次の方法で共有

Microsoft Entra ID でシングル サインオン用に PolicyStat を構成する

この記事では、PolicyStat と Microsoft Entra ID を統合する方法について説明します。 PolicyStat と Microsoft Entra ID を統合すると、次のことができます。

  • PolicyStat にアクセスできるユーザーを Microsoft Entra ID で制御する。
  • ユーザーが自分の Microsoft Entra アカウントを使って PolicyStat に自動的にサインインできるようにする。
  • 1 つの中央の場所でアカウントを管理します。

[前提条件]

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

  • シングル サインオン (SSO) が有効な PolicyStat のサブスクリプション。

この統合は、Microsoft Entra 米国政府クラウド環境から利用することもできます。 このアプリケーションは、Microsoft Entra 米国政府クラウドのアプリケーション ギャラリーにあり、パブリック クラウドの場合と同じように構成できます。

シナリオの説明

この記事では、テスト環境で Microsoft Entra のシングル サインオンを構成し、テストします。

  • PolicyStat では、SP によって開始される SSO がサポートされます。

  • PolicyStat では、Just In Time ユーザー プロビジョニングがサポートされます。

Microsoft Entra ID への PolicyStat の統合を構成するには、ギャラリーからマネージド SaaS アプリの一覧に PolicyStat を追加する必要があります。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. Entra ID>のEnterprise apps>に移動し、新しいアプリケーションを選択します。
  3. [ギャラリーから追加する] セクションで、検索ボックスに「PolicyStat」と入力します。
  4. 結果パネルから [PolicyStat] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、 エンタープライズ アプリ構成ウィザードを使用することもできます。 このウィザードでは、テナントにアプリケーションを追加したり、ユーザー/グループをアプリに追加したり、ロールを割り当てたり、SSO 構成を確認したりできます。 Microsoft 365 ウィザードの詳細をご覧ください。

PolicyStat 用に Microsoft Entra SSO を構成してテストする

B.Simon というテスト ユーザーを使って、PolicyStat に対する Microsoft Entra SSO を構成してテストします。 SSO が機能するには、Microsoft Entra ユーザーと PolicyStat の関連ユーザーとの間にリンク関係を確立する必要があります。

PolicyStat に対して Microsoft Entra SSO を構成してテストするには、次の手順を実行します:

  1. Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
    1. Microsoft Entra テスト ユーザーの作成 - B.Simon で Microsoft Entra のシングル サインオンをテストします。
    2. Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
  2. PolicyStat SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
    1. PolicyStat テスト ユーザーの作成 - PolicyStat で B.Simon に対応するユーザーを作成し、Microsoft Entra の B.Simon にリンクさせます。
  3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

Microsoft Entra SSO を有効にするには、次の手順に従います。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. Entra ID>Enterprise apps>PolicyStat>Single サインオンに移動します。

  3. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。

  4. [ SAML でのシングル サインオンの設定 ] ページで、[ 基本的な SAML 構成 ] の鉛筆アイコンを選択して設定を編集します。

    基本的なSAML構成の編集

  5. [基本的な SAML 構成] セクションで、次の手順を実行します。

    1. [ 識別子 (エンティティ ID)] テキスト ボックスに、次のパターンを使用して URL を入力します。 https://<companyname>.policystat.com/saml2/metadata/

    2. [ サインオン URL ] テキスト ボックスに、次のパターンを使用して URL を入力します。 https://<companyname>.policystat.com

      これらの値は実際の値ではありません。 これらの値を実際の識別子とサインオン URL で更新してください。 これらの値を取得するには、PolicyStat クライアント サポート チームに問い合わせてください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。

  6. [SAML でシングル サインオンをセットアップします] ページの [SAML 署名証明書] セクションで、 [ダウンロード] を選択して、要件のとおりに指定したオプションからフェデレーション メタデータ XML をダウンロードして、お使いのコンピューターに保存します。

    証明書のダウンロード リンク

  7. PolicyStat アプリケーションは、特定の形式の SAML アサーションを使用するため、カスタム属性のマッピングを SAML トークンの属性の構成に追加する必要があります。 次のスクリーンショットは、既定の属性の一覧を示しています。 [ 編集] アイコンを選択して、[ ユーザー属性] ダイアログを 開きます。

    [編集] アイコンが選択されている [ユーザー属性] ダイアログを示すスクリーンショット。

  8. その他に、PolicyStat アプリケーションでは、いくつかの属性が SAML 応答で返されることが想定されています。 [ユーザー属性] ダイアログの [ユーザー要求] セクションで、次の手順を実行して、次の表に示すように SAML トークン属性を追加します。

