しくマッピングするには、 appRoles からの値プロパティを、 [認証 (Authentication)] タブにある [ロールマップ (Role Map)] テーブルの [ID プロバイダロール名 (Identity Provider Role Name)] 列に追加する必要があります。
  ロールオブジェクトのサンプル
```
{
            "allowedMemberTypes": [
                "User"
            ],
            "description": "Standard Administrator who will have sufficient privilege to manage resource",
            "displayName": "Standard Admin",
            "id": "18fcaa1a-853f-426d-9a25-ddd7ca7145c1",
            "isEnabled": true,
            "lang": null,
            "origin": "Application",
            "value": "standard"
        },
        {
            "allowedMemberTypes": [
                "User"
            ],
            "description": "Super Admin who will have the full privilege on SD-WAN Orchestrator",
            "displayName": "Super Admin",
            "id": "cd1d0438-56c8-4c22-adc5-2dcfbf6dee75",
            "isEnabled": true,
            "lang": null,
            "origin": "Application",
            "value": "superuser"
        } 
```
  注： id は、新たに生成されたグローバル一意識別子 (GUID) の値に設定してください。GUID は、Web ベースのツール（ https://www.guidgen.com/ など）を使用してオンラインで生成することも、次のコマンドを実行して生成することもできます。
  - Linux/OSX - uuidgen
  - Windows - powershell [guid]::NewGuid()
グループとユーザーを SD-WAN Orchestrator アプリケーションに割り当てるには、次の手順を実行します。
1. [Azure Active Directory] > [エンタープライズアプリケーション (Enterprise applications)] の順に移動します。
2. SD-WAN Orchestrator アプリケーションを検索して選択します。
3. [ユーザーとグループ (Users and groups)] をクリックして、ユーザーとグループをアプリケーションに割り当てます。
4. [送信 (Submit)] をクリックします。

結果

これで、AzureAD で SSO のために OIDC ベースのアプリケーションをセットアップする手順が完了しました。

次のタスク

SD-WAN Orchestrator でシングルサインオンを設定します。