Skip to main content

 

 

 

 
Language:
 
従来のWebアプリとリアクティブWebアプリにのみ適用されます
Service Studioバージョン :
 
 
OutSystems

Azure AD認証を構成する

Platform Server Release Jul.2019 CP2(11.0.542.0)以降が必要です。

Azure Active Directory(AD)認証方式の構成はSAML 2.0の構成とよく似ていますが、この構成では「クレーム」の設定にAzure ADのデフォルト値がすでに入力されています。

また、メタデータを含むファイルをアップロード/ダウンロードすることによってAzure AD認証の構成の設定を入力することができるため、人的ミスを防ぐことができます。

現在のSAML 2.0実装の制限をご覧ください。これらはAzure AD認証方式でも適用されます。

Azure Active Directoryの構成

Azure AD認証を構成するには、以下の大まかな手順を実行する必要があります。

  1. Usersアプリで全体的なAzure ADの設定を構成する
  2. Azure ADポータルでアプリケーションを作成して構成する
  3. Usersアプリで構成を完了する
  4. Azureアプリケーションにユーザーまたはグループを割り当てる
  5. 構成をテストする
  6. Usersアプリでユーザーロールを構成する
  7. 最終的な確認と構成を実行する

以下のセクションでこれらの手順の詳細について説明します。

Usersアプリで全体的なAzure ADの設定を構成する

  1. Usersアプリケーションで、右サイドバーにある[Configure Authentication]をクリックします。

  2. Authentication]で[Azure AD]を選択します(A)。

    Usersアプリでの認証の構成

  3. 1. Service Provider Connector Settings]で設定値を確認します(B)。
    必要なオプションはデフォルト値として設定されており、自動生成されたキーストアも提供されます。

  4. Download SP Metadata XML]をクリックし、サービスプロバイダのメタデータファイルをダウンロードします。

    Usersアプリでのサービスプロバイダのメタデータファイルのダウンロード

Azure ADポータルでアプリケーションを作成および構成する

Azure側で新しいエンタープライズアプリケーションをテンプレートから作成し、SAMLサインオンを構成します。以下の手順を実行します。

  1. Azure Active Directoryポータルにサインインします。

  2. 左ナビゲーションメニューの[Enterprise applications]をクリックします。

  3. New application]をクリックして独自のアプリケーションを作成します。

    New applicationのクリック

  4. Azure ADアプリギャラリーでOutSystems Azure ADアプリケーションを検索し(A)、検索結果からアプリケーションを選択します(B)。

    OutSystems Azure ADアプリケーションの検索

  5. ページの右側にサイドバーが開き、オプションが表示されます。[Name]フィールドでAzureアプリケーションの名前を定義し(C)、[Add]をクリックします(D)。

    Azureでアプリケーションが作成されるまで数秒間待ちます。

    Azure ADアプリケーションの追加

  6. アプリが作成されたら、左ナビゲーションメニューの[Single sign-on]をクリックして[SAML]シングルサインオン方式を選択します。

    SAMLシングルサインオンの選択

  7. Upload metadata file]をクリックして、UsersアプリからダウンロードしたXMLメタデータファイルをアップロードします。

    Azure ADポータルでのメタデータファイルのアップロード

  8. XMLメタデータファイルを選択して[Add]をクリックします。

  9. ページの右側にサイドバーが開き、オプションが表示されます。[Save]をクリックします。

    メタデータオプションの保存

    Azureアプリケーションに特有の1つの構成は、Usersアプリの設定値によって変わります。

    Usersアプリに戻り、[1. Service Provider Connector Settings]セクションまでスクロールして、[Show Advanced Options]をクリックします。

