次の方法で共有

Microsoft Entra ID を使用してシングル サインオン用に Contentstack を構成する

この記事では、Contentstack と Microsoft Entra ID を統合する方法について説明します。 Contentstack を Microsoft Entra ID を統合すると、次のことができます。

  • Contentstack にアクセスできるユーザーを Microsoft Entra ID で制御する。
  • ユーザーが自分の Microsoft Entra アカウントを使用して Contentstack に自動的にサインインできるようにする。
  • 1 つの場所でアカウントを管理します。

前提条件

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

  • シングル サインオン (SSO) が有効な Contentstack のサブスクリプション。

シナリオの説明

この記事では、テスト環境で Microsoft Entra SSO を構成してテストします。

  • Contentstack では、SP によって開始された SSO と IDP によって開始された SSO の両方がサポートされます。
  • Contentstack では、 Just-In-Time ユーザー プロビジョニングがサポートされます。

Microsoft Entra ID への Contentstack の統合を構成するには、ギャラリーからマネージド SaaS アプリのリストに Contentstack を追加する必要があります。

  1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
  2. Entra ID>エンタープライズ アプリ>新規アプリケーションに移動します。
  3. [ギャラリーからの追加] セクションで、検索ボックスに「Contentstack」と入力します。
  4. 結果パネルから [Contentstack] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、 エンタープライズ アプリ構成ウィザードを使用することもできます。 このウィザードでは、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てができるほか、SSO の構成も行うことができます。 Microsoft 365 ウィザードの詳細を確認します

Contentstack 用に Microsoft Entra SSO を構成してテストする

B.Simon というテスト ユーザーを使用して、Contentstack に対する Microsoft Entra SSO を構成してテストします。 SSO が機能するには、Microsoft Entra ユーザーと Contentstack の関連ユーザーとの間にリンク関係を確立する必要があります。

Contentstack に対して Microsoft Entra SSO を構成してテストするには、次の手順を実行します。

  1. Microsoft Entra SSO を構成 する - ユーザーがこの機能を使用できるようにします。
    1. Microsoft Entra テスト ユーザーの作成 - B.Simon で Microsoft Entra のシングル サインオンをテストします。
    2. Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
  2. Contentstack SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
    1. Contentstackのテストユーザーを作成 - Microsoft EntraのB.SimonにリンクされたContentstack内の対応するユーザーを作成します。
  3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO を構成する

以下の手順に従って Microsoft Entra 管理センターで Microsoft Entra SSO を有効にします。

  1. クラウド アプリケーション管理者として Microsoft Entra 管理センターにサインインし、Entra ID>Enterprise アプリを参照します。

  2. [ + 新しいアプリケーション ] を選択し、Contentstack を検索して[ 作成]を選択します。 作成したら、[ シングル サインオンのセットアップ] に移動するか、左側のメニューから [シングル サインオン ] リンクを選択します。

    新しいアプリケーションの作成を示すスクリーンショット。

  3. 次に、[ シングル サインオン方法の選択 ] ページで 、[SAML] を選択 します

    シングル サインオン方法を選択する方法を示すスクリーンショット。

  4. [ SAML でのシングル サインオンの設定 ] ページで、[ 基本的な SAML 構成 ] の鉛筆アイコンを選択して設定を編集します。

    基本的な SAML 構成を編集する方法を示すスクリーンショット。

  5. [ 基本的な SAML 構成] セクションでは、いくつかの手順を実行する必要があります。 これらの手順に必要な情報を取得するには、まず Contentstack アプリケーションに移動し、次の方法で SSO 名ACS URL を 作成する必要があります。

    ある。 Contentstack アカウントにログインし、[組織の設定] ページに移動し、[ シングル サインオン ] タブを選択します。

    基本的な SAML 構成の手順を示すスクリーンショット。

    b。 任意の SSO 名 を入力し、[ 作成] を選択します。

    名前を入力または作成する方法を示すスクリーンショット。

    たとえば、会社名が "Acme, Inc." の場合、 ここに “acme” と入力します。 この名前は、サインイン時に組織ユーザーがログイン資格情報の 1 つとして使用します。 SSO 名には、アルファベット (小文字)、数字 (0 から 9)、ハイフン (-) のみを含めることができます。

    c. [作成] を選択すると、アサーション コンシューマー サービスの URL または ACS URL、およびエンティティ ID、属性、NameID 形式などのその他詳細が生成されます。

