Skip to main content

 

 

 

 
Language:

 

 
従来のWebアプリとリアクティブWebアプリにのみ適用されます

 

 
 
OutSystems

Azure AD認証を構成する

Platform Server Release Jul.2019 CP2以降が必要です。

Azure Active Directory(AD)認証方式の構成はSAML 2.0の構成とよく似ていますが、この構成では「クレーム」の設定にAzure ADのデフォルト値がすでに入力されています。

また、メタデータを含むファイルをアップロード/ダウンロードすることによってAzure AD認証の構成の設定を入力することができるため、人的ミスを防ぐことができます。

現在のSAML 2.0実装の制限をご覧ください。これらはAzure AD認証方式でも適用されます。

Azure Active Directoryの構成

Azure AD認証を構成するには、以下の大まかな手順を実行する必要があります。

1.Usersアプリで全体的なAzure ADの設定を構成する 1.Azure ADポータルでアプリケーションを作成して構成する 1.Usersアプリで構成を完了する 1.Azureアプリケーションにユーザーまたはグループを割り当てる 1.構成をテストする 1.Usersアプリでユーザーロールを構成する 1.最終的な確認と構成を実行する

以下のセクションでこれらの手順の詳細について説明します。

Usersアプリで全体的なAzure ADの設定を構成する

1.Usersアプリケーションで、右サイドバーにある[Configure Authentication]をクリックします。

1.[Authentication]で[Azure AD]を選択します(A)。

![Usersアプリでの認証の構成](images/azuread-config-auth-usr.png)

1.[1. Service Provider Connector Settings]の設定値を確認します(B)。
必要なオプションはデフォルト値として設定されており、自動生成されたキーストアも提供されます。

1.[Download SP Metadata XML]をクリックし、サービスプロバイダのメタデータファイルをダウンロードします。

![Usersアプリでのサービスプロバイダのメタデータファイルのダウンロード](images/azuread-download-sp-metadata-usr.png)

Azure ADポータルでアプリケーションを作成および構成する

Azure側で新しいエンタープライズアプリケーションをテンプレートから作成し、SAMLサインオンを構成します。以下の手順を実行します。

  1. Azure Active Directoryポータルにサインインします。

1.左ナビゲーションメニューの[Enterprise applications]をクリックします。

1.[New application]をクリックして独自のアプリケーションを作成します。

![New applicationのクリック](images/azuread-new-application.png)

1.Azure ADアプリギャラリーでOutSystems Azure ADアプリケーションを検索し(A)、検索結果からアプリケーションを選択します(B)。

![OutSystems Azure ADアプリケーションの検索](images/azuread-search-application.png)

1.ページの右側にサイドバーが開き、オプションが表示されます。[Name]フィールドでAzureアプリケーションの名前を定義し(C)、[Add]をクリックします(D)。

Azureでアプリケーションが作成されるまで数秒間待ちます。

![Azure ADアプリケーションの追加](images/azuread-add-application.png)

1.アプリが作成されたら、左ナビゲーションメニューの[Single sign-on]をクリックして[SAML]シングルサインオン方式を選択します。

![SAMLシングルサインオンの選択](images/azuread-select-saml.png)

1.[Upload metadata file]をクリックして、UsersアプリからダウンロードしたXMLメタデータファイルをアップロードします。

![Azure ADポータルでのメタデータファイルのアップロード](images/azuread-upload-metadata.png)

1.XMLメタデータファイルを選択して[Add]をクリックします。

1.ページの右側にサイドバーが開き、オプションが表示されます。[Save]をクリックします。

![メタデータオプションの保存](images/azuread-save-metadata.png)

<div class="info" markdown="1">

Azureアプリケーションに特有の1つの構成は、Usersアプリの設定値によって変わります。

Usersアプリに戻り、[**1. Service Provider Connector Settings**]セクションまでスクロールして、[**Show Advanced Options**]をクリックします。

![UsersアプリのAccept Only Signed Login Responsesオプション](images/azuread-signed-login-responses-usr.png)

