サポート (英語のみ)

シングルサインオン

Nexthinkクラシックプラットフォームを使用している顧客は、クラウドネイティブなSSOメカニズムに移行する必要があります。

SSOユーザーの名前がメール形式に従っていない場合は、Nexthink Infinityへの移行手順の一部であるフェーズ1 - 移行準備とFinderの削除の拡張ドキュメントを参照してください。

多くの組織は、従業員が単一の企業ログインを通してビジネスアプリケーションにアクセスできるように、アイデンティティとアクセス管理(IAM)ソリューションを採用しています。 この技術は、シングルサインオン(SSO)アクセス制御として知られています。 SSOは、従業員が覚えたり入力したりする必要のあるパスワードの数を減らすことで、組織のセキュリティを改善します。

セキュリティアサーションマークアップ言語(SAML)は、ユーザーを認証する必要のあるアプリケーションであるサービスプロバイダーと、ユーザーのアイデンティティに関するアサーションを発行するシステムであるアイデンティティプロバイダーの間で、認証と認可情報を安全に交換するための標準です。 SAMLは、SSOを実装するために多くの組織で広く使用されています。

SAMLを活用することで、既存の企業アイデンティティプロバイダーを通じて、NexthinkのWebインターフェイスやFinder(クラシック)にログインできるようにします。

前提条件

NexthinkユーザーのSAMLベースの認証を有効にするには、SAMLをサポートするIAM企業ソリューションが必要です。これにより、シングルサインオン認証方法が提供されます。 アイデンティティプロバイダー(IdP)としてのシステムは、NexthinkインスタンスとのSSO認証を開始するために、HTTPリダイレクトバインディングをサポートする必要があります。

認証フロー内で、まだ認証されていないシステムがNexthinkインスタンスに接続しようとすると、安全なゲートウェイにリダイレクトされ、認可されたアクセスが取得されます。 あなたのITインフラストラクチャが次のURLへのアクセスを許可することを確認してください:

https://<instance>-login.<region>.nexthink.cloud

  • <instance>はNexthinkインスタンスの名前です

  • <region>はインスタンスのローカライゼーションの名前です

    • アメリカの場合はus

    • ヨーロッパ連合の場合はeu

    • アジア太平洋地域の場合はpac

    • 中東、トルコ、アフリカの場合はmeta

また、次のことを確認してください:

  • Nexthinkウェブインターフェイスへのアクセスのためのローカル管理者アカウント

  • Nexthinkインスタンス内の1つまたは複数のNexthinkユーザーロール

  • SAMLアイデンティティプロバイダー内のユーザーおよびユーザーグループ

シングルサインオン管理にアクセスする

  • メインメニューから管理モジュールを選択します。

  • アカウント管理セクションの下でシングルサインオンを選択します。

メニューエントリが見当たらない場合は、あなたの役割が正しい権限を有していることを確認してください。

ユーザー供給

デフォルトでは、ユーザーインターフェイスページにはSSOグループのリストが表示されます。 ユーザー供給は必須であり、ユーザーを手動で追加するとローカルアカウントのみが作成されます。 SSO構成を完了するまで、ユーザー供給タブはグレーアウトされたままです。

IdPに定義されているグループをNexthinkユーザーロールにマッピングします:

  1. 管理者権限を持つローカルユーザーアカウントを使用してNexthinkウェブインターフェイスに接続します。

  2. シングルサインオン構成ページに移動し、ユーザー供給タブを選択します。

  3. ページの右上隅にある新しいSSOグループボタンをクリックします。

    • SSOグループフィールドにグループ名を入力します。

      • IdPとしてAzure ADを使用する場合は、グループ名の代わりにグループ識別子を使用します。

      • Active Directory Federation Services(AD FS)を使用する場合、グループ名にプレフィックスとしてドメインを使用します: <domain>/<group_name>

    • 役割のために、リストからユーザーロールを選択します。

  4. オプションで、前の手順を繰り返してさらにマッピングを追加します。

  5. 保存をクリックします。

ログイン時に、NexthinkのWebインターフェイスは、少なくとも1つのマッピングされたグループのメンバーであるすべてのユーザーにアクセスを許可します。 割り当てられた役割は、ユーザーの具体的な権限を決定します。

