アイデンティティ プロバイダ(IdP)としての Azure AD
PAM を設定すると、Microsoft Azure で Active Directory を SAML アイデンティティ プロバイダとして使用できます。PAM が Azure に展開されているかどうかに関わらず、Azure を IdP として設定できます。
pam40
Privileged Access Manager
を設定すると、Microsoft Azure で Active Directory を SAML アイデンティティ プロバイダとして使用できます。Privileged Access Manager
が Azure に展開されているかどうかに関わらず、Azure を IdP として設定できます。 Azure アプリケーションの設定
Azure でアプリケーションを作成するには、以下の手順に従います。
- API のアクセス許可の管理者同意を付与する権限を持つアカウントで Azure にログインします。
- Azure UI で、画面の上部の[Azure サービス]メニューから[Azure Active Directory]を選択します(以下の画面キャプチャで強調表示)。
/content/Azure-Active-Directory-in-the-Azure-services-menu.png/_jcr_content/renditions/original)
- 左側のレールに表示される[管理]セクションから[アプリ登録]を選択します。
- [アプリ登録]ペインのメニュー バーから[新規登録]を選択します。
- 任意の名前を入力します。名前にスペースを使用しないでください。
- 「このアプリケーションを使用またはこの API にアクセスできるユーザ」プロンプトで、必要に応じて以下オプションのいずれかを選択します。
- この組織ディレクトリ内のアカウントのみ(pamdev のみ - 単一テナント)
- 任意の組織ディレクトリ内のアカウント(いずれかの Azure AD ディレクトリ - マルチテナント)
- [リダイレクト URI]で[Web (デフォルト)]を選択し、Privileged Access ManagerUI の URL を「https://」の形式で入力します。クラスタの場合は、プライマリ サイトにおける最初のノードの IP アドレスを選択します。ip_address/cspm/home
- [登録]を選択します。アプリケーションが作成されます。
- 左側のレールの[管理]セクションから[API のアクセス許可]を選択します。
- [アクセス許可の設定]パネルが開くので、[アクセス許可の追加]を選択します。権限のリストに表示されるUser.Readの委任されたアクセス許可は、デフォルトで設定されています。
- [API アクセス許可の要求]ウィザードが開くので、[Microsoft Graph]を選択します。
- 次のページで、[委任されたアクセス許可]を選択します。
- アクセス許可のリストで[ディレクトリ]エントリを探して開き、[Directory.AccessAsUser.All]エントリを選択します。
- ページ下部で[アクセス許可の追加]を選択します。[アクセス許可の設定]ペインに戻ります。ここでは、「Directory.AccessAsUser.All」がアクセス許可の設定リストに追加されました。
- [アプリケーションのアクセス許可]を選択します。
- アクセス許可のリストで[ディレクトリ]エントリを探して開き、[Directory.Read.All]エントリを選択します。
- ページ下部で[アクセス許可の追加]を選択します。[アクセス許可の設定]ペインに戻ります。ここでは、「Directory.Read.All」がアクセス許可の設定リストに追加されました。[アクセス許可の設定]リストに、以下の 3 つのすべてのアクセス許可が追加されます。
- Directory.AccessAsUser.All
- Directory.Read.All
- User.Read
- 左側のレール上部の[概要]を選択し、ページ上部の[エンドポイント]を選択します。
- フェデレーション メタデータ ドキュメントの URL をコピーします。この URL を別のブラウザ ウィンドウに貼り付けて、メタデータをダウンロードします。「federationmetadata.xml」として XML を保存します。
- 画面左上のハンバーガ メニューを開き、[Azure Active Directory]を選択します。
- [概要]画面が開くので、左側のレールから[エンタープライズ アプリケーション]を選択します。
- [アプリケーション タイプ]ドロップダウンから[すべてのアプリケーション]を選択し、[適用]を選択します。
- 新しいアプリケーションを探して開きます。
- 左側のレールの[管理]セクションから[プロパティ]を選択します。
- 「ユーザーの割り当てが必要ですか?」に[はい]を選択します。
- [ユーザーに表示]に[はい]を選択します。
- [保存]を選択します。
PAM での SAML の設定
- PAM インスタンスにログインします。クラスタを設定する場合は、クラスタがオンであることを確認します。プライマリ サイト内の最初のノードを使用します。
- [構成]-[セキュリティ]-[SAML]-[RP 構成]に移動します。
- 以下のフィールドに値を入力します。
- エンティティ ID:アプリケーション ID URL (https://など)ip_address
- フレンドリ名:CAPAM
- 完全修飾ホスト名:PAM の IP アドレスクラスタの場合、各メンバは自身の IP アドレスを使用します。
- 証明書キー ペア:ドロップダウン リストからgkcert.crtを選択します。
- SAML IdP Metadata Refresh Mode (SAML IdP メタデータのリフレッシュ モード)(オプション):Azure フェデレーション メタデータを更新するためのスケジュールを、[時間単位]または[日単位]で指定します(Azure フェデレーション メタデータの読み取り元のドキュメントは、[構成済みリモート SAML IdP]タブの[Metadata Refresh Source URL (メタデータの更新元 URL)]フィールドで指定する必要があります)。
- [設定の保存]を選択します。
- クラスタを使用する場合は、インスタンスそれぞれにこの手順を繰り返します。ただし、[完全修飾ホスト名]フィールドには IP アドレスのみを入力します。
- [Configure Remote SAML IdP (リモート SAML IdP の構成)]を選択します。
