学ぶ (英語版)
ドキュメント (英語版)
サポート (英語のみ)
コミュニティ (英語版)

シングルサインオン

多くの組織が、IAM(Identity and Access Management)ソリューションを採用して、単一の企業ログインによるビジネスアプリケーションへの従業員アクセスを促進しています。 この技術はシングルサインオン(SSO)アクセス制御として知られています。 SSOは、社員が覚えたり入力したりする必要のあるパスワードを減らすことで、組織のセキュリティを向上させます。

Security Assertion Markup Language(SAML)は、サービスプロバイダーであるアプリケーションとユーザー認証が必要なアプリケーション間、およびユーザーアイデンティティに関するアサーションを発行するIDプロバイダーの間で、認証及びアクセス権限情報を安全に交換するための標準です。 SAMLはSSOを実装するために多くの組織で広く使用されています。

SAMLを活用することで、既存の企業IDプロバイダーを通じて、NexthinkユーザーはNexthinkのwebインターフェースやFinder(クラシック)にログインできます。

Nexthinkクラシックプラットフォームを使用している顧客は、クラウドネイティブなSSOメカニズムに移行する必要があります。

前提条件

NexthinkユーザーのSAMLベースの認証を有効にするには、SAMLをサポートするIAM企業ソリューションが必要です。これにより、シングルサインオン認証方法が提供されます。 IDプロバイダー(IdP)として、システムはHTTPリダイレクトバインディングをサポートし、NexthinkインスタンスとのSSO認証を開始する必要があります。

認証フロー内で、Nexthinkインスタンスに接続しようとしているシステムは、未認証の場合、安全なゲートウェイにリダイレクトされ、認可されたアクセスを取得します。 ITインフラストラクチャが次のURLへのアクセスを許可することを確認してください:

https://<instance>-login.<region>.nexthink.cloud

  • <instance> はNexthinkインスタンスの名前です

  • <region> はインスタンスの地域名です

    • アメリカ合衆国の地域は us

    • 欧州連合の地域は eu

    • アジア太平洋地域は pac

    • 中東、トルコ、アフリカの地域は meta

また、次のものを確保してください:

  • Nexthink webインターフェースにアクセスするためのローカル管理者アカウント

  • Nexthinkインスタンス内の1つ以上のNexthinkユーザーロール roles

  • SAML IDプロバイダー内のユーザーとユーザーグループ

シングルサインオン管理へアクセス

  • メインメニューからAdministration モジュールを選択します。

  • Account management セクション下の Single sign-on を選択します。

メニュー項目が表示されない場合、あなたの役割に適切な権限があることを確認してください。

ユーザーの準備

デフォルトでは、ユーザーインターフェースページにSSOグループのリストが表示されます。 ユーザーの準備は必須です。手動でユーザーを追加する場合はローカルアカウントのみが作成されます。 SSO設定が完了するまでユーザーの準備タブはグレーアウトされたままです。

IDプロバイダーで定義されたグループをNexthinkユーザーロールにマッピングしてください:

  1. 管理者権限を持つローカルユーザーアカウントでNexthinkのwebインターフェースに接続します。

  2. Single sign-on 設定ページに移動し、User provisioning タブを選択します。

  3. ページ右上の New SSO group ボタンをクリックします。

    • SSO group フィールドにグループ名を入力します。

      • Azure ADをIdPとして使用する場合、グループ名の代わりにグループ識別子を使用してください。

      • Active Directory Federation Services(AD FS)を使用する場合、グループ名の接頭辞としてドメイン名を使用してください: <domain>/<group_name>

    • Role ではリストからユーザーロールを選択します。

  4. 必要に応じて前の手順を繰り返してその他のマッピングを追加します。

  5. Save をクリックします。

ログイン時に、Nexthinkのwebインターフェースは、少なくとも1つのマッピングされたグループのメンバーであるすべてのユーザーにアクセスを許可します。 指定されたロールがユーザーの正確な権限を決定します。

マッピング優先順位の決定

ユーザーが複数のグループに所属する可能性があるため、グループのマッピングを指定する順序が重要です。 ユーザーが2つのグループに属しており、両方のグループが異なるロールにマッピングされている場合、システムはリスト上最初のグループにマッピングされたロールをユーザーに割り当てます。

