シングルサインオン

Nexthinkクラシックプラットフォームを使用しているお客様は、クラウドネイティブのSSOメカニズムに移行する必要があります。

多くの組織は、従業員が単一の会社のログインを使用してビジネスアプリケーションにアクセスできるように、IDおよびアクセス管理（IAM）ソリューションを採用しています。 この技術はシングルサインオン (SSO) アクセス制御と呼ばれています。 SSOは、従業員が覚えたり入力したりするパスワードの数を減らすことで、組織のセキュリティを向上させます。

セキュリティアサーションマークアップ言語 (SAML) は、認証と認可の情報を間違いなく交換するための標準であり、特にサービスプロバイダー（ユーザーを認証する必要があるアプリケーション）と、ユーザーのIDについてアサーションを提供するアイデンティティプロバイダーのシステム間で使用されます。 SAMLは、SSOを実装するために多くの組織で広く使用されています。

SAMLを利用することにより、すでにある企業のアイデンティティプロバイダを通じて、NexthinkのWebインターフェースとFinder（クラシック）にログインできるようにします。

前提条件

NexthinkユーザーのSAMLベースの認証を有効にするには、SSO認証方法を提供するSAMLをサポートするIAM企業ソリューションが必要です。 アイデンティティプロバイダ（IdP）として、システムはNexthinkインスタンスとのSSO認証を開始するためのHTTPリダイレクトバインディングに対応している必要があります。

認証フロー内で、Nexthinkインスタンスに接続しようとしているシステムは、すでに認証されていない場合は、許可されたアクセスを得るための安全なゲートウェイにリダイレクトされます。 ITインフラストラクチャが次のURLへのアクセスを許可していることを確認してください：

https://<instance>-login.<region>.nexthink.cloud

• <instance> はNexthinkインスタンスの名前です

• <region> はインスタンスのロケーション名です

  • us はアメリカ合衆国用

  • eu は欧州連合用

  • pac はアジア太平洋地域用

  • meta は中東・トルコ・アフリカ用

また、以下のものを確保してください：

• Nexthink Webインターフェースにアクセスするためのローカル管理者アカウント

• Nexthinkインスタンスにおける1つ以上のNexthinkユーザーロール

• SAMLアイデンティティプロバイダ内のユーザーおよびユーザーグループ

シングルサインオン管理にアクセス

• メインメニューから管理モジュールを選択します。

• アカウント管理のセクションの下に、シングルサインオンを選択します。

メニュー項目が表示されない場合はロールが正しい権限を持っているか確認してください。

ユーザープロビジョニング

デフォルトでは、ユーザーインターフェイスページにSSOグループのリストが表示されます。 ユーザープロビジョニングは必須です。手動でユーザーを追加すると、ローカルアカウントのみが作成されます。 SSO設定が完了するまで、ユーザープロビジョニングタブはグレーアウトされたままです。

IdPで定義したグループをNexthinkのユーザーロールにマッピングします:

1. 管理者の権限を持つローカルユーザーアカウントを使用して、NexthinkのWebインターフェイスに接続します。

2. シングルサインオン設定ページに移動し、ユーザープロビジョニングタブを選択します。

3. ページの右上隅にある新しいSSOグループボタンをクリックします。

   • SSOグループフィールドにグループ名を入力してください。

     • Azure ADをIdPとして使用する場合は、グループ名ではなく_group identifier_を使用してください。

     • Active Directory Federation Services (AD FS)を使用する場合、ドメインをプレフィックスとしてグループ名に追加します: <domain>/<group_name>。

   • ロールには、リストからユーザーロールを選択します。

4. オプションで、前の手順を繰り返してより多くのマッピングを追加します。

5. 保存をクリックします。

ログイン時には、マッピングされたグループの少なくとも1つのメンバーであるすべてのユーザーにNexthinkのWebインターフェイスへのアクセス権が付与されます。 割り当てられたロールによって、ユーザーの正確な権限が決まります。