- [アイデンティティ プロバイダ メタデータのアップロード]を選択します。[ファイルの選択]を選択して、「federationmetadata.xml」をアップロードします。
- [構成済みリモート SAML IdP]ページで、新しいリモート SAML IdP エントリを選択し、[更新]を選択します。
- [フレンドリ名]フィールドを編集して、「Azure IdP」などのわかりやすい名前にします。
- [ジャスト イン タイム プロビジョニングを許可する]チェック ボックスをオンにします。
- 必要に応じて、[Metadata Refresh Source URL (メタデータの更新元 URL)]フィールドで、定期的にアイデンティティ プロバイダ データを更新する元となる Azure フェデレーション メタデータ ドキュメントの URL を指定します。([RP 構成]タブの[SAML IdP Metadata Refresh Mode (SAML IdP メタデータのリフレッシュ モード)]オプションが[時間単位]または[日単位]に設定されている場合にのみ使用されます)。
- [OK]を選択して保存します。
- [メタデータのダウンロード]ボタンを選択します。「XsuiteMetadataFor_Friendly_Name.xml」は、「ダウンロード」フォルダに保存されます。
- メタデータ ファイルを開き、各[Location]フィールドの URL をコピーします。クラスタの場合、[Location]が複数あります。たとえば、以下の行の引用符で囲まれた URL 全体をコピーします。Location="https://12.34.56.78/samlsp/module.php/saml/sp/saml2-acs.php/xsuite-default-sp"
Azure での SAML の設定
Privileged Access Manager
からの情報を使用して、Azure に SAML IdP を設定します。 - [Azure Active Directory]-[アプリの登録]に移動します。Azure IdP アプリケーションを開きます。
- 左側のレールの[管理]セクションから[認証]を選択します。
- [認証]画面が開くので、[Web]セクションで既存のデフォルトリダイレクト URIを削除します。
- [URI の追加]コントロールを使用して、PAM メタデータ ファイルからコピーした各場所を入力します。
- [保存]を選択します。
- 左側のレールの[管理]セクションから[マニフェスト]を選択します。
- [マニフェストの編集]画面の 8 行目に"app roles": [],というテキストが表示されます
- 角かっこ内には以下のテキストを入力します。{ "allowedMemberTypes": [ "User" ], "displayName": "Global Administrator", "id": "b1d7feb5-d688-4187-b257-42df5b621bfd", "isEnabled": true, "description": "Allows access to and configuration of all PAM functionality", "value": "GlobalAdministrator" }, { "allowedMemberTypes": [ "User" ], "displayName": "Standard User", "id": "86456979-e617-41e3-be5f-243ec00d6113", "isEnabled": true, "description": "Allows users to access and manage remote devices", "value": "StandardUser" }
- [保存]を選択します。
- [Azure Active Directory]-[エンタープライズ アプリケーション]に移動します。[すべてのアプリケーション]ページが開くので、表示されるリストから Azure IdP アプリケーションを選択します。
- [ユーザーとグループに割り当てる]を選択します。
- [+ ユーザーの追加]を選択します。
- [割り当ての追加]ページが開くので、[ユーザー]エントリを選択してから、表示される[ユーザー]リストからユーザまたは複数のユーザを選択して、[選択]をクリックします。ユーザの選択を示すスクリーンショット
/content/screenshot-showing-user-selection.png/_jcr_content/renditions/original)
- 選択したユーザまたは複数のユーザに[役割の選択]を選択してから役割を選び、[選択]をクリックします。選択したユーザへの役割の割り当てを示すスクリーンショット
/content/Select-a-role-screenshot.png/_jcr_content/renditions/original)
- [Assign]を選択します。
PAM で Azure SAML ユーザ グループを作成
- Privileged Access Managerで、[ユーザ]-[ユーザ グループ管理]に移動し、[追加]を選択します。
- [グループ名]に「AzureSAMLUsers」と正確に入力します。
- [OK]を選択してグループを保存します。
PAM で Azure ターゲット アカウントおよび接続を作成
Azure ターゲット アカウントと Azure 接続をまだ作成していない場合は、「Azure 接続の設定」の手順に従います。
Privileged Access Manager
で Azure ターゲット アカウントと Azure 接続を作成すると、以下の処理が有効になります。 - 次回のユーザ更新でアクティブなセッションが削除されます。アクセス権の取り消し後もユーザのセッションがアクティブな場合があるため、この処理によってセキュリティが向上します。
- Privileged Access Managerのユーザが削除され、クリーンアップされます。これにより、Privileged Access Managerに Azure アカウントが残りません。
PAM へのログインにシングル サインオンを使用する
- Privileged Access Managerからログアウトします。
- これにより、[ログイン]ページの[ログイン]ボタンの下に[シングル サインオン]リンクが表示されます。
- [シングル サインオン]リンクをクリックします。
- Azure AD 認証情報でログインします。