すべてのユーザーグループ

SSOグループ名をEveryoneとするマッピングは不可能です。これはシステムのみが使用できるためです。 システムはグループ名がEveryoneのマッピングを拒否します。

SSO設定

SSOを有効化し設定するには、Nexthink管理者として:

  • Single sign-on 設定ページに移動します

  • SSO設定タブを選択します。

NexthinkのSSOメカニズムはOktaによって提供されるテクノロジーを利用しています。 設定フェーズ中に、metadata.xmlファイル内などにokta.comドメイン名の参照があるかもしれません。 ファイアウォールルールでoktacdn.comのURLを許可する必要があるかもしれません。

有効化されると、新しい設定が各アプリケーション層へ到達し、Nexthinkインスタンスが新しい認証プロセスに切り替わるまで数分かかることがあります。

SSO設定タブを次のようにセットアップします:

  1. SAML 2.0 authenticationスイッチを切り替えます。

  2. Upload IdP metadataセクションにおいて、アイデンティティプロバイダーから取得した情報を使用して各フィールドを設定します。

    • IdP Issuer URI: アイデンティティプロバイダーの発行者URI。 この値は通常、アイデンティティプロバイダーのSAMLメタデータEntityDescriptorentityIDです。

    • IdP Single sign-on URL: NexthinkインスタンスからのSAMLAuthnRequestメッセージを受信する、IDプロバイダーの認証要求プロトコルエンドポイント。 NexthinkはHTTP-GETをそのAuthnRequestsに使用します。 HTTP-Redirectバインディングを選択しHTTP-POSTは選択しないでください。

    • IdP Signature Certificate: SAMLメッセージおよびアサーション署名を検証するために使用されるアイデンティティプロバイダーのPEMまたはDERエンコードされた公開鍵証明書。 Base64エンコードされている必要があります。

  3. Nexthinkmetadata.xmlファイルをダウンロードし、それを使用してアイデンティティプロバイダーとのSSOアクセスを設定します。

  4. SAMLオプションを選択してください。 SAMLメッセージは異なる方法を用いて送信されることができ、これをバインディングと呼びます:

    • HTTP Redirectは、HTTPリダイレクトメソッドを使用してSAMLメッセージを送信します。 コンテンツはURLパラメータを使用して送信されます。 これはデフォルトのオプションです。

    • HTTP POSTは、HTMLフォームを使用してPOST要求を介してSAMLメッセージを送信します。 SAMLメッセージのコンテンツが大きすぎてURLパラメータを使用して送信できない場合、このオプションを選択します。

  5. ユーザー情報を取得するために、ユーザーをプロビジョンする時に使用される属性名を設定します。 それらの値を指定された名前でSAML属性として送信するように、アイデンティティプロバイダーを設定する必要があります。 アイデンティティプロバイダーがNexthinkの名前に一致するカスタム属性名をサポートしていない場合は、調整してください:

    • グループ属性: ユーザーグループのリストを取得するSAML属性。 ユーザーがNexthinkにアクセスするには、ユーザープロビジョニングセクションで定義されたグループに一致するグループが少なくとも1つ必要です。 デフォルトの値はnexthink.groupsです。

    • フルネーム属性: ユーザーのフルネームを取得するSAML属性。 デフォルトの値はnexthink.fullnameです。

    • メールアドレス属性: ユーザーのメールアドレスを取得するSAML属性。 デフォルトの値はnexthink.emailです。

    • Name IDフォーマット属性: 名前の予期される形式。 一部のアイデンティティプロバイダーはurn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressとして設定することを要求します。 デフォルトの値はurn:oasis:names:tc:SAML:1.1:nameid-format:unspecifiedです。

シングルサインオン(SSO)を設定した後、NexthinkはデフォルトでSSOログインページを表示します。 したがって、非SSOローカルユーザーは認証には「/login」ページを使用する必要があります。

詳細については、webインターフェースへのログインに関するドキュメントを読んでください。

SSO設定の例

Active Directory Federation Services(AD FS)をアイデンティティプロバイダーとして設定する

  1. Nexthinkの管理者として、Single sign-on 設定ページに移動し、SSO Configuration タブを選択します。

  2. SAML 2.0 authenticationスイッチが有効になっていない場合は切り替えます。

  3. 以下のようにメタデータの値を設定します:

    • IdP Issue URIhttps://<yourdomain.com>/adfs/services/trustとして設定し、<yourdomain> をAD FSサーバーの完全修飾ドメイン名(FQDN)で置き換えます。

    • IdP Single sign-on URLhttps://<yourdomain.com>/adfs/lsとして設定し、<yourdomain.com> をAD FSサーバーの完全修飾ドメイン名(FQDN)で置き換えます。

  4. Nexthinkmetadata.xmlファイルをダウンロードします。

  5. AD FSを実行しているWindows Serverシステムに管理者としてログインします。

  6. AD FS管理コンソールを開きます。

  7. Relying Party Trusts を右クリックし、Add Relying Party Trust... を選択して信頼済の当事者一覧に新規の信頼パーティを追加するウィザードを呼び出します。

    • Welcomeステップで、Claims aware リライニングパーティを選択します。

    • Startをクリックします。

    • Select Data Sourceステップで、Import data about the relying party from a file オプションを選択します。

    • metadata.xmlファイルの位置を指定するために**Browse...**をクリックします。

    • metadata.xmlファイルを選択してOpenをクリックします。

    • Nextをクリックします。

    • Specify Display Nameステップで、リライニングパーティの適切な名前を入力します。

    • (オプション) Notesにリライニングパーティに関する追加情報を入力します。

    • ウィザードの残りのステップをスキップするためにNextを繰り返しクリックし、最後のステップに到達します。

    • プロセスを完了するためにCloseをクリックします。

  8. 左側のツリーで、Relying Party Trustsをクリックし、信頼された依頼者のリストを取得します。

  9. 新たに追加されたNexthinkのwebインターフェースを表す信頼された依頼者エントリを右クリックします。

  10. コンテキストメニューから、クレームの発行ポリシーを編集するエントリを選択します:

    • Windows Server 2016の場合、**Edit Claim Issuance Policy...**を選択します。

    • Windows Server 2012の場合、**Edit Claim Rules...**を選択します。

  11. Issuance Transform Rulesタブで、ユーザーのUPNをNexthinkのwebインターフェースが認証のためにユーザー名フィールドと照合するName IDにマッピングするために**Add rule...**をクリックします。

    • Choose Rule Typeでは、Claim rule template にあるSend LDAP Attributes as Claimsを選択します。

    • Nextをクリックします。

    • Configure Claim Rule:

      • Claim rule nameには、ルールに適した名前、たとえばUPNをName IDにマップを入力します。

      • Attribute storeでは、Active Directoryを選択します。

      • LDAP属性をアウトゴーイングクレームタイプにマッピングするために、LDAP属性のためにユーザープリンシパルネームを選択し、アウトゴーイングクレームタイプのためにName IDを選択します。

    • Finishをクリックします。

  12. Issuance Transform Rulesタブに戻り、UPNをName IDとしてメール形式で送信する新しいルールを追加するために**Add rule...**をクリックします。

    • Choose Rule Typeでは、Claim rule templateにあるTransform an Incoming Claimを選択します。

    • Nextをクリックします。

    • Configure Claim Rule:

      • Claim rule nameには、ルールに適した名前、たとえばUPNをメール形式でName IDにを入力します。

      • Incoming claim typeUPNを選択します。

      • Outgoing claim typeName IDを選択します。

      • Outgoing name ID formatEmailを選択します。

      • オプション「すべてのクレーム値をスルー」をチェックしたままにしておいてください。

    • 「完了」をクリックします。

  13. 再び「発行トランスフォームルール」タブで、「ルールの追加...」をクリックしてクレームを追加します。

    • 「ルールタイプを選択」では、「クレームルールテンプレート」以下の「LDAP属性をクレームとして送信」を選択します。

    • 「次へ」をクリックします。

    • 「クレームルールの設定」に関して:

      • 「クレームルール名」に、たとえば「Nexthinkクレーム」といった適切なルール名を入力します。

      • 「属性ストア」を選択し、「Active Directory」を選びます。

      • 「LDAP属性から外部クレームタイプへのマッピング」では、「トークングループ - ドメイン名による修飾」と「グループ」を外部クレームタイプとして選択します。

      • 一行追加し、「LDAP属性から外部クレームタイプへのマッピング」では、「表示名」と「姓」を外部クレームタイプとして選択します。

      • 一行追加し、「LDAP属性から外部クレームタイプへのマッピング」では、「Eメールアドレス」と「Eメールアドレス」を外部クレームタイプとして選択します。

    • 「完了」をクリックします

    • 「OK」をクリックします。

  14. 再び、NexthinkのWebインターフェースを表すトラストリライパーティエントリを右クリックします。

  15. メニューから「プロパティ」を選択します。 リライパーティのプロパティを監視・変更するためのダイアログボックスが表示されます。

    • 「詳細」タブの下で、「セキュアハッシュアルゴリズム」に「SHA-256」を選択します。

    • プロパティのダイアログボックスを閉じるために「OK」をクリックします。

  16. 「サービス」を展開し、「証明書」をクリックしてADFSサーバーの署名証明書をダウンロードします。 「トークン署名」証明書をダブルクリックし、「詳細」タブに移動し、「ファイルにコピー...」をクリックして証明書エクスポートウィザードを開きます。

    • 「Base-64エンコードX.509 (.CER)」を選択し、「次へ」をクリックします。

    • 後で使用するためにファイルを保存してください。

  17. Nexthink管理者として、Nexthinkウェブインターフェースに戻り、シングルサインオン設定ページを開き、「SSO設定タブ」を選択します。

  18. ADFS管理コンソールから取得した署名証明書をアップロードします。

  19. 以下のように属性値を設定します。

    • グループ属性: http://schemas.xmlsoap.org/claims/Group

    • フルネーム属性: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    • メールアドレス属性: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Name ID形式属性: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  20. 「保存」をクリックします。

  21. ユーザープロビジョニングに関する指示に従ってください。

Entra IDをIDプロバイダーとして設定する

  1. Nexthink管理者として、シングルサインオン設定ページを開き、「SSO設定タブ」を選択します。

  2. まだ有効化されていない場合は、「SAML 2.0認証」スイッチを切り替えます。

  3. Nexthinkサービスプロバイダーメタデータファイル(metadata.xml)をダウンロードします。 このファイルは後で使用します。

  4. Azureポータルにログインします。

  5. 「エンタープライズアプリケーション」をクリックし、「新しいアプリケーション」を選択し、最後に「独自のアプリケーションを作成」をクリックします。

  6. 「独自のアプリケーションを作成」とラベル付けされた右側のパネルにて、アプリケーション名を入力します。たとえば、「入力名」フィールドには「Nexthink」と入力し、「ギャラリーで見つからないアプリケーションを統合」を選択します。

  7. 「シングルサインオンの設定」をクリックし、「SAML」を選び、最後に「メタデータファイルをアップロード」をクリックします。

  8. ページの左上にある「メタデータファイルをアップロード」ボタンをクリックします。

  9. 「metadata.xml」ファイルを選択し、保存します。

  10. 「属性とクレーム」を編集するために、2番目のタイルの右上にある鉛筆アイコンをクリックします。 クレームを編集するためのページが表示されます。

    • ユニークユーザー識別子(Name ID)がメール形式のユーザープリンシパル名(UPN)であることを確認してください:

      • user.userprincipalname [nameid-format:emailAddress]

  11. 発行されるSAMLアサーションにユーザーグループを含めるための「グループクレームの追加」ボタンをクリックします。

    • ユーザーに関連付けられたグループがおり、クレームに返される場合、「アプリケーションに割り当てられたグループ」を選択します。

    • 「返されるソース属性」には「グループID」を選択します。

    • 「拡張オプション」以下で、「グループクレームの名前をカスタマイズする」を選択します。

    • 「名前(必須)」フィールドには「nexthink.groups」と入力します。

    • 「保存」をクリックして「ユーザー属性とクレーム」ページに戻ります。

  12. 発行されるSAMLアサーションにユーザーのフルネームを含めるための「新しいクレームの追加」ボタンをクリックして「ユーザークレームを管理」ページをロードします。

