シングルサインオン
Version 25.3.9414
Version 25.3.9414
シングルサインオン
CData Sync は、SAML 2.0 またはOpenID 認証プロトコルによるシングルサインオン(SSO)をサポートします。この機能により、これらのプロトコルをサポートするMicrosoft Entra ID(旧 Azure Active Directory)やOkta などのID プロバイダーが、Sync のSSO プラットフォームとして機能します。
概要
SSO を有効にするには、設定ページのSSO タブで項目を設定する必要があります。SSO を設定する場合、Sync で作成されたユーザーにはフェデレーション識別子(ID)を付与する必要があります。このフェデレーションID は、Sync のユーザー名とID プロバイダーエンティティを関連付けます。Sync ユーザーがアプリケーションにログインしようとすると、SSO プラットフォームにリダイレクトされ、そこで適切なID の資格情報を入力する必要があります。
ジャストインタイム(JIT)ユーザープロビジョニングが有効になっている場合(SSO タブからも設定可能)は、ID プロバイダーから受け取った属性(ユーザーの氏名やE メールアドレスなど)に基づいて、ログイン時に新しいユーザーアカウントがSync に自動的に作成されます。このアイデンティティとアクセス管理(IAM)プロセスは、手動でのアカウント作成の必要性を排除し、オンボーディングを合理化します。詳しくは、ジャストインタイム(JIT)ユーザープロビジョニングを参照してください。
After SSO is configured and Sync users have a federation Id value to associate them with an identity provider (IdP), you can perform additional configuration either in Sync (for example, enabling JIT provisioning) or directly in the IdP, as explained in later sections.
Note: Sync supports group-based access via the group-to-role mapping feature in JIT provisioning. You can map group identifiers that are provided by the IdP to Sync roles. Each user must still log in individually, but role assignment can be automated based on IdP group membership.
次のセクションでは、OpenID Connect およびSAML 2.0 認証プロトコルを使用して、2つのID プロバイダー(Microsoft Entra ID およびOkta)でSSO 構成を設定する方法について説明します。
Microsoft Entra ID のSSO 設定
次のセクションでは、OpenID Connect またはSAML 2.0 経由でSSO 用にMicrosoft Entra ID を設定する方法について説明します。
OpenID Connect 設定
Microsoft Entra ID を使用したシングルサインオン(SSO)により、CData Sync へのアクセスが合理化され、ログイン時にジャストインタイムのプロビジョニングが可能になります。次の手順では、OpenID Connect プロトコルを使用してSSO 用にMicrosoft Entra ID を設定する方法について説明します。
-
Azure ポータルにログインし、Microsoft Entra ID を開きます。
-
CData Sync にログインし、設定 > SSO を選択してシングルサインオン(SSO)設定ダイアログボックスを開きます。
-
Entra ID > アプリ登録 > 新規登録に移動し、Sync のアプリケーション登録を作成します。プロンプトに従って処理を完了します。
-
アプリケーション登録で、リダイレクトURL を、以下に示すようにSync のシングルサインオン(SSO)設定ダイアログボックスで指定されているコールバックURL 値に設定します。
-
Sync のシングルサインオン(SSO)設定ダイアログボックスで、次のプロパティを指定します:
-
クライアントID プロパティを、以下に示す新しいアプリケーション登録にあるアプリケーション(クライアント)Id の値に設定します。
-
クライアントシークレットプロパティを、Entra ID で生成した新しいクライアントシークレットの値に設定します。
-
ディスカバリーURL を、アプリケーション登録のエンドポイントページにあるOpenID Connect MetaData document の値に設定します。次に、インポートをクリックして、残りの設定をSync にインポートします。
-
-
Sync で保存およびテストをクリックして、SSO の設定を確認します。Sync で新しいタブが開き、Microsoft アカウントでのサインインを求められます。テストに成功すると、Sync はクレームの詳細とともに成功メッセージを表示します。
-
(オプション)Sync ユーザーアカウントをフェデレーションId で更新します。
-
ステップ5 のシングルサインオン(SSO)設定ダイアログボックスから、フェデレーションId をコピーします。
-
設定 > ユーザーに移動します。次に、ユーザーアカウントを見つけて編集をクリックします。
-
