IDプロバイダーとユーザー識別子の MaaS360 設定

オンラインで編集

MaaS360® ユーザー情報を Verify と同期させ、ユーザーが自身のデバイス上でネイティブモバイルアプリケーションにアクセスするための認証とアクセス許可を行います。 MaaS360Verify に送信するユーザー情報は、独自のローカル・ユーザー・レジストリー、または別のアイデンティティー・プロバイダーの外部ユーザー・レジストリーから取得されます。 VerifyデフォルトのIDプロバイダー MaaS360 と一意のユーザー識別子を割り当て、ユーザーを MaaS360 適切にプロビジョニングおよびマッピングします。 ユーザー・マッピングにより、MaaS360 ユーザーは、管理対象デバイスおよび Verify で同じユーザーとしてアプリケーションにサインインできるようになります。

始める前に

  • このタスクを完了するには管理者権限が必要です。
  • IBM® Verify 管理者として管理コンソールにログインしてください。

このタスクについて

MaaS360と統合 Verify する際は、以下の設定を行う必要があります:
デフォルトのID プロバイダー

VerifyVerify アイデンティティプロバイダーを MaaS360 割り当て、のアイデンティティプロバイダーの MaaS360 レルム値を、の対応するアイデンティティプロバイダー にマッピングします。 レルム値は、ユーザー情報が派生するユーザー・レジストリーを示します。

[ デフォルトのIDプロバイダー ] オプションには、設定済みのCloud Directory、 SAML Enterprise、および MaaS360 Cloud Extender IDプロバイダーが一覧表示されます。 初回利用時は、デフォルトでクラウドディレクトリのみが設定されています。
注: 初期状態では、管理者として指定されたユーザーを除き、クラウドディレクトリは空です。 クラウド・ディレクトリーにデータを設定するには、ユーザーを登録する必要があります。
SAML Enterprise のIDプロバイダーを使用して外部ユーザーレジストリを MaaS360 表現する場合は、まず 「 MaaS360 のIDプロバイダーとユーザー識別子の設定」の手順を完了する必要があります。 例えば、 MaaS360Microsoft Azure は、クラウドベースのディレクトリとして Active Directory ( Azure AD)を利用することができます。 Azure ADをデフォルトのIDプロバイダーとして使用するには、[デフォルトのIDプロバイダー] 選択項目に追加する必要があります。
固有ユーザー ID

Verify にアクセスする MaaS360 ユーザーを識別するのに役立つ固有ユーザー ID を割り当てます。 この ID は、レルム値と共に参照として使用され、これらのデータを持つ Verify クラウド・ディレクトリーのユーザーの有無が検査されます。 一致するものが見つからない場合、MaaS360 ユーザーの ID が Verify クラウド・ディレクトリーに統合されます。 これらのユーザーが初めて Verify にサインインすると、ユーザー・プロファイルがクラウド・ディレクトリーに作成されます。

「固有ユーザー ID」オプションは、以下で構成されます。
  • Verifyディレクトリ 」>「 属性」 で定義されている組み込み属性を含む、からの標準ユーザー属性。
  • MaaS360 osUserName@domainは、MaaS360で使用されるosUserName属性とドメイン属性の組み合わせです。
プライマリID プロバイダー
リンクされた IDプロバイダー のシャドウアカウントを保持するID プロバイダー
注: プライマリID プロバイダー では、IDリンク機能を有効にすることはできません。

手順

  1. 「認証 」>「 IDプロバイダー 」を選択します。
  2. 「グローバル設定」 を選択します。
  3. メニューからプライマリのIDプロバイダーを選択してください。
  4. 「デフォルトのIDプロバイダー」からデフォルトのIDプロバイダー を選択してください。

    ローカルユーザーレジストリ MaaS360 を表すには、「Cloud Directoryまたは MaaS360Cloud Extender を選択してください。

    あるいは、使用している MaaS360 外部ユーザー登録情報に対応する、設定済みの SAML Enterprise IDプロバイダー のいずれかを選択してください。

  5. 「一意のユーザー識別子」 から希望する識別子を選択してください。

    以下の表は、Verify のユーザー属性と MaaS360 のユーザー属性の間のマッピングを定義しています。

    注: オンプレミスの Active Directory と Azure ADとの同期を設定しており、 MaaS360 のパススルー認証を通じて Microsoft 365 アプリケーションにシングルサインオンしたい場合は、カスタム属性を作成する必要があります。 Active Directorybase64-encoded objectGUID 属性は、Verifyにおけるユーザー識別子として ImmutableID 指定する必要があるものです。 Verifyは、デフォルトではこの base64 encoded objectGUID 属性をサポートしていません。 ID プロバイダー資格情報タイプのカスタム属性を作成する必要があります (例: O365SourceAnchor)。 「属性の管理」 を参照してください。 作成したカスタム属性を使用して、Verify UserID 属性にマッピングし、必要に応じてジャストインタイム・プロビジョニングのマッピングにもマッピングしてください。
    表 1. ユーザー属性のマッピング
    Verify ユーザー属性 MaaS360 ユーザー属性
    preferred_username osUserName
    userID osUserName
    given_name userFirstName
    family_name userLastName
    name userFullName
    displayName userFullName
    email userEmail
    emailAddress userEmail
    mobile_number mobileNumber
    employee_id empId
    upn upn
    department dept
    job_title job
    osUserName@domain osUserName@domain
  6. (任意): デフォルトのIDプロバイダーがCloud Directoryでない場合は、ジャストインタイムプロビジョニングを有効にしてください。
    JIT プロビジョニングの場合、これらのマッピングを上書きすることはできません。
    MaaS360属性 Verify属性
    userLastName family_name
    mobileNumber mobile_number
    userFullName name
    userFirstName given_name
    userEmail email
    userFullName displayName
  7. MaaS360 から Verify に属性を同期する方法を指定します。
    常に使用
    ログインするたびに属性をマップします。
    ユーザー作成時のみ
    アカウントの作成時に 1 回属性をマップします。
    無効
    属性をマップしません。
  8. 「保存」 を選択します。

結果

ユーザーが MaaS360 管理対象デバイス上のアプリケーションにアクセスし、Verify で認証を行うと、ユーザーの ID が Verify に統合されます。 「ディレクトリ 」> 「ユーザーとグループ 」>「 ユーザー」 ページで、フェデレーションユーザーの情報を確認できます。 これらのユーザーは、選択 MaaS360 したID プロバイダー に割り当てられているものと同じ Realm 値を持っています。