シングルサインオン

多くの組織は、単一の企業ログインを通じてビジネスアプリケーションへの従業員のアクセスを容易にするため、アイデンティティおよびアクセス管理（IAM）ソリューションを採用しています。 この技術は、シングルサインオン（SSO）アクセス制御として知られています。 SSOは、従業員が覚えて入力するパスワードを減らすことで、組織のセキュリティを向上させます。

セキュリティアサーションマークアップ言語（SAML）は、サービスプロバイダー（ユーザーの認証を必要とするアプリケーション）とアイデンティティプロバイダー（ユーザーのアイデンティティに関するアサーションを発行するシステム）との間で認証と許可情報を安全に交換するための標準です。 SAMLはSSOを実装するために多くの組織で広く使用されています。

SAMLを活用することで、Nexthinkユーザーが既存の企業のアイデンティティプロバイダーを通じてNexthinkウェブインターフェースとFinder（クラシック）にログインできます。

前提条件

NexthinkユーザーのSAMLベース認証を有効にするには、SAMLをサポートし、Single Sign-On認証方法を提供するIAM企業ソリューションが必要です。 アイデンティティプロバイダー（IdP）として、システムはHTTPリダイレクトバインディングをサポートし、NexthinkインスタンスとのSSO認証の開始が可能でなければなりません。

認証フロー内で、Nexthinkインスタンスに接続しようとするシステムは、既に認証されていない場合、認可されたアクセスを得るために安全なゲートウェイにリダイレクトされます。 ITインフラストラクチャが次のURLにアクセスできることを確認してください:

https://<instance>-login.<region>.nexthink.cloud``<instance> はNexthinkインスタンスの名前です。

• <instance> は Nexthink インスタンスの名前です。

• <region> はインスタンスのローカライズの名前です。

  • us はアメリカ合衆国を指します。

  • eu は欧州連合を指します。

  • pac はアジア太平洋地域を指します。

  • meta は中東、トルコ、アフリカを指します。

また、以下を確認してください:

• Nexthink の Web インターフェースにアクセスするためのローカル管理者アカウント

• あなたの Nexthink インスタンスでの 1 つ以上の Nexthink ユーザー[ロール]

• SAML ID プロバイダー内のユーザーとユーザーグループ

シングルサインオン管理へのアクセス

• メインメニューから 管理 モジュールを選択します。

• アカウント管理 セクションの下にある シングルサインオン を選択します。

メニュー項目が表示されない場合は、あなたの役割に適切な権限があることを確認してください。

ユーザーのプロビジョニング

デフォルトでは、ユーザーインターフェースのページには SSO グループのリストが表示されます。 ユーザーのプロビジョニングは必須です。手動でユーザーを追加すると、ローカルアカウントしか作成されません。 ユーザープロビジョニングタブは、SSO 設定が完了するまでグレーアウトされたままです。

あなたの IdP で定義されたグループを Nexthink ユーザーロールにマッピングします:

1. 管理者権限のあるローカルユーザーアカウントを使用して Nexthink Web インターフェースに接続します。

2. シングルサインオン 設定ページに移動して ユーザープロビジョニング タブを選択します。

3. ページの右上隅にある 新しい SSO グループ ボタンをクリックします。

   • SSO グループ フィールドにグループの名前を入力します。

     • Azure AD を IdP として使用する場合は、グループ名の代わりに グループ識別子 を使用してください。

     • Active Directory フェデレーション サービス (AD FS) を使用する場合、グループ名の前にドメインをプレフィックスとして付けます: <domain>/<group_name>。

   • ロールには、リストからユーザーロールを選択してください。

4. オプションとして、前の手順を繰り返してさらにマッピングを追加します。

5. 保存をクリックしてください。

ログイン時に、Nexthink Web インターフェースはマッピングされたグループの少なくとも 1 つのメンバーにアクセスを許可します。 割り当てられた役割がユーザーの正確な権限を決定します。

