Microsoft 365 のWS-Federationアプリケーションの設定 IBM Verify

オンラインで編集

Azure Active Directory をサービス・プロバイダーとして構成した後、IBM® VerifyをID プロバイダーとして構成します。

始める前に

  • このタスクを完了するには管理者権限が必要です。
  • IBM Verify 管理コンソールにログインしてください。

手順

  1. 「アプリケーション 」>「 アプリケーション」 を選択します。
  2. 「アプリケーションを追加」 を選択します。
  3. Microsoft 365 」を選択し、 「アプリケーションを追加」 を選択します。
  4. [サインオン] タブを選択し、以下の情報を指定します:
    注: サインオンを無効にするには、チェックボックスをクリックしてください。
    設定 説明
    サインオン方式 サインオン方式を指定します。 サインオン方法として「 SAML2.0 」を選択します。
    プロバイダーID* プロバイダーをパートナープロバイダーに識別する独特なIDを指定します。
    アサーション・コンシューマー・サービス URL (HTTP-POST) 安全トークンは、このサービス・プロバイダー・エンドポイントに送信されます。 デフォルトのままにします。
    Microsoft 365 の複数のドメインを統合 Microsoft™ 365 で複数のドメインをフェデレーションし、複数のサービスプリンシパル名を設定するには、このチェックボックスを選択してください。
    IssuerUri 接尾辞 これは、「 Microsoft 365 で複数のドメインをフェデレートする」 にチェックが入っている場合にのみ適用されます。 属性ソースを選択すると、その値がトークンの IssuerUri に追加されます。 「(Default)」 を選択した場合、デフォルトのユーザーUPNまたはメールドメインがトークンの IssuerUri に追加されます。
  5. デジタル署名を使用して、 IBM Security® Verify とサービスプロバイダーとの間で信頼関係を確立します。
    設定 説明
    署名アサーション Azure Active Directoryに送信される安全トークンにIBM Verifyを署名するかどうかを指定するには、このチェック・ボックスを選択してください。
    署名アルゴリズム 二つのサポートアルゴリズムから署名するためのアルゴリズムを指定します デフォルトのままにします。
    署名証明書 IBM Verifyが安全トークンに署名するために選択認証を指定します。 デフォルトのままにします。
  6. 認証ユーザーを識別するように、SAML アサーション内の SAML サブジェクトを構成します。
    設定 説明
    名前 ID このオプションは、認証済みユーザーを識別するようにSAMLアサーションのSAMLサブジェクトを構成します。 デフォルトのままにします。
  7. SAML アサーションに含める既知のユーザー属性やその他の属性をマッピングします。
    設定 説明
    属性名-UPN UserPrincipalName 属性を指定します。

    属性ソース」メニューから選択して、UserPrincipalName属性を指定します。

    UserPrincipalName属性については、ユーザー命名属性を参照してください。
    属性名-ImmutableID ImmutableID 属性を指定します。

    属性ソースメニューから選択して、ImmutableId属性を指定します。
  8. Kerberos 認証のために Keytab ファイルをアップロードします。
    設定 説明
    Keytab ファイルのアップロード この構成は、ハイブリッド Azure Active Directory 結合にのみ適用できます。 keytab ファイルのアップロードに関する詳細については、 「 Kerberos 認証のためのサービスプリンシパル名 (SPN) および keytab ファイルの設定」 を参照してください。
  9. Kerberos 認証のサービス・プリンシパル名 (SPN) を構成します。
    設定 説明
    サービス・プリンシパル名 この構成は、ハイブリッド Azure Active Directory 結合にのみ適用できます。 サービスプリンシパル名に関する詳細については、 「 Kerberos 認証のためのサービスプリンシパル名(SPN)およびKeytabファイルの設定」 を参照してください。
  10. アクティベート・リクエスター・プロファイルの設定を行います。
    設定 説明
    デフォルトのアイデンティティー・プロバイダー デフォルトのIDプロバイダーをクラウド・ディレクトリーとして指定します。
    要求ルール カスタムルールを指定して、アクティブなリクエスタープロファイルフローのユーザー名を変換できます。
    1. (任意): リクエストルールをテストし、意図したとおりに動作することを確認してください。
  11. 第 2 要素認証と、オプションで適応型アクセス許可を実行するアクセス・ポリシーを選択します。
    設定 説明
    アクセス・ポリシー-設定 二要素認証のアクセスポリシーを指定します。 アダプティブアクセス許可はオプションです。

    デフォルトでは、デフォルト・ポリシーの使用 チェック・ボックスが選択されています。
  12. 「保存」 をクリックします。
  13. [権限] タブを選択し、 アクセス種別を設定します。
    注: 権限に関する詳細については、 「アプリケーションの権限の管理(管理者またはアプリケーション所有者による)」 を参照してください。
  14. 「保存」 をクリックします。