    構成する値の生成を示すスクリーンショット。

  6. [基本的な SAML 構成] セクションに戻り、上記の一連の手順で生成されたエンティティ IDACS URL をそれぞれ識別子 (エンティティ ID) セクションと応答 URL セクションに貼り付けて、エントリを保存します。

    1. [ 識別子 ] テキスト ボックスに、Contentstack からコピーした エンティティ ID 値を貼り付けます。

      識別子の値を貼り付ける方法を示すスクリーンショット。

    2. [ 応答 URL ] テキスト ボックスに、Contentstack からコピーした ACS URL を貼り付けます。

      応答 URL を貼り付ける方法を示すスクリーンショット。

  7. これは省略可能な手順です。 [SP] 開始モードでアプリケーションを構成する場合は、[サインオン URL] セクションにサインオン URL を入力します:

    サインオン URL を貼り付ける方法を示すスクリーンショット。

    Contentstack SSO の構成が完了すると、 SSO One-Select URL (つまり、サインオン URL) が表示されます。 アクセス ページを有効にする方法を示すスクリーンショット。

  8. Contentstack アプリケーションでは、特定の形式の SAML アサーションを使用するため、カスタム属性マッピングを SAML トークン属性の構成に追加する必要があります。 次のスクリーンショットには、既定の属性一覧が示されています。

    属性の構成の画像を示すスクリーンショット。

  9. その他に、Contentstack アプリケーションでは、いくつかの属性が SAML 応答で返されることが想定されています。それらの属性を次に示します。 これらの属性も値が事前に設定されますが、要件に従ってそれらの値を確認することができます。 これは省略可能な手順です。

    名前 ソース属性
    役割 user.assignedroles

    Microsoft Entra ID でロールを構成する方法については、 こちらを 選択してください。

  10. [ SAML でのシングル サインオンの設定 ] ページの [ SAML 署名証明書 ] セクションで、 証明書 (Base64) を探し、[ ダウンロード ] を選択して証明書をダウンロードし、コンピューターに保存します。

    [証明書のダウンロード] リンクを示すスクリーンショット。

  11. [ Contentstack のセットアップ ] セクションで、要件に基づいて適切な URL をコピーします。

    構成 URL をコピーするスクリーンショット。

Microsoft Entra テスト ユーザーの作成と割り当て

ユーザー アカウントの作成と割り当ての クイックスタートのガイドラインに従って、B.Simon というテスト ユーザー アカウントを作成します。

Contentstack SSO を構成する

  1. Contentstack 企業サイトに管理者としてログインします。

  2. [組織の設定] ページに移動し、左側のメニューの [ シングル サインオン ] タブを選択します。

  3. [ シングル サインオン ] ページで、[ SSO 構成] セクションに移動し、次の手順を実行します。

    1. 任意の有効な SSO 名 を入力し、[ 作成] を選択します。

      構成の設定を示すスクリーンショット。

      たとえば、会社名が "Acme, Inc." の場合、 ここに “acme” と入力します。 この名前は、サインイン時に組織ユーザーがログイン資格情報の 1 つとして使用します。 SSO 名には、アルファベット (小文字)、数字 (0 から 9)、ハイフン (-) のみを含めることができます。

    2. [作成] を選択すると、アサーション コンシューマー サービスの URL または ACS URL、およびエンティティ ID、属性、NameID 形式などのその他詳細が生成され、[次へ] を選択します。

      構成値を示すスクリーンショット。

  4. [Idp 構成] タブに移動し、次の手順を実行します。

    ID からのログイン値を示すスクリーンショット。

    1. [ 単一 Sign-On URL ] ボックスに、Microsoft Entra 管理センターからコピーした ログイン URL を貼り付けます。

    2. Microsoft Entra 管理センターからダウンロードした 証明書 (Base64) を開き、[ 証明書 ] フィールドにアップロードします。

    3. [ 次へ] を選択します。

  5. 次に、Contentstack でロール マッピングを作成する必要があります。

    IdP ロール マッピングが Contentstack プランの一部である場合にのみ、この手順を表示して実行できます。

  6. Contentstack の SSO セットアップ ページの [ユーザー管理 ] セクションに、 厳密モード (SSO ログインを使用してのみ組織ユーザーへのアクセスを承認する) と セッション タイムアウト (SSO を使用してサインインしたユーザーのセッション期間を定義する) が表示されます。 これらのオプションの下には、[ 詳細設定] オプションも表示されます。

