アイデンティティ プロバイダ(IdP)としての Azure AD

PAM を設定すると、Microsoft Azure で Active Directory を SAML アイデンティティ プロバイダとして使用できます。PAM が Azure に展開されているかどうかに関わらず、Azure を IdP として設定できます。
pam40
Privileged Access Manager
を設定すると、Microsoft Azure で Active Directory を SAML アイデンティティ プロバイダとして使用できます。
Privileged Access Manager
Azure に展開されているかどうかに関わらず、Azure を IdP として設定できます。
Azure アプリケーションの設定
Azure でアプリケーションを作成するには、以下の手順に従います。
  1. API のアクセス許可の管理者同意を付与する権限を持つアカウントで Azure にログインします。
  2. Azure UI で、画面の上部の
    [Azure サービス]
    メニューから
    [Azure Active Directory]
    を選択します(以下の画面キャプチャで強調表示)。
  3. 左側のレールに表示される
    [管理]
    セクションから
    [アプリ登録]
    を選択します。
  4. [アプリ登録]
    ペインのメニュー バーから
    [新規登録]
    を選択します。
  5. 任意の
    名前
    を入力します。名前にスペースを使用しないでください。
  6. このアプリケーションを使用またはこの API にアクセスできるユーザ
    」プロンプトで、必要に応じて以下オプションのいずれかを選択します。
    • この組織ディレクトリ内のアカウントのみ(pamdev のみ - 単一テナント)
    • 任意の組織ディレクトリ内のアカウント(いずれかの Azure AD ディレクトリ - マルチテナント)
  7. [リダイレクト URI]
    [Web (デフォルト)]
    を選択し、
    Privileged Access Manager
    UI の URL を「
    https://
    ip_address
    /cspm/home
    」の形式で入力します。クラスタの場合は、プライマリ サイトにおける最初のノードの IP アドレスを選択します。
  8. [登録]
    を選択します。アプリケーションが作成されます。
  9. 左側のレールの
    [管理]
    セクションから
    [API のアクセス許可]
    を選択します。
  10. [アクセス許可の設定]
    パネルが開くので、
    [アクセス許可の追加]
    を選択します。
    権限のリストに表示される
    User.Read
    の委任されたアクセス許可は、デフォルトで設定されています。
  11. [API アクセス許可の要求]
    ウィザードが開くので、
    [Microsoft Graph]
    を選択します。
  12. 次のページで、
    [委任されたアクセス許可]
    を選択します。
  13. アクセス許可のリストで
    [ディレクトリ]
    エントリを探して開き、
    [Directory.AccessAsUser.All]
    エントリを選択します。
  14. ページ下部で
    [アクセス許可の追加]
    を選択します。
    [アクセス許可の設定]
    ペインに戻ります。ここでは、「
    Directory.AccessAsUser.All
    」がアクセス許可の設定リストに追加されました。
  15. [アプリケーションのアクセス許可]
    を選択します。
  16. アクセス許可のリストで
    [ディレクトリ]
    エントリを探して開き、
    [Directory.Read.All]
    エントリを選択します。
  17. ページ下部で
    [アクセス許可の追加]
    を選択します。
    [アクセス許可の設定]
    ペインに戻ります。ここでは、「
    Directory.Read.All
    」がアクセス許可の設定リストに追加されました。
    [アクセス許可の設定]
    リストに、以下の 3 つのすべてのアクセス許可が追加されます。
    • Directory.AccessAsUser.All
    • Directory.Read.All
    • User.Read
  18. 左側のレール上部の
    [概要]
    を選択し、ページ上部の
    [エンドポイント]
    を選択します。
  19. フェデレーション メタデータ ドキュメント
    の URL をコピーします。この URL を別のブラウザ ウィンドウに貼り付けて、メタデータをダウンロードします。「federationmetadata.xml」として XML を保存します。
  20. 画面左上のハンバーガ メニューを開き、
    [Azure Active Directory]
    を選択します。
  21. [概要]
    画面が開くので、左側のレールから
    [エンタープライズ アプリケーション]
    を選択します。
  22. [アプリケーション タイプ]
    ドロップダウンから
    [すべてのアプリケーション]
    を選択し、
    [適用]
    を選択します。
  23. 新しいアプリケーションを探して開きます。
  24. 左側のレールの
    [管理]
    セクションから
    [プロパティ]
    を選択します。
  25. ユーザーの割り当てが必要ですか?