マッピングの優先順位を決定する

ユーザーは複数のグループに属する場合があるため、グループのマッピングを指定する順序が重要です。 ユーザーが2つのグループに属し、両方のグループが異なるロールにマッピングされている場合、システムはリストの最初のグループにマッピングされたロールをユーザーに割り当てます。

SSO コンフィギュレーション

SSOを有効にして設定するには、Nexthink管理者として:

• シングルサインオン設定ページに移動します。

• SSO コンフィギュレーションタブを選択します。

NexthinkのSSOメカニズムはOktaによって提供される技術に依存しています。 セットアップフェーズ中に、例えばNexthink Webインターフェースが提供するmetadata.xmlファイル内で *.okta.comや*.oktacdn.comドメイン名への参照がある場合があります。 そのため、NexthinkはOktaのURLをファイアウォールルールで許可することを推奨します。 接続要件 を参照してください。

SSO構成タブを次のように設定してください。

1. SAML 2.0認証スイッチを切り替えます。

2. IdPメタデータのアップロードセクションで、Identity Providerからの情報を使用して各フィールドを設定します。

   • IdP発行者URI: Identity Providerの発行者URIです。 この値は通常、Identity Provider EntityDescriptorのSAMLメタデータentityIDです。

   • IdP Single sign-on URL: Identity Providerの認証リクエストプロトコルエンドポイントで、NexthinkインスタンスからのSAML AuthnRequestメッセージを受信します。 NexthinkはAuthnRequestsにHTTP-GETを使用します。 HTTP-POSTではなくHTTP-リダイレクトバインディングを選択してください。

   • IdP署名証明書: Identity ProviderのSAMLメッセージとアサーション署名を検証するために使用するPEMまたはDERエンコードされた公開鍵証明書です。 これをBase64エンコードしなければなりません。

3. Nexthinkのmetadata.xmlファイルをダウンロードし、それを使用してIdentity ProviderでのSSOアクセスを設定します。

4. SAMLオプションを選択します。 SAMLメッセージは、異なるメソッド（バインディングと呼ばれる）を使用して送信できます。

   • HTTPリダイレクトでは、HTTPリダイレクトメソッドを使用してSAMLメッセージを送信します。 コンテンツはURLパラメータを使用して送信されます。 これがデフォルトオプションです。

   • HTTP POSTは、HTMLフォームを使用してSAMLメッセージをPOSTリクエストで送信します。 SAMLメッセージコンテンツがURLパラメータを使用して送信するには大きすぎる場合、このオプションを選びます。

5. ユーザープロビジョニング時にユーザー情報を取得するために使用される属性名を設定してください。 決められた名前のSAML属性としてその値を送信するようにIdentity Providerを設定する必要があります。 Identity ProviderがNexthink名に一致するカスタム属性名をサポートしていない場合、それらを調整します。

   • グループ属性: ユーザーグループのリストを取得するためのSAML属性。 ユーザーは、Nexthinkにアクセスするためにユーザープロビジョニングセクションに定義されたグループと一致するグループを少なくとも１つ持たなければなりません。 デフォルト値はnexthink.groupsです。

   • フルネーム属性: ユーザーのフルネームを取得するためのSAML属性。 デフォルト値はnexthink.fullnameです。

   • メールアドレス属性: ユーザーのメールアドレスを取得するためのSAML属性。 デフォルト値はnexthink.emailです。

   • 名前ID形式属性: 予想される名前の形式。 一部のIdentity Providerは、これをurn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressに設定することを要求します。 デフォルト値はurn:oasis:names:tc:SAML:1.1:nameid-format:unspecifiedです。

