2.12.2 IDaaS連携を使用した構成システムを構築する手順(Microsoft Entra IDを使用する場合)
IDプロバイダー(IdP)としてMicrosoft Entra IDを使用して、IDaaS連携を使用した構成システムを構築する手順について説明します。
以下に示すMicrosoft Entra IDの設定を実施した後に、IdPを使用する認証に変更してください。IdPを使用する認証への変更手順の詳細は、「2.12.4 認証方法を変更する手順」を参照してください。
操作画面のHTTPS接続対応
Microsoft Entra IDを使用する場合、管理用サーバの操作画面をHTTPS接続で使用するように設定を変更する必要があります。
操作画面をHTTPS接続で使用するための設定の詳細は、「2.11.4 操作画面にHTTPSで接続する手順」を参照してください。
操作画面のログインURLは「https://リバースプロキシサーバのホスト名:ポート番号/jp1itdm/jp1itdm.jsp」を使用します。
- 重要
-
リモートインストールマネージャ、パッケージャ、およびネットワーク制御コマンドからはJP1/IT Desktop Management 2 - ManagerとHTTP通信を使用します。このため、管理用サーバのHTTP通信用のポート番号(31080)はファイアウォールで接続を許可するようにしてください。
ルート証明書の登録
Microsoft Entra IDを使用する場合、次のルートCA証明書をJP1/IT Desktop Management 2 - ManagerがインストールされたPCのJavaキーストアに登録する必要があります。Javaキーストアに登録後、JP1/IT Desktop Management 2のサービスを再起動してください。
-
Micorosoft社のAzure証明機関の詳細サイト※に記載されているルート証明機関および下位証明機関すべての証明書
Javaキーストアに上記の証明書が登録されていない場合は、Azure証明機関の詳細サイト※から証明書ファイルをダウンロードして、すべての証明書について次のコマンドをコマンドプロンプトで実行してください。
JP1/IT Desktop Management 2 - Managerのインストールフォルダ\mgr\uCPSB\jdk\jre\bin\keytool.exe -import -file インポートする証明書ファイルのパス -alias 重複しない任意の名称 -keystore JP1/IT Desktop Management 2 - Managerのインストールフォルダ\mgr\uCPSB\jdk\jre\lib\security\cacerts
コマンドを実行するとルート証明書をインポートするためのパスワードを要求されます。パスワードを入力してください。デフォルトのパスワードは「changeit」です。
注※ https://learn.microsoft.com/ja-jp/azure/security/fundamentals/azure-ca-details?tabs=root-and-subordinate-cas-list
Microsoft Entra IDへのアプリの登録
Microsoft Entra IDにアプリを使用した認証の認証情報を設定します。設定項目および設定値を次の表に示します。
認可コードフロー用のクライアントとパスワード認証用の2件のアプリを登録してください。アプリの名前以外は同じ値を設定します。
認可コードフローは管理画面からの認証に、パスワード認証はリモートインストールマネージャ、パッケージャ、およびネットワーク制御コマンドからの認証に使用されます。
|
機能 |
設定項目 |
設定値 |
デフォルト |
|
|---|---|---|---|---|
|
アプリの登録 |
名前 |
任意の値を入力 |
− |
|
|
サポートされているアカウントの種類 |
この組織ディレクトリのみ含まれるアカウント |
この組織ディレクトリのみ含まれるアカウント |
||
|
プラットフォームの選択 |
Web |
− |
||
|
リダイレクトURI |
https://リバースプロキシサーバのホスト名またはIPアドレス:ポート番号/jp1itdm/idaas.jsp |
− |
||
|
アプリケーション(クライアントID) |
自動生成された値※1 |
− |
||
|
認証 |
暗黙的な許可およびハイブリッド フロー |
IDトークン(暗黙的およびハイブリッド フローに使用) |
− |
|
|
証明書とシークレット |
クライアントシークレット |
説明 |
任意の値を入力 |
− |
|
有効期限 |
任意の値を入力 |
推奨:180日(6か月) |
||
|
値 |
自動生成された値※2 |
− |
||
(凡例)−:該当なし
注※1 IDaaS連携用設定ファイル(jdn_idaas_auth.conf)のクライアントシークレット「param.auth_code.client_secret」に、認可コードフロー用アプリの本項目値を指定します。「param.ropc.client_id」には、パスワード認証用アプリの本項目値を指定します。
注※2 IDaaS連携用設定ファイル(jdn_idaas_auth.conf)のクライアントシークレット「param.auth_code.client_secret」に、認可コードフロー用アプリの本項目値を難読化して指定します。「param.ropc.client_secret」には、パスワード認証用アプリの本項目値を難読化して指定します。
ユーザーレベルでの多要素認証の無効化
次に示す手順でユーザーレベルでの多要素認証(MFA)を無効化します。
-
MicrosoftユーザーでMicrosoft Entra IDにログインします。
-
「ユーザー」−「すべてのユーザー」−「ユーザーごとのMFA」を開きます。
-
JP1/IT Desktop Management 2と連携するユーザーを選択します。
-
「MFAを無効にする」をクリックします。
条件付きアクセス ポリシーの作成
アプリレベルで多要素認証を制御するため、アプリに条件付きアクセスのポリシーを作成します。この操作はMS Entra IDで条件付きアクセス管理者が実施します。
- メモ
-
リモートインストールマネージャ、パッケージャ、およびネットワーク制御コマンド用のアプリは、条件付きアクセスポリシーの作成は不要です。
設定項目および設定値を次の表に示します。
|
機能 |
設定項目 |
設定値 |
デフォルト |
|---|---|---|---|
|
条件付きアクセス ポリシー |
名前 |
任意の値を入力 |
− |
|
ユーザー |
JP1/IT Desktop Management 2と連携するユーザーを選択 |
なし |
|
|
ターゲットリソース |
リソース(以前のクラウド アプリ) |
リソース(以前のクラウド アプリ) |
|
|
対象 |
対象 |
||
|
リソースの選択 |
なし |
||
|
フィルターの編集 |
なし |
なし |
|
|
選択 |
「Microsoft Entra IDへのアプリの登録」で作成した、JP1/IT Desktop Management 2 - Managerのアプリ名※1 |
なし |
|
|
ネットワーク |
未構成 |
未構成 |
|
|
条件 |
未構成 |
未構成 |
|
|
許可 |
アクセス権の付与 |
アクセス権の付与 |
|
|
任意の認証方法を設定 |
− |
||
|
任意の値を設定 |
選択したコントロールすべてが必要 |
||
|
セッション |
未構成※2 |
未構成 |
(凡例)−:該当なし
注※1 認可コードフロー用に登録したアプリの名前を指定します。
注※2 サインインの頻度はSSOセッションの最大時間でありセッション・アイドルではありません。