    」に
    [はい]
    を選択します。
  26. [ユーザーに表示]
    [はい]
    を選択します。
  27. 保存
    ]を選択します。
PAM での SAML の設定
  1. PAM インスタンスにログインします。クラスタを設定する場合は、クラスタがオンであることを確認します。プライマリ サイト内の最初のノードを使用します。
  2. [構成]
    -
    [セキュリティ]
    -
    [SAML]
    -
    [RP 構成]
    に移動します。
  3. 以下のフィールドに値を入力します。
    • エンティティ ID:
      アプリケーション ID URL (
      https://
      ip_address
      など)
    • フレンドリ名:
      CAPAM
    • 完全修飾ホスト名:
      PAM の IP アドレス
      クラスタの場合、各メンバは自身の IP アドレスを使用します。
    • 証明書キー ペア:
      ドロップダウン リストから
      gkcert.crt
      を選択します。
    • SAML IdP Metadata Refresh Mode (SAML IdP メタデータのリフレッシュ モード)(オプション)
      :
      Azure フェデレーション メタデータを更新するためのスケジュールを、
      [時間単位]
      または
      [日単位]
      で指定します(Azure フェデレーション メタデータの読み取り元のドキュメントは、
      [構成済みリモート SAML IdP]
      タブの
      [Metadata Refresh Source URL (メタデータの更新元 URL)]
      フィールドで指定する必要があります)。
  4. [設定の保存]
    を選択します。
  5. クラスタを使用する場合は、インスタンスそれぞれにこの手順を繰り返します。ただし、
    [完全修飾ホスト名]
    フィールドには IP アドレスのみを入力します。
  6. [Configure Remote SAML IdP (リモート SAML IdP の構成)]
    を選択します。
  7. [アイデンティティ プロバイダ メタデータのアップロード]
    を選択します。
    [ファイルの選択]
    を選択して、「federationmetadata.xml」を
    アップロード
    します。
  8. [構成済みリモート SAML IdP]ページで、新しいリモート SAML IdP エントリを選択し、
    [更新]
    を選択します。
  9. [フレンドリ名]
    フィールドを編集して、「Azure IdP」などのわかりやすい名前にします。
  10. [ジャスト イン タイム プロビジョニングを許可する]
    チェック ボックスをオンにします。
  11. 必要に応じて、
    [Metadata Refresh Source URL (メタデータの更新元 URL)]
    フィールドで、定期的にアイデンティティ プロバイダ データを更新する元となる Azure フェデレーション メタデータ ドキュメントの URL を指定します。(
    [RP 構成]
    タブの
    [SAML IdP Metadata Refresh Mode (SAML IdP メタデータのリフレッシュ モード)]
    オプションが[時間単位]または[日単位]に設定されている場合にのみ使用されます)。
  12. OK
    ]を選択して保存します。
  13. [メタデータのダウンロード]
    ボタンを選択します。「XsuiteMetadataFor_
    Friendly_Name
    .xml」は、「ダウンロード」フォルダに保存されます。
  14. メタデータ ファイルを開き、各[Location]フィールドの URL をコピーします。クラスタの場合、[Location]が複数あります。たとえば、以下の行の引用符で囲まれた URL 全体をコピーします。
    Location="https://12.34.56.78/samlsp/module.php/saml/sp/saml2-acs.php/xsuite-default-sp"
Azure での SAML の設定
Privileged Access Manager
からの情報を使用して、Azure に SAML IdP を設定します。
  1. [Azure Active Directory]
    -
    [アプリの登録]
    に移動します。Azure IdP アプリケーションを開きます。
  2. 左側のレールの
    [管理]
    セクションから
    [認証]
    を選択します。
  3. [認証]
    画面が開くので、
    [Web]
    セクションで既存のデフォルト
    リダイレクト URI
    を削除します。
  4. [URI の追加]
    コントロールを使用して、PAM メタデータ ファイルからコピーした各場所を入力します。
  5. 保存
    ]を選択します。
  6. 左側のレールの
    [管理]
    セクションから
    [マニフェスト]
    を選択します。
  7. [マニフェストの編集]
    画面の 8 行目に
    "app roles": [],
    というテキストが表示されます
  8. 角かっこ内には以下のテキストを入力します。
    { "allowedMemberTypes": [ "User" ], "displayName": "Global Administrator", "id": "b1d7feb5-d688-4187-b257-42df5b621bfd", "isEnabled": true, "description": "Allows access to and configuration of all PAM functionality", "value": "GlobalAdministrator" }, { "allowedMemberTypes": [ "User" ], "displayName": "Standard User", "id": "86456979-e617-41e3-be5f-243ec00d6113", "isEnabled": true, "description": "Allows users to access and manage remote devices", "value": "StandardUser" }
  9. 保存
    ]を選択します。
  10. [Azure Active Directory]
    -
    [エンタープライズ アプリケーション]
    に移動します。
    [すべてのアプリケーション]
    ページが開くので、表示されるリストから Azure IdP アプリケーションを選択します。
  11. [ユーザーとグループに割り当てる]
    を選択します。
  12. [+ ユーザーの追加]
    を選択します。
  13. [割り当ての追加]
    ページが開くので、
    [ユーザー]
    エントリを選択してから、表示される
    [ユーザー]
    リストからユーザまたは複数のユーザを
    選択
    して、
    [選択]
    をクリックします。
    ユーザの選択を示すスクリーンショット
    Screenshot showing user selection
  14. 選択したユーザまたは複数のユーザに
    [役割の選択]
    を選択してから役割を選び、
    [選択]
    をクリックします。
    選択したユーザへの役割の割り当てを示すスクリーンショット
    Screenshot showing role assignment for selected users
  15. [Assign]
    を選択します。
PAM で Azure SAML ユーザ グループを作成
  1. Privileged Access Manager
    で、
    [ユーザ]
    -
    [ユーザ グループ管理]
    に移動し、
    [追加]
    を選択します。
  2. [グループ名]
    に「
    AzureSAMLUsers
    」と正確に入力します。
  3. [OK]
    を選択してグループを保存します。
PAM で Azure ターゲット アカウントおよび接続を作成
Azure ターゲット アカウントと Azure 接続をまだ作成していない場合は、「Azure 接続の設定」の手順に従います。
Privileged Access Manager
で Azure ターゲット アカウントと Azure 接続を作成すると、以下の処理が有効になります。
  • 次回のユーザ更新でアクティブなセッションが削除されます。アクセス権の取り消し後もユーザのセッションがアクティブな場合があるため、この処理によってセキュリティが向上します。
  • Privileged Access Manager
    のユーザが削除され、クリーンアップされます。これにより、
    Privileged Access Manager
    に Azure アカウントが残りません。
PAM へのログインにシングル サインオンを使用する
  1. Privileged Access Manager
    からログアウトします。
  2. これにより、[ログイン]ページの[ログイン]ボタンの下に[シングル サインオン]リンクが表示されます。
  3. [シングル サインオン]リンクをクリックします。
  4. Azure AD 認証情報でログインします。