ユーザーアカウントにフェデレーションId を追加します。次に、保存をクリックして変更を保存し、ダイアログボックスを終了します。
-
この時点で、OpenID Connect SSO の基本設定が完了し、ユーザーはMicrosoft Entra ID 経由でSync にログインできるようになりました。
SAML 2.0 設定
SAML ベースのシングルサインオン(SSO)により、ユーザーは組織のID プロバイダーを通じてシームレスに認証できるため、ログイン時にジャストインタイムプロビジョニングが可能になります。次の手順では、SAML 2.0 プロトコルを使用してSSO 用にMicrosoft Entra ID を設定する方法について説明します。
-
Azure ポータルにログインしてMicrosoft Entra ID を開き、エンタープライズ アプリケーションページに移動します。
-
新しいアプリケーション > 独自のアプリケーションを作成するを選択します。独自のアプリケーションを作成するダイアログボックスで:
-
アプリケーションの名前を入力します(例:CData Sync)。
-
アプリケーションでどのような操作を行いたいですか?の下にあるオプションから、アプリケーションで実行したい操作を指定します。
-
作成をクリックします。
-
-
新規作成したアプリケーションで、シングルサインオンの設定を選択します。
-
サインオン方式としてSAML を選択します。
-
CData Sync にログインし、設定 > SSO を選択します。SSO タブで、シングルサインオン(SSO)設定セクションの設定をクリックします。このアクションにより、シングルサインオン(SSO)設定ダイアログボックスが開きます。
-
SAML 2.0 を選択します。これを選択すると、アサーションコンシューマーサービス(ACS)URL とオーディエンスURI が表示されます。
Note:このダイアログボックスは、手順の後半で再び必要になるので開いたままにしておきます。
-
Entra ID で、応答URL(アサーションコンシューマーサービスURL) をSync のアサーションコンシューマーサービス(ACS)URL 値に設定します。次に、Entra ID の識別子(エンティティID)を、Sync のオーディエンスURI 値に設定します。
Note:ID プロバイダーによるサインオンを使用する場合は、サインオンURL テキストボックスを空のままにしておきます。
-
Sync のシングルサインオン(SSO)設定ダイアログボックスで、ディスカバリーURL を、Entra ID にあるApp Federation Metadata URL 値に設定します。次に、インポートをクリックして、残りの設定をSync にインポートします。
-
Sync で保存およびテストをクリックして、SSO の設定を確認します。Sync で新しいタブが開き、Microsoft アカウントでのサインインを求められます。テストに成功すると、Sync はクレームの詳細とともに成功メッセージを表示します。
-
(オプション)Sync ユーザーアカウントをフェデレーションId で更新します。
-
ステップ9 のシングルサインオン(SSO)設定ダイアログボックスからフェデレーションId をコピーします。
-
設定 > ユーザーに移動します。次に、ユーザーアカウントを見つけて編集をクリックします。
-
ユーザーアカウントにフェデレーションId を追加します。次に、保存をクリックして変更を保存し、ダイアログボックスを終了します。
-
この時点で、SAML SSO の基本設定が完了し、ユーザーはMicrosoft Entra ID 経由でSync にログインできるようになりました。
Okta のSSO 設定
次のセクションでは、OpenID Connect またはSAML 2.0 経由でSSO 用にOkta を設定する方法について説明します。
OpenID Connect 設定
Okta を使用したシングルサインオン(SSO)により、CData Sync へのアクセスが合理化され、ログイン時にジャストインタイムのプロビジョニングが可能になります。次の手順では、OpenID Connect プロトコルを使用してSSO 用にOkta を設定する方法について説明します。
-
Okta 管理コンソールにログインし、アプリケーション > アプリ統合の作成を選択します。
-
新しいアプリ統合の作成ダイアログボックスで、サインイン方式にOIDC - OpenID Connect を、アプリケーションの種類にWeb アプリケーションを選択します。続いて、次へをクリックします。
-
CData Sync にログインし、設定 > SSO を選択してシングルサインオン(SSO)設定ダイアログボックスを開きます。
-
Okta で、リダイレクトURI を、以下に示すようにSync のシングルサインオン(SSO)設定ダイアログボックスで指定されているコールバックURL 値に設定します。
続いて、次へをクリックしてアプリケーションを作成します。
-
Sync のシングルサインオン(SSO)設定ダイアログボックスで、次のプロパティを指定します:
-
クライアントID およびクライアントシークレットプロパティを、Okta の全般タブにある対応する値に設定します。
-
ディスカバリーURL を、登録済みのOkta 組織のドメインに/oauth2/default/.well-known/openid-configuration を付けたURL に設定します。
例:https://trial-1234567.okta.com/oauth2/default/.well-known/openid-configuration
次に、インポートをクリックして、残りの設定をSync にインポートします。