    UsersアプリのAccept Only Signed Login Responsesオプション

    Accept Only Signed Login Responses]オプションが有効になっている場合、以下の手順を実行して対応するAzureのオプションを有効にします。

    a)Azureポータルで[SAML Signing Certificate]の右にある鉛筆アイコンをクリックして設定を編集します。

    Azure ADポータルでのSAML Signing Certificateの設定の編集

    b)[Signing Option]ドロップダウンで[Sign SAML response and assertion]を選択します。

    Azure ADポータルでのSigning Optionの設定

    c)[Save]をクリックしてサイドウィンドウを閉じます。

  10. 対応する[Download]リンクをクリックして、フェデレーションのメタデータXMLファイルをダウンロードします。

    Azure ADポータルでのフェデレーションのメタデータファイルのダウンロード

Usersアプリで構成を完了する

Usersアプリケーションに戻り、前の手順でダウンロードしたXMLファイルをアップロードします。

  1. Configure Authentication]ページの[2. IdP Server Settings]セクションに移動します。

  2. Upload from IdP/Federation Metadata XML]をクリックします。

    Usersアプリでのメタデータファイルのアップロード

  3. AzureからダウンロードしたフェデレーションのメタデータXMLファイルを選択します。

  4. Save]をクリックします。

Azureアプリケーションにユーザーまたはグループを割り当てる

Azureポータルで、作成したAzureアプリケーションにユーザーまたはグループを割り当てます。

手順の詳細については、MicrosoftのドキュメントのAzureポータルでのアプリへのユーザーまたはグループの割り当てに関する説明をご覧ください。

構成をテストする

  1. 引き続きAzureポータルで、Azureアプリケーションのシングルサインオンの設定に戻ります。

    ヒント: この設定に戻るには、[Enterprise applications]をクリックし、アプリを検索して開き、左ナビゲーションメニューの[Single Sign-on]を選択します。

  2. Test]をクリックするとテストオプションが開きます。

    Azure ADポータルでのSAML構成のテスト

  3. ページの右側にサイドバーが表示されます。[Sign in as current user]をクリックします。

    Azure ADのSign in as current userボタンのクリック

  4. 前の「Azureアプリケーションにユーザーまたはグループを割り当てる」でAzureアプリケーションに関連付けたユーザーの資格情報を入力します。

認証が成功すると、ブラウザによってリダイレクトされてUsersアプリに戻り、画面を表示する権限がないことを示すエラーメッセージが表示されます。

UsersアプリでのInvalid Permissions(無効な権限)エラーの表示

これは、Azure AD認証のテストに使用したユーザーにOutSystemsのロールがまだ割り当てられていないために起こります。ユーザーがAzure AD認証を使用して初めてログインした後、Usersアプリでユーザーロールを付与することで、OutSystemsデータベース内にユーザーがすでに存在しているようにする必要があります。

認証に成功しなかった場合は、構成の設定をダブルチェックします。

Usersアプリでユーザーロールを構成する

現在、エンドユーザーにロールを付与するために必要な権限を持たないユーザーアカウントでログインしています。最初は管理者アカウントでログインする必要があります。

以下の手順を実行します。

  1. 現在のユーザーには必要なロールがないため、Usersアプリからログアウトします。

  2. 以下のURLを開きます。

    https://<サーバー名>/Users/Login.aspx

    この特定のURLを使用すると、現在構成されている外部認証方式(Azure AD)をスキップしてUsersアプリにログインできます。

  3. 管理者アカウントでログインします。

これで、ユーザーにOutSystemsのロールを付与するための権限が得られます。詳細については、「ロールをエンドユーザーに付与する」をご覧ください。

最終的な確認と構成を実行する

SAML 2.0認証を使用するときと同様に、最後に以下の2つのタスクを実行する必要があります。

  1. OutSystemsアプリケーションの認証フローが外部認証をすでにサポートしているかどうかを確認します。SAML 2.0認証方式での手順がAzure AD認証にも適用されます。

  2. リアクティブWebアプリでAzure AD認証を使用する場合は、Service Centerで[Single Sign-On Between App Types]の設定を有効にします

Azure AD認証に関する問題をトラブルシューティングする

Azure AD認証方式はSAML 2.0認証方式と非常に似ているため、同じ方法でトラブルシューティングを行うことができます。

  • Was this article helpful?