SSO コンフィギュレーションの例

Identity ProviderとしてActive Directory Federation Services (AD FS)を構成する

1. Nexthink管理者として、シングルサインオン設定ページに移動し、SSO構成タブを選択します。

2. SAML 2.0認証スイッチを既に有効にしていないなら切り替えます。

3. メタデータの値を次のように設定します。

   • IdP発行者URIをhttps://<yourdomain.com>/adfs/services/trustとして、<yourdomain>をAD FSサーバーの完全修飾ドメイン名(FQDN)に置き換えます。

   • IdP Single sign-on URLをhttps://<yourdomain.com>/adfs/lsとして、<yourdomain.com>をAD FSサーバーの完全修飾ドメイン名(FQDN)に置き換えます。

4. Nexthinkのmetadata.xmlファイルをダウンロードしてください。

5. AD FSを実行しているWindows Serverシステムに管理者としてログインします。

6. AD FS管理コンソールを開きます。

7. 依頼先の信頼を右クリックし、**依頼先の信頼の追加...**を選択して、信頼できる依頼先の追加ウィザードを起動します。

   • ようこそステップで、クレーム認識型の依頼先を選択します。

   • 開始をクリックします。

   • データソースの選択ステップで、ファイルから依頼先に関するデータをインポートするオプションを選択します。

   • **参照...**をクリックし、metadata.xmlファイルの位置を指定します。

   • metadata.xmlファイルを選択し、開くをクリックします。

   • 次へをクリックします。

   • 表示名の指定ステップで、適切な依頼先の名前を入力します。

   • （オプション）依頼先に関する追加情報をノートに入力します。

   • ウィザードの残りのステップをスキップするために次へを連続してクリックします。

   • 処理を完了するには閉じるをクリックします。

8. 左側のツリーで、依頼先の信頼をクリックして、信頼できる依頼先のリストを表示します。

9. 新しく追加されたNexthink Webインターフェースを表す信頼できる依頼先エントリを右クリックします。

10. コンテキストメニューから、クレームを発行するためのポリシーを編集するエントリを選択します。

    • Windows Server 2016の場合、**クレーム発行ポリシーの編集...**を選択します。

    • Windows Server 2012の場合、**クレームルールの編集...**を選択します。

11. 発行変換ルールタブで、**ルールの追加...**をクリックして、ユーザーのUPNをName IDにマッピングし、それをNexthink Webインターフェースがユーザーフィールドと一致させて認証します。

    • ルールタイプの選択では、LDAP属性をクレームとして送信をクレームルールテンプレートで選択します。

    • 次へをクリックします。

    • クレームルールの構成:

      • クレームルール名には、ルールの適切な名前を入力します（例: Map UPN to Name ID）。

      • 属性ストアでActive Directoryを選択します。

      • LDAP属性からのクレームタイプへのマッピングの設定では、LDAP属性のUser-Principal-Nameを、クレームタイプの出力のName IDとして選択します。

    • 完了をクリックします。

12. 再度、発行変換ルールタブで**ルールの追加...**をクリックして、クレームを追加します。

    • ルールタイプの選択で、クレームを変換するをクレームルールテンプレートで選択します。

    • 次へをクリックします。

    • クレームルールの構成:

      • クレームルール名には、ルールの適切な名前を入力します（例: UPN as Name ID in email format）。

      • 入力クレームタイプにUPNを選択します。

      • 出力クレームタイプにName IDを選択します。

      • 出力名ID形式にはEmailを選択します。

      • すべてのクレーム値を透過的に保持するオプションをチェックしておきます。

    • 完了をクリックします。

13. また発行変換ルールタブで、**ルールの追加...**をクリックしてクレームを追加します。

    • ルールの種類の選択では、クレームルールテンプレート の下でLDAP 属性をクレームとして送信するを選択してください。

    • 次へをクリック。

    • クレームルールの設定:

