メインコンテンツまでスキップ
waffle.svg
Domo Knowledge Base - 日本人

Azure Active Directoryでシングルサインオンを有効にする

Version 4

MicrosoftのAzure Active Directoryアプリケーションギャラリーは、「AppStore」です。ユーザーはMicrosoftによりテストされ認証されたAppを検索して導入することができます。PremiumもStandardのユーザーも、Domo for Single Sign-On(SSO)と統合させることができます。SSOを有効にするには、「管理者」のデフォルトのセキュリティロールか、「カンパニー設定を管理」が有効になっているカスタムロールが必要です。デフォルトのロールの詳細については「デフォルトのセキュリティロールリファレンス」を参照してください。カスタムロールの詳細については「ロールを管理する」を参照してください。

ユーザーはAzure ADインスタンスを正確に設定する必要があります。これには、ディレクトリの作成、ディレクトリへのユーザーの追加、そして名前やメールアドレスといったユーザー情報の入力、などが含まれます。詳細については、https://azure.microsoft.com/en-us/do...single-sign-onを参照してください。 

SSOをAzure ADで実現するには、

  1. Azureでmanage.windowsazure.comポータルから [Active Directory] に進み、Domoで使用するディレクトリを選択します。

  2. ディレクトリを選択したら、[アプリケーション] リンクをクリックします。

  3. スクリーンの下部にある [追加] をクリックします。 

  4. [ギャラリーのアプリケーション] を選択します。

  5. Azure ADアプリケーションギャラリーでDomoアプリケーションを見つけます。
    アプリケーションは 「Domo」 という名前で、[ビジネス管理][データサービス]、あるいは [コラボレーション] カテゴリーのアプリケーションギャラリーにあります。または、単にMicrosoft Azureマーケットプレイスで「Domo」で検索することもできます。

    アプリケーションをインストールしたら、シングルサインオンを設定する必要があります。これには、AzureとDomoの両方で手順が必要です。 

  6. Azureで、[シングルサインオンを設定] を選択します。

  7. 新しいウィンドウで [Microsoft Azure ADシングルサインオン] を選択し、右下にある矢印をクリックします。

  8. 別のブラウザタブで「管理者」としてDomoにログインし [> 管理者] に進みます。

  9. [セキュリティ] を選択します。
    このタブは、「管理者」としてログインしている場合にのみ表示されます。セキュリティ権限の詳細については「セキュリティ権限リファレンス」を参照してください。 

  10. [シングルサインオン] を選択します。

  11. [SSOを開始] をクリックします。

  12. [シングルサインオン] タブの下部で、 下に示すように [SAMLアサーションエンドポイントURL] フィールドのURLを「.com」までコピーします。これは、「サインオンURL」と「識別子」の両方で使用します。

  13. Azureブラウザタブに戻ります。

  14. Azure ADの [App設定を構成] 画面で、コピーしたURLを [識別子] フィールドに貼り付けます。この時点では、まだ次の画面には進みません。

    注記:[App設定を構成][詳細設定を表示] を選択し、「サインオンURL」をDomoインスタンスURLとして入力することもできます。ただしこれは必要ではありません。  



  15. Domoに戻ります。

  16. [シングルサインオン] タブの下部で、[SAMLアサーションエンドポイントURL] フィールドのURL全部をコピーします。

  17. Azureに戻ります。

  18. Azure ADの [App設定を構成] 画面で、コピーしたURLを [返信URL] フィールドに貼り付けます。

     
  19. 右下角にある矢印をクリックして先に進みます。

  20. [シングルサインオンサービスURL] フィールドからURLをコピーします(このURLは [シングルサインオンサービスURL] と同じです)。



    [発行者のURL] は使用されないため、無視できます。
    この時点では、[次へ] の矢印はクリックしません

  21. Domoの [シングルサインオン] タブで、前のステップからのURLを [アイデンティティプロバイダーのエンドポイントURL] フィールドに貼り付けます。

     

  22. ステップ12のDomoインスタンスURLを [エンティティID] フィールドに入力します。
    これは、ステップ14でAzure ADの [識別子] フィールドに入力した値と同じである必要があります。

  23. Azureの設定画面に戻ります。

  24. 証明書の「Base 64」バージョンをダウンロードします。

  25. Domoに戻ります。

  26. [X.509証明書] フィールドの上矢印をクリックし、ステップ24でダウンロードしたBase 64証明書を入力します。

  27. 自分のグループをAzureからDomoにコピーしたい場合は、[アイデンティティプロバイダーからグループをインポート] の横にあるチェックボックスを選択します。現在、Azureは会社の部署を表すグループをサポートしていないため、Domoではこのオプションをオンにすることは推奨していません。