    [ユーザー管理] セクションを示すスクリーンショット。

  7. [ 詳細設定] を選択して [IdP ロール マッピング] セクションを展開し、IdP ロールを Contentstack にマップします。 これは省略可能な手順です。

  8. [ ロール マッピングの追加 ] セクションで、[ + ロール マッピングの追加 ] リンクを選択して、IdP ロールのマッピングの詳細を追加します。これには、次の詳細が含まれます。

    マッピングの詳細を追加する方法を示すスクリーンショット。

    1. IdP ロール識別子に、マニフェストの値を使用できる IdP グループ/ロール識別子 ("開発者" など) を入力します。

    2. [組織の役割] で、マップされたグループ/ロールの管理者ロールまたはメンバー ロールを選択します。

    3. Stack-Level アクセス許可 (省略可能) のために、スタックと対応するスタックレベルのロールをこのロールに割り当てる。 同様に、Contentstack 組織のロール マッピングを追加することもできます。 新しいロール マッピングを追加するには、[ + ロール マッピングの追加] を選択し、詳細を入力します。

    4. Microsoft Entra ID は通常、配列内にロールを返すので、区切りは空白のままにしておきます。

    5. 最後に、[ IdP ロール マッピングを有効にする ] チェック ボックスをオンにして機能を有効にし、[ 次へ] を選択します。

    詳細については、 Contentstack SSO ガイドを参照してください。

  9. SSO を有効にする前に、これまでに構成した SSO 設定をテストする必要があります。 これを行うには、次の手順を実行します:

    1. [ SSO のテスト ] ボタンを選択すると、組織の SSO 名を指定する必要がある Contentstack の [SSO 経由のログイン] ページに移動します。
    2. 次に、[続行] を選択して IdP サインイン ページに移動します。
    3. アカウントにサインインし、IdP にサインインできる場合は、テストが成功します。
    4. 接続が成功すると、次のような成功メッセージが表示されます。

    テスト接続の成功を示すスクリーンショット。

  10. SSO 設定をテストしたら、[ SSO を有効にする ] を選択して Contentstack 組織の SSO を有効にします。

    [テストの有効化] セクションを示すスクリーンショット。

  11. これを有効にすると、ユーザーは SSO を使用して組織にアクセスすることができます。 必要に応じて、このページから SSO を無効 にすることもできます。

    アクセス ページの無効化を示すスクリーンショット。

Contentstack テスト ユーザーを作成する

このセクションでは、Britta Simon というユーザーを Contentstack に作成します。 Contentstack では、Just-In-Time ユーザー プロビジョニングがサポートされています。この設定は既定で有効になっています。 このセクションにはアクション項目はありません。 Contentstack にユーザーがまだ存在していない場合は、認証後に新規に作成されます。

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。

SP Initiated:

  • Microsoft Entra 管理センターで [ このアプリケーションをテスト する] を選択します。 このオプションは、ログイン フローを開始できる Contentstack のサインオン URL にリダイレクトされます。

  • Contentstack のサインオン URL に直接移動し、そこからログイン フローを開始します。

IDP Initiated:

  • Microsoft Entra 管理センターで [ このアプリケーションをテスト する] を選択すると、SSO を設定した Contentstack に自動的にサインインします。

また、Microsoft マイ アプリを使用して、任意のモードでアプリケーションをテストすることもできます。 マイ アプリで [Contentstack] タイルを選択すると、SP モードで構成されている場合は、ログイン フローを開始するためのアプリケーション サインオン ページにリダイレクトされます。IDP モードで構成されている場合は、SSO を設定した Contentstack に自動的にサインインされます。 マイ アプリの詳細については、「マイ アプリの 概要」を参照してください。

関連コンテンツ

Contentstack を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用できます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を適用する方法について説明します

  • Last updated on