マッピングの優先順位の決定

ユーザーは複数のグループに所属している場合があるため、グループのマッピングを指定する順序が重要です。 あるユーザーが 2 つのグループに所属し、それぞれのグループが異なる役割にマッピングされている場合、システムはリストの最初のグループにマッピングされている役割をそのユーザーに割り当てます。

SSO 設定

SSO を有効にして設定するには、Nexthink 管理者として:

• シングルサインオン 設定ページに移動します

• SSO 設定 タブを選択します。

Nexthink の SSO メカニズムは、Okta によって提供されている技術に依存しています。 設定段階で、たとえば、Nexthink Web インターフェースが提供する metadata.xml ファイル内に *.okta.com と *.oktacdn.com ドメイン名への参照がある場合があります。 したがって、Nexthink は Okta URL をファイアウォールのルールで許可することを推奨します。 接続要件 のドキュメントを参照してください。

SSO 設定 タブを次のように設定してください:

1. SAML 2.0 認証スイッチを切り替えます。

2. IdP メタデータをアップロードセクションで、アイデンティティプロバイダーからの情報を使用してさまざまなフィールドを設定します。

   • IdP 発行者 URI: アイデンティティプロバイダーの発行者 URI です。 この値は通常、アイデンティティプロバイダー EntityDescriptor の SAML メタデータ entityID です。

   • IdP シングルサインオン URL: SAML AuthnRequest メッセージを Nexthink インスタンスから受信するバインディング固有のアイデンティティプロバイダー認証リクエストプロトコルエンドポイントです。 Nexthink はその AuthnRequests に HTTP-GET を使用します。 HTTP-Redirect バインディングを選択し、HTTP-POST を選択しないでください。

   • IdP 署名証明書: SAML メッセージおよびアサーションの署名を検証するために使用されるアイデンティティプロバイダーの PEM または DER エンコードされた公開鍵証明書です。 Base64 エンコードされている必要があります。

3. Nexthink metadata.xml ファイルをダウンロードして、それを使用してアイデンティティプロバイダーで SSO アクセスを設定します。

4. SAML オプションを選択します。 SAML メッセージはバインディングと呼ばれる異なる方法を使用して送信できます:

   • HTTP リダイレクト は、HTTP リダイレクト メソッドを使用して SAML メッセージを送信します。 コンテンツは URL パラメータを使用して送信されます。 これはデフォルトのオプションです。

   • HTTP POST は、HTML フォームを使用して POST リクエストで SAML メッセージを送信します。 SAML メッセージのコンテンツが大きすぎて URL パラメータを使用して送信できない場合は、このオプションを選択してください。

5. ユーザーのプロビジョニング時にユーザー情報を取得するために使用する属性名を設定します。 アイデンティティプロバイダーを設定して、それらの値を指定された名前の SAML 属性として送信する必要があります。 アイデンティティプロバイダーが Nexthink 名前にマッチするカスタム属性をサポートしていない場合は、それらを調整してください:

   • グループ属性: ユーザーグループのリストを取得するための SAML 属性。 ユーザーは Nexthink にアクセスするためにユーザープロビジョニングセクションで定義されたグループと一致する少なくとも 1 つのグループを持っている必要があります。 デフォルト値は nexthink.groups です。

   • フルネーム属性: ユーザーのフルネームを取得するための SAML 属性。 デフォルト値は nexthink.fullname です。

   • メールアドレス属性: ユーザーのメールアドレスを取得するためのSAML属性。 デフォルト値は nexthink.email です。

   • Name ID フォーマット属性: 名前の想定されるフォーマット。 一部のアイデンティティプロバイダーはそれを urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress に設定する必要があります。 デフォルト値は urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified です。

SSO 設定例

アイデンティティプロバイダーとして Active Directory フェデレーション サービス (AD FS) の設定

1. Nexthink の管理者として、シングルサインオン 設定ページに移動して SSO 設定タブを選択します。

2. まだ有効にされていない場合は SAML 2.0 認証 スイッチを切り替えます。

3. メタデータ値を次のように設定します:

   • IdP 発行 URI を https://<yourdomain.com>/adfs/services/trust として設定し、<yourdomain> を AD FS サーバーの完全修飾ドメイン名 (FQDN) に置き換えます。

   • IdP シングルサインオン URL を https://<yourdomain.com>/adfs/ls として設定し、<yourdomain.com> を AD FS サーバーの完全修飾ドメイン名 (FQDN) に置き換えます。

4. Nexthink metadata.xml ファイルをダウンロードします。

5. AD FS を実行している Windows Server システムに管理者としてログインします。

6. AD FS 管理コンソールを開きます。

7. Relying Party Trusts を右クリックし、Add Relying Party Trust... を選択して、信頼できるリライパーティを追加するウィザードを起動します。

   • Welcome ステップで、Claims aware リライパーティを選択します。

   • Startをクリックします。

   • Select Data Source ステップで、リライパーティに関するデータをファイルからインポートするオプションを選択します。

   • **Browse...**をクリックして、metadata.xmlファイルの場所を指定します。

   • metadata.xmlファイルを選択し、Openをクリックします。

   • Nextをクリックします。

   • Specify Display Name ステップで、信頼する相手の適切な名前を入力します。

   • （オプション）Notesで信頼する相手に関する追加情報を入力します。

   • ウィザードの他のステップをスキップするためにNextを繰り返しクリックします。

   • プロセスを完了するために Close をクリックします。

8. 左側のツリーでRelying Party Trustsをクリックして、信頼されたリライパーティのリストを取得します。

9. 新しく追加された Nexthink Web インターフェースを表す信頼できるリライパーティエントリを右クリックします。

10. コンテキストメニューから、クレーム発行ポリシーを編集するエントリを選択します:

    • Windows Server 2016 では、**Edit Claim Issuance Policy...**を選択します。

    • Windows Server 2012 では、Edit Claim Rules... を選択します。

11. Issuance Transform Rules タブで、ユーザーの UPN を Name ID にマップするための Add rule... をクリックし、Nexthink Web インターフェースが認証用にユーザー名フィールドと一致します。

    • Choose Rule Type で、Claim rule template の下のSend LDAP Attributes as Claimsを選択します。

    • Nextをクリックします。

    • Configure Claim Rule の場合:

      • Claim rule name で、ルールの適切な名前を入力します。例として、Map UPN to Name ID など。

      • 属性ストアには、Active Directoryを選択します。

      • LDAP 属性からアウトゴーイング クレーム タイプへのマッピングでは、LDAP 属性に対して User-Principal-Name を選択し、Outgoing Claim Type には Name ID を選択します。

    • Finishをクリックします。

12. Issuance Transform Rules タブに戻って Add rule... をクリックして、新しいルールを追加し、UPN をメール形式の Name ID として送信します。

    • Choose Rule Type で、Claim rule template の下のTransform an Incoming Claimを選択します。

    • Nextをクリックします。

    • Configure Claim Rule の場合:

      • Claim rule name で、ルールの適切な名前を入力します。例として、UPN as Name ID in email format など。

      • Incoming claim type には UPN を選択します。

      • Outgoing claim type には Name ID を選択します。

      • Outgoing name ID format には Email を選択します。

      • オプションの Pass through all claim values をチェックした状態にしておきます。

    • Finishをクリックします。

13. 再び Issuance Transform Rules タブで Add rule... をクリックしてクレームを追加します。

    • 「ルールの種類を選択」で「LDAP 属性をクレームとして送信」を選んでください。

    • 「次へ」をクリックします。

    • 「クレームルールの構成」について：

      • 「クレームルール名」には、例えば「Nexthink claims」などの適切な名前を入力してください。

      • 「属性ストア」で「Active Directory」を選択します。

      • 「LDAP属性の外部クレームタイプへのマッピング」では、「ドメイン名で資格のあるトークングループ」と「グループ」を「外部クレームタイプ」として選択します。

      • 1行追加し、「LDAP属性の外部クレームタイプへのマッピング」では、「Display-Name」と「Surname」を「外部クレームタイプ」として選択します。