    • 「名前」フィールドには「nexthink.fullname」と入力します。

    • ソースとしてのタイプに「属性」を選択します。

    • 「ソース属性」フィールドには「user.displayname」と入力します。

    • 「保存」をクリックします。

  13. 発行されるSAMLアサーションにユーザーメールを含めるための「新しいクレームの追加」ボタンをクリックして「ユーザークレームを管理」。

    • 「名前」フィールドには「nexthink.email」と入力します。

    • 「ソース属性」フィールドには「user.mail」または「user.userprincipalname」を入力します。

    • 「保存」をクリックします。

  14. 「ログインURL」と「Microsoft Entra識別子」をメモしてください。 NexthinkインスタンスのSSOを設定するときにそれらを使用します。

  15. ページ「SAML署名証明書」の3番目のタイルで、一番目のエントリに関連する「ダウンロード」リンクをクリックします:「証明書 (Base64)」。

  16. 後でNexthinkのロールにマッピングするために、Entra IDでグループの識別子を取得してください。

    • Azureポータルのメインページに戻り、左側のパネルで「Microsoft Entra ID」をクリックします。

    • 「管理」下で「グループ」を選択します。 ページ「グループ - すべてのグループ」にアクティブなグループのリストが表示されます。

    • Nexthinkロールにマップしたいグループの1つを選択します。

    • ページの左側のメニューで、「管理」下の「プロパティ」を選択します。

    • 「プロパティ」ページの「一般設定」セクションの下で、「オブジェクトID」フィールドの右側にある紙のアイコンをクリックしてグループ識別子をコピーします。

    • 例えばテキストエディターに「オブジェクトID」をペーストし、後で使用するために保存してください。

    • 「破棄」をクリックして「プロパティ」ページの上部に戻り、Nexthinkロールにマップする必要があるグループの数に応じて、操作を繰り返します。

  17. Nexthink管理者として、Nexthinkウェブインターフェースに戻り、シングルサインオン設定ページを開き、「SSO設定タブ」を選択します。

  18. メタデータ値を以下のように設定します:

    • IdP発行URI: 以前に取得した「Microsoft Entra識別子」。

      場合によっては、末尾に「/」文字を追加する必要があります。

    • IdPシングルサインオンURL: 以前に取得した「ログインURL」。

  19. AzureポータルからダウンロードしたIdP署名証明書をアップロードします。

  20. 属性値を以下のように設定します:

    • グループ属性: nexthink.groups

    • フルネーム属性: nexthink.fullname

    • メールアドレス属性: nexthink.email

    • Name ID形式属性: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  21. 「保存」をクリックします。

  22. ユーザープロビジョニングに関する指示に従ってください。

ジェネリックSAML IDプロバイダーの設定

市場で利用可能なSAML IDプロバイダーの設定手順を詳細に記載することは不可能ですが、準拠するプロバイダーの設定手順は、上記の例から大きく異なることはありません。

メタデータ
エンティティID
アサーションコンシューマーサービス(ACS)
ACSバインディング
NameIDフォーマット

Nexthink管理者として、シングルサインオン設定ページを開き、SSO設定タブを選択します。

まだ有効化されていない場合は、SAML 2.0認証スイッチを切り替えます。

Nexthink metadata.xmlファイルをダウンロードします。

metadata.xmlファイルを参照してください。

metadata.xmlファイルを参照してください。

metadata.xmlファイルを参照してください。

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

SSOが設定済みの場合は、ユーザープロビジョニングに関する指示に従います。

権限

シングルサインオン管理のために適切な権限を有効にするには:

  • メインメニューから「Administration」を選択します。

  • ナビゲーションパネルから「ロール」をクリックします。

  • 新しいロールを作成するには「新しいロール」ボタンをクリックします。既存のロールを編集するには、それにカーソルを合わせ、ロール設定を変更するために編集アイコンをクリックします。

  • 「権限」セクションで、「管理」セクションまでスクロールダウンし「管理者権限」を有効にします。

許可オプションの詳細な説明については、ロールドキュメントを参照してください。

SSO (クラシック)から移行

関連作業

Last updated

© Nexthink

プライバシーポリシー (英語版)責任ある情報開示ポリシー (英語版)