    名前 ソース属性
    uid (ユーザー識別子) ExtractMailPrefix([メール])

    1. [ 新しい要求の追加] を選択して、[ ユーザー要求の管理 ] ダイアログを開きます。

      [新しい要求の追加] と [保存] アクションが強調表示されている [ユーザー要求] セクションを示すスクリーンショット。

      [ユーザー要求の管理] ダイアログを示すスクリーンショット。[名前]、[変換]、および [パラメーター] のテキスト ボックスが強調表示され、[保存] ボタンが選択されています。

    2. [ 名前 ] ボックスに、その行に表示される属性名を入力します。

    3. 名前空間は空白のままにします。

    4. [ソース] として [変換] を選択します。

    5. [変換] の一覧から、その行に対して表示される値を入力します。

    6. [パラメーター 1] の一覧から、その行に対して表示される値を入力します。

    7. 保存 を選択します。

  9. [PolicyStat の設定] セクションで、要件どおりの適切な URL をコピーします。

    構成 URL をコピーする

Microsoft Entra テスト ユーザーの作成と割り当て

ユーザー アカウントの作成と割り当ての クイックスタートのガイドラインに従って、B.Simon というテスト ユーザー アカウントを作成します。

PolicyStat SSO の構成

  1. 別の Web ブラウザー ウィンドウで、PolicyStat 企業サイトに管理者としてログインします。

  2. [ 管理 ] タブを選択し、左側のナビゲーション ウィンドウで [単一 Sign-On 構成] を選択します。

    [Administrator Menu]\(管理者メニュー\)

  3. IDP メタデータを選択し、[IDP メタデータ] セクションで次の手順を実行します。

    [Your I D P Metadata]\(I D P メタデータ) アクションが選択されていることを示すスクリーンショット。

    1. ダウンロードしたメタデータ ファイルの内容をコピーし、[Your Identity Provider Metadata (ID プロバイダーのメタデータ)] テキスト ボックスに貼り付けます。

    2. [ 変更の保存] を選択します

  4. [ 属性の構成] を選択し、[ 属性の構成 ] セクションで、Azure 構成にある CLAIM NAMES を使用して次の手順を実行します。

    1. [ Username Attribute]\(ユーザー名属性 \) テキストボックスに、キー ユーザー名属性として渡すユーザー名要求の値を入力します。 Azure の既定値は UPN ですが、PolicyStat にアカウントが既にある場合は、アカウントが重複しないように、または PolicyStat の既存のアカウントを UPN 値に更新するために、これらのユーザー名の値を一致させる必要があります。 既存のユーザー名を一括で更新するには、RLDatix PolicyStat サポート https://websupport.rldatix.com/support-form/にお問い合わせください。 UPN を渡すために入力する既定値は http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name です。

    2. [First Name Attribute](名属性) ボックスに、Azure の名属性の要求名 (http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname) を入力します。

    3. [Last Name Attribute](姓属性) ボックスに、Azure の姓属性の要求名 (http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname) を入力します。

    4. [Email Attribute](電子メール属性) ボックスに、Azure の電子メール属性の要求名 (http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress) を入力します。

    5. [ 変更の保存] を選択します

  5. [Setup] セクションで、 [Enable Single Sign-on Integration] を選択します。

    [Single Sign-On Configuration]\(シングル サインオンの構成\)

PolicyStat テスト ユーザーの作成

このセクションでは、Britta Simon というユーザーを PolicyStat に作成します。 PolicyStat では、Just-In-Time ユーザー プロビジョニングがサポートされています。この設定は既定で有効になっています。 このセクションにはアクション項目はありません。 PolicyStat にユーザーがまだ存在していない場合は、認証後に新規に作成されます。

PolicyStat から提供されている他の PolicyStat ユーザー アカウント作成ツールまたは API を使用して、Microsoft Entra のユーザー アカウントをプロビジョニングできます。

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。

  • [ このアプリケーションをテストする] を選択すると、このオプションはログイン フローを開始できる PolicyStat のサインオン URL にリダイレクトされます。

  • PolicyStat のサインオン URL に直接移動し、そこからログイン フローを開始します。

  • Microsoft マイ アプリを使用できます。 マイ アプリで [PolicyStat] タイルを選択すると、このオプションは PolicyStat のサインオン URL にリダイレクトされます。 詳細については、「 Microsoft Entra My Apps」を参照してください。

関連コンテンツ

PolicyStat を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用できます。 セッション制御は条件付きアクセスから拡張されます。 Microsoft Cloud App Security でセッション制御を適用する方法について説明します

  • Last updated on