マッピングの優先順位を決定する

ユーザーが複数のグループに属する可能性があるため、グループのマッピングを指定する順序が重要です。 ユーザーが2つのグループに属し、両方のグループが異なる役割にマッピングされている場合、システムはリストの最初のグループにマッピングされた役割をユーザーに割り当てます。

Everyoneグループ

システムのみが使用できるため、_Everyone_という名前のSSOグループをマッピングすることはできません。 システムは_Everyone_という名前のグループのマッピングを拒否します。

SSO構成

SSOを有効にし、構成するには、Nexthink管理者として:

  • シングルサインオン構成ページに移動します

  • SSO構成タブを選択します。

NexthinkのSSOメカニズムは、Oktaによって提供される技術を利用しています。 設定段階で、例えばNexthink Webインターフェイスによって提供されるmetadata.xmlファイル内などに、*.okta.comおよび*.oktacdn.comドメイン名への参照が見られることがあります。 したがって、NexthinkはファイアウォールルールでOktaのURLを許可することを推奨します。 https://github.com/nexthink/documentation.online-product-documentation/blob/develop/ja_docs/configuring_nexthink/before-you-begin/technical-requirements/connectivity-requirements.mdドキュメントを参照してください。

有効にすると、新しい設定がさまざまなアプリケーション層に到達し、Nexthinkインスタンスが新しい認証プロセスに切り替わるまでに、数分かかることがあります。

SSO構成タブを次のように設定します:

  1. SAML 2.0認証スイッチをオンにします。

  2. IdPメタデータのアップロードセクションで、アイデンティティプロバイダーからの情報を使用して各種フィールドを構成します。

    • IdP発行者URI:アイデンティティプロバイダーの発行者URIです。 この値は通常、アイデンティティプロバイダーEntityDescriptorのSAMLメタデータentityIDです。

    • IdPシングルサインオンURL:バインディング固有の、アイデンティティプロバイダーの認証リクエストプロトコルエンドポイントであり、某所NexthinkインスタンスからSAMLAuthnRequestメッセージを受信します。 NexthinkはそのAuthnRequestsにHTTP-GETを使用します。 HTTP-Redirectバインディングを選択し、HTTP-POSTを選択しないでください。

    • IdP署名証明書:アイデンティティプロバイダーの公開鍵証明書であり、SAMLメッセージとアサーションの署名を検証するために使用されます。 それはBase64エンコードされている必要があります。

  3. Nexthinkのmetadata.xmlファイルをダウンロードし、アイデンティティプロバイダーでのSSOアクセスを構成するために使用します。

  4. SAMLオプションを選択します。 SAMLメッセージは、バインディングと呼ばれる異なる方法で送信可能です:

    • HTTPリダイレクトメソッドはSAMLメッセージを送信するために使用されます。 内容はURLパラメータとして送信されます。 これはデフォルトオプションです。

    • HTTP POSTは、SAMLメッセージをPOST要求を通じてHTMLフォームで送信します。 SAMLメッセージの内容がURLパラメータとして送信するには大きすぎる場合にこのオプションを選択します。

  5. ユーザー情報を取得するためのユーザー供給時の属性名を構成します。 アイデンティティプロバイダーは、その値を指定された名前のSAML属性として送信するよう構成する必要があります。 アイデンティティプロバイダーがNexthinkの名前に一致するカスタム属性名をサポートしていない場合、それらを調整します:

    • グループ属性:ユーザーグループのリストを取得するためのSAML属性。 ユーザーは、Nexthinkにアクセスするために、ユーザー供給セクションに定義されたグループと一致する少なくとも1つのグループを持っている必要があります。 デフォルト値はnexthink.groupsです。

    • フルネーム属性:ユーザーのフルネームを取得するためのSAML属性。 デフォルト値はnexthink.fullnameです。

    • メールアドレス属性:ユーザーのメールアドレスを取得するためのSAML属性。 デフォルト値はnexthink.emailです。

    • 名前IDフォーマット属性:名前の期待されるフォーマット。 一部のアイデンティティプロバイダーは、urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressに設定する必要があります。 デフォルト値はurn:oasis:names:tc:SAML:1.1:nameid-format:unspecifiedです。

シングルサインオン(SSO)を構成した後、NexthinkはデフォルトでSSOログインページを表示します。 そのため、非SSOローカルユーザーは認証のために"/login"ページを使用する必要があります。