      • クレームルール名には、適切な名前を入力してください。例としては、Nexthink claimsがあります。

      • 属性ストアでActive Directoryを選択。

      • LDAP属性のクレームタイプへのマッピングで、ドメイン名で修飾されたトークングループとアウトゴーイングクレームタイプとしてグループを選択します。

      • 1 線を追加し、LDAP属性のクレームタイプへのマッピングで、表示名と姓をアウトゴーイングクレームタイプとして選択してください。

      • 1 行を追加し、LDAP属性のアウトゴーイングクレームタイプへのマッピングで、EメールアドレスとしてEメールアドレスを選択してください。

    • 完了をクリック

    • OKをクリック。

14. Nexthink の Web インターフェイスを表す信頼できるリライイングパーティエントリをもう一度右クリックします。

15. メニューからプロパティを選択します。 リライイングパーティのプロパティを表示および変更するためのダイアログボックスが表示されます。

    • Advanced タブの下で、セキュアハッシュアルゴリズムとしてSHA-256を選択します。

    • プロパティダイアログボックスを閉じるには OK をクリックします。

16. サービスを展開し、証明書をクリックして、AD FS サーバーの署名証明書をダウンロードします。 トークン署名証明書をダブルクリックし、詳細タブに移動して、証明書エクスポートウィザードを開くには**ファイルにコピー…**をクリックします。

    • Base-64 でエンコードされた X.509 (.CER) を選択し、次へをクリックします。

    • 後で使用するためにファイルを保存します。

17. Nexthink 管理者として Nexthink ウェブインターフェイスに戻り、シングルサインオン設定ページに移動して SSO 設定 タブを選択します。

18. AD FS 管理コンソールから取得した署名証明書をアップロードします。

19. 以下の通り属性値を設定します。

    • グループ属性 を http://schemas.xmlsoap.org/claims/Group とします。

    • フルネーム属性 を http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname とします。

    • Eメールアドレス属性をhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressとします。

    • 名前IDフォーマット属性を urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified とします。

20. 保存をクリックしてください。

21. ユーザー プロビジョニング に関する指示に従ってください。

Entra ID をアイデンティティプロバイダーとして設定する

1. Nexthink 管理者として Nexthink の web インターフェースに戻り、シングルサインオン設定ページに移動し、SSO 設定タブを選択します。

2. SAML 2.0 認証スイッチをトグルし、未有効化の場合は有効化します。

3. Nexthink サービスプロバイダーのメタデータファイル（metadata.xml）をダウンロードしてください。 このファイルを後で使用します。

4. Azure ポータル にログインします。

5. エンタープライズアプリケーション、次に新しいアプリケーション、そして最後に独自のアプリケーションを作成するをクリックします。

6. 独自のアプリケーションを作成するとラベル付けされた右側パネルで、例としてアプリケーション名として「Nexthink」と入力し、ギャラリーにない他のアプリケーションを統合します。

7. シングルサインオンのセットアップ、次に SAML、次に メタデータファイルのアップロードをクリックします。

8. ページの左上隅にある メタデータファイルのアップロード ボタンをクリックします。

9. metadata.xml ファイルを選択し、保存します。

10. 属性とクレームを編集するには、ページ右上のペンシルアイコンをクリックします。 クレームを編集するページが表示されます。

    • 一意のユーザー識別子（Name ID）がメールフォーマットのユーザープリンシパル名（UPN）であることを確認してください:

      • user.userprincipalname [nameid-format:emailAddress]

11. 発行される SAML アサーションにユーザーグループを含めるには、グループクレームを追加ボタンをクリックします。

    • ユーザーに関連付けられたグループがクレームで返されるよう、アプリケーションに割り当てられたグループを選択します。

    • 返されるソース属性としてグループIDを選択します。

    • 高度なオプションで、グループクレームの名前をカスタマイズするにチェックを入れます。

    • **名前（必須）**フィールドにnexthink.groupsを使用します。

    • 保存をクリックしてユーザー属性とクレームページに戻ります。

12. 新しいクレームを追加ボタンをクリックし、発行された SAML アサーションでユーザーのフルネームを含めるには、ユーザークレームの管理ページを読み込みます。