-
-
Sync で保存およびテストをクリックして、SSO の設定を確認します。Sync で新しいタブが開き、Microsoft アカウントでのサインインを求められます。テストに成功すると、Sync はクレームの詳細とともに成功メッセージを表示します。
-
(オプション)Sync ユーザーアカウントをフェデレーションId で更新します。
-
ステップ5 のシングルサインオン(SSO)設定ダイアログボックスから、フェデレーションId をコピーします。
-
設定 > ユーザーに移動します。次に、ユーザーアカウントを見つけて編集をクリックします。
-
ユーザーアカウントにフェデレーションId を追加します。次に、保存をクリックして変更を保存し、ダイアログボックスを終了します。
-
この時点で、OpenID Connect SSO の基本設定が完了し、ユーザーはOkta 経由でSync にログインできるようになりました。
SAML 2.0 設定
SAML ベースのシングルサインオン(SSO)により、ユーザーは組織のID プロバイダーを通じてシームレスに認証できるため、ログイン時にジャストインタイムプロビジョニングが可能になります。次の手順では、SAML 2.0 プロトコルを使用してSSO 用にOkta を設定する方法について説明します。
-
Okta 管理コンソールにログインし、アプリケーション > アプリ統合の作成を選択します。この手順により、新しいアプリ統合の作成ダイアログボックスが開きます。
-
サインイン方式としてSAML 2.0 を選択します。続いて、次へをクリックするとSAML 統合の作成ダイアログボックスが開きます。
-
アプリ名テキストボックスに、アプリケーションのわかりやすい名前(例えば、CData Sync)を入力します。必要に応じて、アプリケーションのロゴを追加することもできます。続いて、次へをクリックします。
-
Sync アプリケーションで、設定ページのSSOタブをクリックします。そのタブ上で、シングルサインオン(SSO)設定セクションの設定をクリックします。このアクションにより、シングルサインオン(SSO)設定ダイアログボックスが開きます。
-
SAML 2.0 を選択します。これを選択すると、アサーションコンシューマーサービス(ACS)URL とオーディエンスURI が表示されます。
Note:このダイアログボックスは、手順の後半で再び必要になるので開いたままにしておきます。
-
Okta で、Sync のアサーションコンシューマーサービス(ACS)URL 値を、シングルサインオンURL テキストボックスに入力します。次に、Sync のオーディエンスURI 値をオーディエンスURI(SP エンティティID)テキストボックスに入力します。残りのOkta フィールドは、デフォルト設定のままにしておきます。
-
Sync で、ディスカバリーURL を、登録済みのOkta 組織のドメインに/oauth2/default/.well-known/openid-configuration を付けたURL に設定します。
例:https://trial-1234567.okta.com/oauth2/default/.well-known/openid-configuration
次に、インポートをクリックして、残りの設定をSync にインポートします。
-
Sync で保存およびテストをクリックして、SSO の設定を確認します。Sync で新しいタブが開き、Microsoft アカウントでのサインインを求められます。テストに成功すると、Sync はクレームの詳細とともに成功メッセージを表示します。
-
(オプション)Sync ユーザーアカウントをフェデレーションId で更新します。
-
ステップ8 のシングルサインオン(SSO)設定ダイアログボックスから、フェデレーションId をコピーします。
-
設定 > ユーザーに移動します。次に、ユーザーアカウントを見つけて編集をクリックします。
-
ユーザーアカウントにフェデレーションId を追加します。次に、保存をクリックして変更を保存し、ダイアログボックスを終了します。
-
この時点で、SAML SSO の基本設定が完了し、Okta 経由でSync にログインできるようになりました。
ジャストインタイム(JIT)ユーザープロビジョニング
前述のとおり、ジャストインタイムユーザープロビジョニング により、Sync はID プロバイダーから提供された情報を使用して、初回ログイン時にユーザーアカウントを自動的に作成および管理できるようになります。JIT プロビジョニングは、ユーザーが初めてID プロバイダーを通じてSync にアクセスし、アプリケーションがユーザーのID を確認する安全なメッセージを受信する場合に特に便利です。作成されたアカウントには、SSO 設定で指定されたデフォルトのロールが割り当てられます。この機能により、ユーザーのオンボーディングが合理化され、アカウントの詳細がアイデンティティクレームと一致することが保証されます。
ユーザーがSAML またはOpenID Connect を使用してSync にログインすると、Sync はフェデレーションId を介してそのユーザーを検索します。
-
If a user does not exist, Sync first uses group-to-role mappings to assign a role. If no mapping is found, Sync then checks the default role. If no group-to-role mapping is found and no default role is configured, the user account is created without a role.