詳しくはWebインターフェイスへのログインドキュメントをお読みください。

SSO構成の例

アイデンティティプロバイダーとしてActive Directory Federation Services(AD FS)を構成する

  1. Nexthink管理者として、シングルサインオン構成ページに移動し、SSO構成タブを選択します。

  2. まだ有効にされていない場合は、SAML 2.0認証スイッチをオンにします。

  3. メタデータ値を次のように設定します:

    • IdP発行URIとしてhttps://<yourdomain.com>/adfs/services/trustを設定し、<yourdomain>をAD FSサーバーの完全修飾ドメイン名(FQDN)に置き換えます。

    • IdPシングルサインオンURLとしてhttps://<yourdomain.com>/adfs/lsを設定し、<yourdomain.com>をAD FSサーバーの完全修飾ドメイン名(FQDN)に置き換えます。

  4. Nexthinkのmetadata.xmlファイルをダウンロードします。

  5. AD FSを実行しているWindows Serverシステムに管理者としてログインします。

  6. AD FS管理コンソールを開きます。

  7. 信頼するパーティ信頼を右クリックし、**信頼するパーティ信頼の追加...**を選択して、信頼するリライングパーティの追加ウィザードを起動します。

    • ウェルカムステップで、クレーム意識のリライングパーティを選択します。

    • 開始をクリックします。

    • データソースを選択ステップで、ファイルからのリライングパーティに関するデータをインポートするオプションを選択します。

    • 参照... をクリックして、metadata.xmlファイルの場所を指定します。

    • metadata.xmlファイルを選択し、開くをクリックします。

    • 次へをクリックします。

    • 表示名の指定ステップで、リライングパーティに適切な名前を入力します。

    • (任意)ノートの下でリライングパーティに関する追加情報を入力します。

    • ウィザードの残りのステップをスキップするために次へを繰り返しクリックし、最後のステップに到達します。

    • 閉じるをクリックして、プロセスを完了します。

  8. 左側のツリーの信頼するパーティ信頼をクリックして、信頼されたリライングパーティのリストを取得します。

  9. 新しく追加されたNexthink Webインターフェイスを表す信頼されたリライングパーティエントリを右クリックします。

  10. コンテキストメニューから、クレーム発行ポリシーを編集するためのエントリを選択します:

    • Windows Server 2016では、**クレーム発行ポリシーの編集...**を選択します。

    • Windows Server 2012では、**クレームルールの編集...**を選択します。

  11. 発行変換ルールタブで、**ルールを追加...**をクリックして、ユーザーのUPNをName IDにマッピングします。これにより、Nexthink Webインターフェイスはユーザーフィールドに対してマッチングされ、認証が行われます。

    • ルールタイプの選択では、クレームルールテンプレートの下のLDAP属性をクレームとして送信を選択します。

    • 次へをクリックします。

    • クレームルールの構成のために:

      • クレームルール名として、UPNをName IDにマップするなど、適切な名前を入力します。

      • 属性ストアにはActive Directoryを選択します。

      • LDAP属性を送信するクレームタイプに対応させるのために、LDAP属性User-Principal-Nameを選択し、送信するクレームタイプName IDを選択します。

    • 完了をクリックします。

  12. 再び発行変換ルールタブに戻り、クレームを追加するために**ルールを追加...**をクリックします。

    • ルールタイプの選択では、クレームルールテンプレートの下のインカミングクレームを変換するを選択します。

    • 次へをクリックします。

    • クレームルールの構成のために:

      • クレームルール名として、メール形式でのUPNをName IDとして送信するなど、適切な名前を入力します。

      • インカミングクレームタイプにはUPNを選択します。

      • 送信するクレームタイプにはName IDを選択します。

      • 送信する名前ID形式にはEmailを選択します。

      • すべてのクレーム値を渡すオプションがチェックされていることを確認してください。

    • 完了をクリックします。

  13. 再度発行変換ルールタブに戻り、クレームを追加するために**ルールを追加...**をクリックします。

    • ルールの種類の選択には、クレームルールテンプレートLDAP属性をクレームとして送信を選択してください。

    • 次へをクリックします。

    • クレームルールの構成:

      • クレームルール名にルールの適切な名前を入力します。例えば、Nexthink claimsとします。

      • 属性ストアにはActive Directoryを選択します。

      • LDAP属性を出力クレームタイプにマッピングする際、トークングループ - ドメイン名によって修飾されたものと、グループ出力クレームタイプとして選択します。

      • 1行追加し、LDAP属性を出力クレームタイプにマッピングする際、表示名出力クレームタイプとして選択します。

      • 1行追加し、LDAP属性を出力クレームタイプにマッピングする際、メールアドレスメールアドレス出力クレームタイプとして選択します。

    • 完了をクリックします。

    • OKをクリックします。

  14. Nexthinkウェブインターフェイスを表す信頼できる依存パーティエントリを再度右クリックします。

  15. メニューからプロパティを選択します。 依存パーティのプロパティを確認および変更するダイアログボックスが表示されます。

    • 高度な設定タブで、セキュアハッシュアルゴリズムSHA-256を選択します。

    • プロパティダイアログボックスを閉じるためにOKをクリックします。

  16. サービスを展開して証明書をクリックして、AD FSサーバーの署名証明書をダウンロードします。 トークンサイン証明書をダブルクリックし、詳細タブに移動して**ファイルにコピー...**をクリックし、証明書エクスポートウィザードを開きます。

    • Base-64 encoded X.509 (.CER)を選択して次へをクリックします。

    • ファイルを後で使用するために保存します。

  17. Nexthink管理者としてNexthinkウェブインターフェイスに戻り、シングルサインオン構成ページに行き、SSO構成タブを選択します。

  18. AD FS管理コンソールから取得した署名証明書をアップロードします。

  19. 以下に示すように属性値を設定します。

    • グループ属性http://schemas.xmlsoap.org/claims/Groupとします。

    • フルネーム属性http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surnameとします。

    • メールアドレス属性http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressとします。

    • 名前 ID フォーマット属性urn:oasis:names:tc:SAML:1.1:nameid-format:unspecifiedとします。

  20. 保存をクリックします。

  21. 現在、ユーザープロビジョニングに関連する指示に従ってください。

Entra ID を認証プロバイダーとして構成する

  1. Nexthinkの管理者として、シングルサインオン構成ページに行き、SSO構成タブを選択します。

  2. SAML 2.0 認証スイッチを、有効でない場合は切り替えてください。

  3. Nexthinkのサービスプロバイダーメタデータファイル(metadata.xml)をダウンロードします。 このファイルは後で使用します。

  4. Azure ポータルにログインします。

  5. エンタープライズアプリケーションをクリックし、新しいアプリケーション、最後に自分のアプリケーションを作成するをクリックします。

  6. 右側のパネル自分のアプリケーションを作成するで、アプリケーション名を入力します。 例えば、名前の入力フィールドにはNexthinkとし、**ギャラリーにない他のアプリケーションを統合する(非ギャラリー)**を選択します。

  7. シングルサインオンの設定をクリックし、SAML、最後にメタデータファイルをアップロードします。

  8. ページの左上にあるメタデータファイルのアップロードボタンをクリックします。

  9. metadata.xmlファイルを選択して保存します。

  10. 2番目のタイルの右上にある鉛筆アイコンをクリックして、属性とクレームを編集します。 クレームを編集するためのページが表示されます。

    • 一意のユーザー識別子(名前ID)がメール形式のユーザープリンシパル名(UPN)であることを確認します。

      • user.userprincipalname [nameid-format:emailAddress]

  11. グループクレームを追加ボタンをクリックし、発行されたSAMLアサーションにユーザーグループを含めます。

    • ユーザーに関連付けられたグループをクレームに返すため、アプリケーションに割り当てられたグループを選択します。

    • ソース属性に対しグループIDを選択して返します。

    • 高度なオプションの下で、グループクレームの名前をカスタマイズにチェックを入れます。

    • **名前(必須)**フィールドにはnexthink.groupsを使用します。

    • 保存をクリックしてユーザー属性とクレームページに戻ります。

  12. 発行されたSAMLアサーションにユーザーのフルネームを含めるために新しいクレームを追加ボタンをクリックし、ユーザークレームの管理ページをロードします。

    • 名前フィールドにはnexthink.fullnameを使用します。

    • ソースの種類として、属性を選択します。

    • ソース属性フィールドにはuser.displaynameを使用します。

    • 保存をクリックします。

  13. 発行されたSAMLアサーションにユーザーのメールを含めるために新しいクレームを追加ボタンをクリックし、ユーザークレームの管理をロードします。

    • 名前フィールドにはnexthink.emailを使用します。

    • ソース属性フィールドにはuser.mailまたはuser.userprincipalnameを使用します。

    • 保存をクリックします。

  14. ログインURLMicrosoft Entra Identifierをメモします。 あなたのNexthinkインスタンスのSSOを構成する際にそれらを使用します。