[**Accept Only Signed Login Responses**]オプションが**有効**になっている場合、以下の手順を実行して対応するAzureのオプションを有効にします。

a)Azureポータルで[**SAML Signing Certificate**]の右にある鉛筆アイコンをクリックして設定を編集します。

![Azure ADポータルでのSAML Signing Certificateの設定の編集](images/azure-saml-signing-certificate.png)

b)[**Signing Option**]ドロップダウンで[**Sign SAML response and assertion**]を選択します。

![Azure ADポータルでのSigning Optionの設定](images/azure-saml-signing-option.png)

c)[**Save**]をクリックしてサイドウィンドウを閉じます。

</div>
  1. 対応する[Download]リンクをクリックして、フェデレーションのメタデータXMLファイルをダウンロードします。

    Azure ADポータルでのフェデレーションのメタデータファイルのダウンロード

Usersアプリで構成を完了する

Usersアプリケーションに戻り、前の手順でダウンロードしたXMLファイルをアップロードします。

1.[Configure Authentication]ページの[2. IdP Server Settings]セクションに移動します。

1.[Upload from IdP/Federation Metadata XML]をクリックします。

![Usersアプリでのメタデータファイルのアップロード](images/azuread-upload-federation-metadata-usr.png)

1.AzureからダウンロードしたフェデレーションのメタデータXMLファイルを選択します。

1.[Save]をクリックします。

Azureアプリケーションにユーザーまたはグループを割り当てる

Azureポータルで、作成したAzureアプリケーションにユーザーまたはグループを割り当てます。

手順の詳細については、MicrosoftのドキュメントのAzureポータルでのアプリへのユーザーまたはグループの割り当てに関する説明をご覧ください。

構成をテストする

1.引き続きAzureポータルで、Azureアプリケーションのシングルサインオンの設定に戻ります。

**ヒント:** この設定に戻るには、[**Enterprise applications**]をクリックし、アプリを検索して開き、左ナビゲーションメニューの[**Single Sign-on**]を選択します。

1.[Test]をクリックするとテストオプションが開きます。

![Azure ADポータルでのSAML構成のテスト](images/azuread-test.png)

1.ページの右側にサイドバーが表示されます。[Sign in as current user]をクリックします。

![Azure ADのSign in as current userボタンのクリック](images/azuread-sign-in-as-current-user.png)

1.前の「Azureアプリケーションにユーザーまたはグループを割り当てる」でAzureアプリケーションに関連付けたユーザーの資格情報を入力します。

認証が成功すると、ブラウザによってリダイレクトされてUsersアプリに戻り、画面を表示する権限がないことを示すエラーメッセージが表示されます。

UsersアプリでのInvalid Permissions(無効な権限)エラーの表示

これは、Azure AD認証のテストに使用したユーザーにOutSystemsのロールがまだ割り当てられていないために起こります。ユーザーがAzure AD認証を使用して初めてログインした後、Usersアプリでユーザーロールを付与することで、OutSystemsデータベース内にユーザーがすでに存在しているようにする必要があります。

認証に成功しなかった場合は、構成の設定をダブルチェックします。

Usersアプリでユーザーロールを構成する

現在、エンドユーザーにロールを付与するために必要な権限を持たないユーザーアカウントでログインしています。最初は管理者アカウントでログインする必要があります。

以下の手順を実行します。

  1. 現在のユーザーには必要なロールがないため、Usersアプリからログアウトします。

1.以下のURLを開きます。

`https://<サーバー名>/Users/Login.aspx`

この特定のURLを使用すると、現在構成されている外部認証方式(Azure AD)をスキップしてUsersアプリにログインできます。

1.管理者アカウントでログインします。

これで、ユーザーにOutSystemsのロールを付与するための権限が得られます。詳細については、「ロールをエンドユーザーに付与する」をご覧ください。

最終的な確認と構成を実行する

SAML 2.0認証を使用するときと同様に、最後に以下の2つのタスクを実行する必要があります。

1.OutSystemsアプリケーションの認証フローが外部認証をすでにサポートしているかどうかを確認します。SAML 2.0認証方式での手順がAzure AD認証にも適用されます。

1.リアクティブWebアプリでAzure AD認証を使用する場合は、Service Centerで[Single Sign-On Between App Types]の設定を有効にします

Azure AD認証に関する問題をトラブルシューティングする

Azure AD認証方式はSAML 2.0認証方式と非常に似ているため、同じ方法でトラブルシューティングを行うことができます。

  • Was this article helpful?