目次
AzureADを利用して、Mist管理コンソールへSAMLログインを設定する
Mist側で設定情報を確認する
- Mistの管理コンソールへログインします
- 「Organization」→Single Sign-onにある【Add IDP】をクリックします
- Nameに適当な名前を入力し、【Add】をクリックします。(今回はAzureADとしました)
- 下記画面が表示されるので、ACS URL、Single Logout ULRを控えておきます
AzureAD側の設定
いつも通りの手順ですが、エンタープライズアプリケーションから新規アプリケーションを追加します
- 「すべてのアプリケーション」→【新しいアプリケーション】をクリックします
- 【ギャラリー以外のアプリケーション】をクリックします
- 名前に「Mist」と入力し、【追加】をクリックします
- 「シングルサインオン」→【SAML】をクリックします
- 基本的なSAML構成を下記のように設定します
識別子(エンティティID) https://saml.mist.com 応答URL 事前に控えたACS URLの内容を張り付け ログアウトURL 事前に控えたSingle Logout URLの内容を張り付け - ユーザー属性とクレームの【編集】をクリックします
- 一意のユーザー識別子をクリックします(メールアドレスをUPNとしている場合は変更しなくてもOKです)
Exchangeを利用している場合には、こちらをuser.mailに変更します(UPN=メールアドレスの場合はどちらでもOK) - 【新しいクレームの追加】をクリックします
- 下記内容を定義し、【保存】をクリックします
- 証明書(Base64)をダウンロードし、保存します
- SAML署名証明書項目の【編集】をクリックします
- 署名オプションを「SAML応答とアサーションへの署名」に変更します
- アプリのフェデレーションメタデータURLをコピーし控えておきます
- AzureAD識別子の内容をコピーし控えておきます
Mist側設定
- ダウンロードした証明書ファイルをテキストエディタ等で開き内容をコピーします
- コピーした内容を、「Certificate」欄に貼り付けます
- 「Issuer」欄に、事前に控えたAzureAD識別子の内容を貼り付けます
- 「SSO URL」欄に、事前に控えたアプリのフェデレーションメタデータURLの内容を貼り付けます
- 必要に応じてRoleを作成します
作成したRole名と同じ形でAzureAD側にもRoleを作成してください
AzureAD側には初期値でUserロールが定義されているので、Mist側でUserロールを作成してください
そのまま管理者権限とする場合には下記のようにMist側にて定義しておきます
- Roleを作成するにはマニフェストのJSONを編集する必要があります
SSOをテストする
- アプリケーションにユーザーとロールを割り当てます
- Roleを作成している場合にはRoleも必ず選択してください
- 割り当てたユーザーでMist管理コンソールにアクセスできることを確認します