      • さらに1行追加し、「LDAP属性の外部クレームタイプへのマッピング」として「E-Mail-Addresses」と「E-Mail Address」を「外部クレームタイプ」として選択します。

    • 「完了」をクリックします

    • 「OK」をクリックします。

14. NexthinkのWebインターフェースを表す信頼された依存パーティのエントリを右クリックします。

15. メニューから「プロパティ」を選択します。 依存パーティのプロパティを表示および変更するためのダイアログボックスが表示されます。

    • 「詳細設定」タブで、「セキュアハッシュアルゴリズム」として「SHA-256」を選択します。

    • プロパティのダイアログボックスを閉じるために「OK」をクリックします。

16. Serviceを展開してCertificatesをクリックし、AD FSサーバーの署名証明書をダウンロードしてください。 Token-signing証明書をダブルクリックし、「詳細」タブに移動して、「ファイルにコピー...」をクリックして証明書エクスポートウィザードを開きます。

    • 「Base-64 encoded X.509 (.CER)」を選択して「次へ」をクリックします。

    • 後で使用するためにファイルを保存します。

17. Nexthink管理者としてNexthink Webインターフェースに戻り、シングルサインオン設定ページに移動し、SSOコンフィギュレーションタブを選択します。

18. AD FS管理コンソールから取得した署名証明書をアップロードします。

19. 以下のように属性値を設定します。

    • グループ属性を「http://schemas.xmlsoap.org/claims/Group」とします。

    • フルネーム属性を「http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname」とします。

    • メールアドレス属性を「http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress」とします。

    • 名前IDフォーマット属性を「urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified」とします。

20. 「保存」をクリックします。

21. ユーザー プロビジョニングに関連する指示に従ってください。

Entra IDをアイデンティティプロバイダーとして設定する

1. Nexthink管理者として、シングルサインオン設定ページに移動し、SSOコンフィギュレーションタブを選択します。

2. まだ有効にされていない場合は、SAML 2.0認証を切り替えます。

3. Nexthinkサービスプロバイダーのメタデータファイル(metadata.xml)をダウンロードします。 このファイルは後で使用します。

4. Azure ポータルにログインします。

5. 「エンタープライズアプリケーション」をクリックし、「新しいアプリケーション」、そして最後に「独自のアプリケーションを作成」を選択します。

6. 右側の「独自のアプリケーションを作成」というラベル付きパネルで、アプリケーション名として「Nexthink」などの名前を入力し、「ギャラリーにない別のアプリケーションを統合する（ノンギャラリー）」を選択します。

7. 「シングルサインオンの設定」、「SAML」、そして最後に「メタデータファイルのアップロード」をクリックします。

8. ページの左上にある「メタデータファイルのアップロード」ボタンをクリックします。

9. metadata.xmlファイルを選択して保存します。

10. 「Attributes & Claims」を編集するために、2つ目のタイルの右上隅にある鉛筆アイコンをクリックします。 クレームを編集するページが表示されます。

    • Unique User Identifier (Name ID) がメール形式のユーザー プリンシパル名 (UPN) であることを確認してください:

      • user.userprincipalname [nameid-format:emailAddress]

11. 発行されたSAMLアサーションにユーザーグループを含めるために「グループクレームを追加」ボタンをクリックします。

    • アプリケーションに割り当てられたグループを選択すると、ユーザーに関連するグループがクレームで返されます。

    • 返されるソース属性として「グループID」を選択します。

    • 詳細オプションでは、「グループクレームの名前をカスタマイズ」をオンにします。

    • **名前（必須）**フィールドに「nexthink.groups」を使用します。

    • 「保存」をクリックして、「ユーザー属性とクレーム」ページに戻ります。

12. 発行されたSAMLアサーションにユーザーのフルネームを含めるために、「新しいクレームを追加」ボタンをクリックして「ユーザークレーム管理」ページをロードします。