  28. Domoに招待されるまでユーザーがDomoにログインできないようにするには、[招待された方のみDomoにアクセスできます] のチェックボックスを選択します(デフォルトでは、DomoでSSOがオンになっていると、Azure ADディレクトリのユーザーは全員Domoにログインできます)。

  29. Azure AD設定画面に戻ります。

  30. Azure AD設定ウィザードで、設定を正しく構成したことを確認するボックスにチェックを入れます。
    Domo内でSSO設定をテストする前にこのボックスを選択する必要があります

  31. Azureで設定を完了するには、右下のチェックアイコンをクリックします。
    AzureのDomoアプリケーションページに戻ると、緑の設定ボタンの隣にグレーのチェックマークが現れ、SSOがオンになっていることを示します。



    続行する前に、Domo SAMLトークンの属性を設定する必要があります。これを行わないと、Azure ADのデフォルト設定が使用され、Domoのユーザー名がメールアドレスで上書きされてしまいます。

  32. SAMLトークンの属性を設定するには、[属性] をクリックします。


     

  33. Domoに、どのユーザー情報を送信するかを設定します。

    Domoでは以下の属性名が利用できます。また、Azureでは値を割り当てることができます。

    属性

    説明

    name

    ユーザーのフルネーム

    name.personal

    ユーザーの名

    name.family

    ユーザーの姓

    email

    ユーザーのメールアドレス

    email.secondary

    ユーザーの2次メールアドレス

    title

    ユーザーの役職名

    user.phone

    ユーザーの電話番号。通常は、携帯電話の番号

    desk.phone

    ユーザーの固定電話の番号

    group

    ユーザーが属するグループ、通常は部署

    role

    会社におけるユーザーのロール

    employee.id

    ユーザーの社員ID

    hire.date

    ユーザーの雇用日

    title

    ユーザーの役職名

    department

    会社におけるユーザーの部署

    location

    ユーザーの会社の所在地

    locale

    ユーザーのロケール。数値の書式、測定値などの設定を決定します。

    timezone

    ユーザーのタイムゾーン

    「email」以外の属性は全て任意です(ただし、「name」の使用は強く推奨します)。実際には、メールはSAMLアサーションの2つの場所(件名と電子メール属性)に表示されます。一方だけでも許可されます。

    Azure ADではグループをサポート方法が異なるため、Domoでは「group」属性を送ることは推奨していません。

    以下のステップは、Azure ADで「name」と「email」の属性を設定する方法を説明しています。

    以下は、デフォルトのAzure AD属性です。全ての行は削除する必要があります(削除できない最初の行は除く)。行を削除するには、そこにマウスをあわせ、「x」アイコンをクリックします。「claims/givenname」、「claims/surname」、「claims/emailaddress」、「claims/name」で終わる行を削除します。



    間違った場合は、「デフォルトにリセット」して初めからやり直すことができます。

    不要な行を削除したら、リストは以下のようになります。「claims/nameidentifier」 で終わる行のみになっています。

  34. 「name」と「email」のために、Domoが使える値で2行追加します。

    1. 「name」を追加するには、以下を行います。

      1. [ユーザー属性を追加] のグリーンのボタンをクリックします。
        これで以下のウィンドウが開きます。


         

      2. [属性名] のフィールドに「name」と入力します。 

      3. [属性値] フィールドで [user.displayname] を選択します。 

      4. 画面の右下のチェックボタンをクリックします。

        注記:[表示名] は、ユーザーのフルネームが含まれているデフォルトのフィールドです。このフィールドをカスタマイズした場合、あるいは使用していない場合は、ユーザーのフルネームはどのフィールドになるのか、Azure担当者への問い合わせが必要になることがあります。
    2. 「email」を追加するには、以下を行います。

      1. [ユーザー属性を追加] のグリーンのボタンをクリックします。

      2. [属性名] フィールドに「email」と入力します。

      3. [属性値] フィールドで「user.mail」を選択します。

      4. ウィンドウ右下のチェックボタンをクリックします。



        最終的な属性は、以下のスクリーンショットのようになるはずです。

    3. (オプション)役職、電話、またはグループなどを追加する場合は、「name」や「email」などと同じ手順で、この時点で追加しておきます。

  35. 画面下の [変更を適用] ボタンをクリックします。
    以上が、Azure内でのSSOセットアップ手順です。

  36. Domoで接続をテストします。[シングルサインオン] タブの下にある [接続をテスト] ボタンをクリックします。
    Azureで設定が適用されるまで5分ほどかかることもあるため、接続テストがすぐ実行できない場合があります。

    これまでの手順を正しく実行しているなら、成功のメッセージが表示されるはずです。表示されない場合は、手順を確認するか、Domoのサポートにご連絡ください。

  37. オレンジ色の [変更を保存] ボタンをクリックして、SSO設定を保存します。