    • 名前フィールドにnexthink.fullnameを使用します。

    • ソースのタイプとして属性を選択します。

    • ソース属性フィールドにuser.displaynameを使用します。

    • 保存をクリックします。

13. 発行された SAML アサーションにユーザーのメールを含めるために、 新しいクレームを追加 ボタンをクリックして、ユーザークレームの管理を読み込みます。

    • 名前フィールドにnexthink.emailを使用します。

    • ソース属性フィールドにuser.mailまたはuser.userprincipalnameを使用します。

    • 保存をクリックします。

14. ログイン URL と Microsoft Entra Identifier をメモしておいてください。 Nexthink インスタンスの SSO 設定時にこれらを使用します。

15. ページの三つ目のタイルで SAML 署名証明書、最初のエントリと関連する 証明書（Base64） のダウンロードリンクをクリックします。

16. 後に Nexthink のロールにマッピングするために、Entra ID のグループの識別子を取得します。

    • Azure ポータルのメインページに戻り、左側のパネルで Microsoft Entra ID をクリックします。

    • 管理の下にある グループを選択します。 アクティブなグループのリストがページ グループ － すべてのグループ に表示されます。

    • Nexthink の役割にマッピングするグループの 1 つを選択します。

    • ページの左側メニューで、管理の下にあるプロパティを選択します。

    • プロパティ ページの 一般設定 セクションの オブジェクト ID 欄の右横にあるコピーアイコンをクリックしてグループ識別子をコピーします。

    • オブジェクト ID をどこか他の場所に貼り付け、例えばテキストエディターに保存して後で使用します。

    • グループの選択に戻るには、プロパティ ページの上部で破棄をクリックし、Nexthink のロールにマッピングする必要があるグループについてこの操作を必要なだけ繰り返します。

17. Nexthink 管理者として Nexthink の Web インターフェイスに戻り、シングルサインオン 設定ページに移動して SSO 設定 タブを選択します。

18. メタデータの値を以下のように設定します。

    • IdP 発行 URIを以前に収集したMicrosoft Entra Identifierとして設定。

      場合によっては、最後に 「/」 を追加する必要があります。

    • IdP シングルサインオン URLを以前に収集したログイン URLとして設定。

19. Azure Portal からダウンロードした IdP 署名証明書をアップロードします。

20. 属性値を次のように設定します：

    • グループ属性 as nexthink.groups

    • フルネーム属性 as nexthink.fullname

    • メール アドレス属性 as nexthink.email

    • Name ID フォーマット属性 as urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

21. 保存をクリック。

22. ユーザープロビジョニングに関する指示に従ってください。

汎用 SAML アイデンティティプロバイダーの設定

市場に存在するすべての SAML アイデンティティプロバイダーの設定手順を詳細に説明することは不可能ですが、準拠したプロバイダーを設定する手順は上記の例と大きく異なる運びではありません。

SSO が設定されると、ユーザープロビジョニングに関する指示に従ってください。

権限

シングルサインオン管理に適切な権限を有効にするには：

• メインメニューから管理を選択します。

• ナビゲーションパネルから役を押します。

• 新しい役 ボタンをクリックして新しい役を作成するか、それにマウスをホバーさせて編集アイコンをクリックして役の設定を変更し、既存の役を編集します。

• 権限 セクションで、管理 セクションまで下にスクロールし、管理者権限を有効にします。

権限オプションを詳述した説明については、役ドキュメントを参照してください。

SSO (クラシック) からの移行

2023年3月15日以前に SSO を構成した場合、再構成を求めるメッセージが表示される可能性があります。 クラシック SSO メカニズムのサポートは 2025 年 3 月 31 日で終了するため、できるだけ早く構成を行ってください。 Nexthink Community にログインし、Infinity Transition ガイドで定義された手順に従ってください。

関連タスク

• 監査証跡コードアプリケーション