    • 名前フィールドには「nexthink.fullname」を使用します。

    • ソースの種類として「属性」を選択します。

    • ソース属性フィールドには「user.displayname」を使用します。

    • 「保存」をクリックします。

13. 発行されたSAMLアサーションにユーザーのメールを含めるために、「新しいクレームを追加」ボタンをクリックして「ユーザークレーム管理」をロードします。

    • 名前フィールドには「nexthink.email」を使用します。

    • ソース属性フィールドには「user.mail」または「user.userprincipalname」を使用します。

    • 「保存」をクリックします。

14. ログインURLとMicrosoft Entra Identifierをメモしてください。 これらは、NexthinkインスタンスにSSOを設定するときに使用します。

15. ページの3つ目のタイル「SAML署名証明書」で、最初のエントリに関連付けられた「証明書(Base64)」のリンクをクリックしてダウンロードします。

16. Entra IDのグループの識別子を取得し、それを後でNexthinkロールにマッピングします。

    • Azureポータルのメインページに戻り、左側のパネルで「Microsoft Entra ID」をクリックします。

    • 「管理」の下で、「グループ」を選択します。 ページ「グループ - すべてのグループ」に活発なグループのリストが表示されます。

    • Nexthinkロールにマッピングしたいグループを選択します。

    • ページの左側のメニューで、「管理」の下で「プロパティ」を選択します。

    • 「プロパティ」ページで、「一般設定」セクション下にある「オブジェクトID」フィールドの右にある紙アイコンをクリックしてグループ識別子をコピーします。

    • テキストエディタなど、他の場所にオブジェクトIDを貼り付けて、後で使用するために保存します。

    • 「プロパティ」ページ上部で「破棄」をクリックして、グループ選択に戻り、Nexthinkロールにマッピングする必要があるだけ多くのグループに対して操作を繰り返します。

17. Nexthink管理者としてNexthink Webインターフェースに戻り、シングルサインオン設定ページに移動し、SSOコンフィギュレーションタブを選択します。

18. メタデータの値を次のように設定します：

    • IdP 発行 URIを以前に収集した「Microsoft Entra Identifier」として設定します。

      場合によっては、末尾に「/」文字を追加する必要があります。

    • IdP シングルサインオン URLを以前に収集した「ログイン URL」として設定します。

19. Azure ポータルからダウンロードした IdP 署名証明書をアップロードします。

20. 属性値を次のように設定します：

    • グループ属性 を nexthink.groups として設定します。

    • フルネーム属性 を nexthink.fullname として設定します。

    • メールアドレス属性 を nexthink.email として設定します。

    • 名前 ID フォーマット属性 を urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified として設定します。

21. 「保存」をクリックします。

22. ユーザープロビジョニングに関連する指示に従ってください。

汎用のSAMLアイデンティティプロバイダーを設定する

市場に出回っているすべてのSAML アイデンティティ プロバイダーの構成手順を詳しく説明することはできませんが、準拠したプロバイダーを構成する手順は、上記の例と大きく異なることはありません。

SSO を設定したら、ユーザー プロビジョニングに関連する指示に従います。

許可

シングルサインオン管理に対する適切な権限を有効にするには：

• メインメニューから「管理」を選択します。

• ナビゲーションパネルから「ロール」をクリックします。

• 新しいロールを作成するには「新しいロール」ボタンをクリックするか、既存のロールを編集するには、ロールにカーソルを合わせて編集アイコンをクリックしてロール設定を変更します。

• 「権限」セクションで、「管理」セクションまでスクロールダウンして、「管理者権限」を有効にします。

詳細な権限オプションの説明については、役割のドキュメントを参照してください。

SSO (クラシック) からの移行

2023年3月15日以前にSSOをすでに設定している場合は、再設定するように求めるメッセージが表示されることがあります。 クラシックSSOメカニズムのサポートは2025年3月31日に終了するため、できるだけ早く設定を進めてください。 Nexthink Community にログインし、インフィニティ移行 ガイドで定義された手順に従ってください。

関連タスク

• 監査証跡コードの適用