  15. ページSAML署名証明書の3番目のタイルで、最初のエントリに関連付けられた証明書(Base64)のダウンロードリンクをクリックします。

  16. Entra IDのグループの識別子を取得し、後にNexthinkの役割にマッピングします。

    • Azureポータルのメインページに戻り、左側のパネルでMicrosoft Entra IDをクリックします。

    • 管理下で、グループを選択します。 ページ上でのグループ - すべてのグループのアクティブグループリストが表示されます。

    • Nexthinkの役割にマップしたいグループを1つ選択します。

    • ページの左側メニューで、管理下のプロパティを選択します。

    • プロパティページの下で、一般設定セクションのオブジェクトIDフィールドの右側にある紙のアイコンをクリックして、グループ識別子をコピーします。

    • オブジェクトIDをテキストエディタなどに貼り付けて、後で使用するために保存します。

    • プロパティページの上部で破棄をクリックしてグループ選択に戻り、Nexthinkの役割にマッピングする必要がある多くのグループに対する操作を繰り返します。

  17. Nexthinkの管理者として、Nexthinkウェブインターフェイスに戻り、シングルサインオン構成ページに行き、SSO構成タブを選択します。

  18. メタデータ値を次のように設定します:

    • IdP イシュールータURIを先に取得したMicrosoft Entra Identifierとして設定。

      場合によっては、最後に/文字を追加する必要があります。

    • IdP シングルサインオンURLを先に取得したログインURLとして設定。

  19. AzureポータルからダウンロードしたIdP署名証明書をアップロードします。

  20. 以下のように属性値を設定します。

    • グループ属性nexthink.groupsとします。

    • フルネーム属性nexthink.fullnameとします。

    • メールアドレス属性nexthink.emailとします。

    • 名前IDフォーマット属性urn:oasis:names:tc:SAML:1.1:nameid-format:unspecifiedとします。

  21. 保存をクリックします。

  22. 現在、ユーザープロビジョニングに関連する指示に従ってください。

一般的なSAMLプロバイダーの構成

市場に存在するすべてのSAMLプロバイダーの構成手順を詳細に説明することはできませんが、適合するプロバイダーの構成手順は上記の例と大差ないはずです。

メタデータ
エンティティID
アサーションコンシューマーサービス(ACS)
ACSバインディング
NameIDフォーマット

Nexthinkの管理者として、シングル サインオン 構成ページに行き、SSO 構成 タブを選択します。

SAML 2.0 認証 スイッチを、有効でない場合は切り替えてください。

Nexthink metadata.xml ファイルをダウンロードします。

metadata.xml ファイルを参照してください。

metadata.xml ファイルを参照してください。

metadata.xml ファイルを参照してください。

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

SSO構成後、ユーザープロビジョニングに関連する指示に従ってください。

権限

シングル サインオーン管理の適切な権限を有効にするために:

  • メインメニューから管理を選択します。

  • ナビゲーションパネルから役割をクリックします。

  • 新しい役割を作成するには新しい役割ボタンをクリックし、既存の役割を編集するには、その上でホバーして編集アイコンをクリックして役割の設定を変更します。

  • 権限セクションで下にスクロールして、管理セクションを開き管理者権限を有効にします。

権限オプションの詳細な説明については、役割ドキュメントを参照してください。

SSO(クラシック)からの移行

2023年3月15日以前に既にSSOを構成している場合は、再構成を促すメッセージが表示されることがあります。 できるだけ早く構成を進めてください。ク ラシックSSOメ カニズムのサポートは2025年3月31日で終了します。 Nexthink Community にログインし、Infinity Transition ガイドで定義されたステップに従ってください。

関連したタスク

Last updated

Was this helpful?