-
If a user already exists, Sync only uses group-to-role mappings to match the user’s current role. If the mapping and current role do not match, Sync updates the user’s current role. There is no default-role matching during this process.
ID プロバイダーにおける要件とマッピング
ID プロバイダーの要件は、SAML 2.0 またはOpenID Connect のどちらを使用するかによって異なります。このセクションでは、各認証方式のクレーム要件について説明します。
OpenID Connect
-
デフォルトでは、サブコントロールはユーザーのロールにマッピングされ、クレームはフェデレーションId にマッピングされます。オプションとして、admin ユーザーは、Sync でKey Claim プロパティを設定することにより、別のフィールド(例えばoid)を使用できます(設定 > SSO > ユーザープロビジョニング)。
-
email クレームは、Sync のEmail Address にマッピングされます。
-
preferred_username クレームは、Sync のname にマッピングされます。
SAML 2.0
-
NameID とEmail クレームは必須です。
-
(オプション)Name クレームを追加できます。これは、Sync のUsername にマッピングされます。
-
(オプション)Role クレームを追加できます。これは、ユーザーのロールを制御します。
Sync でのJIT 設定
Sync でJIT プロビジョニングを有効化および設定するには:
-
次の手順でJIT プロビジョニングを有効にします:
-
Sync で設定 > SSO を選択します。
-
編集アイコンをクリックして(
)、ユーザープロビジョニングダイアログボックスを開きます。
-
JIT プロビジョニングラベルの下で有効化を選択します。
-
(Optional) If one is not set already, select a default role from the SYNC ROLES list.
-
保存をクリックして選択内容を保存し、ダイアログボックスを終了します。
-
ユーザーがログインすると、Sync は次の順序でロールを調整します:
-
If the group-to-role mapping finds a match, Sync applies the mapped role or roles.
-
クレームにロールが含まれている場合、Sync はそのロールを検索してユーザーアカウントを更新します。
-
If the group claim does not exist or there is no mapped Sync role, the application uses the default role.
-
デフォルトロールが設定されていない場合、ユーザーアカウントにはロールがないため、Admin ユーザーが手動でユーザーのロールを更新する必要があります。
グループからロールへのマッピング
In addition to assigning roles through a role claim or a default role, Sync supports mapping of Identity Provider (IdP) groups to Sync roles. This feature is useful when your IdP (for example, Microsoft Entra ID) issues group identifiers in the authentication token instead of role names.
To configure group-to-role mappings in Sync:
-
設定 > SSO を選択し、編集(
)をクリックして、ユーザープロビジョニングダイアログボックスを開きます。 -
Scroll to the GroupMapping section and click Add mappings to open new mapping fields.
-
Enter the value that is returned by your IdP, according to the checks made by Sync:
-
OpenID Connect: Sync checks only the value of the groups claim in the IdP response.
Note: With Okta, the claim can contain group names; with Microsoft Entra ID, the claim contains group identifiers (GUIDs). Configure your mapping to match whatever your IdP issues.
-
SAML 2.0: Sync checks only the value from the role claim.
Then, select one or more Sync roles to which you want to map the group.
-
-
When you finish adding mappings, click Save to exit the dialog box.
When a user logs in with JIT provisioning, Sync assigns roles according to the rules described earlier in Requirements and Mappings in Your Identity Provider.
To delete a mapping, click the Delete icon (
).