Microsoft Entra (Azure AD) シングルサインオンを設定する - AWS Wickr

このガイドでは、 AWS Wickr のバージョン。オンプレミスバージョンの Wickr を使用している場合は、「エンタープライズ管理ガイド」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Microsoft Entra (Azure AD) シングルサインオンを設定する

AWS Wickr は、Microsoft Entra (Azure AD) を ID プロバイダーとして使用するように設定できます。そのためには、Microsoft Entra と AWS Wickr 管理コンソールの両方で次の手順を実行します。

警告

SSO ネットワークで を有効にすると、Wickr からアクティブなユーザーに署名し、SSOプロバイダーを使用して再認証するように強制します。

Microsoft Entra で AWS Wickr をアプリケーションとして登録するには、次の手順を実行します。

注記

詳細なスクリーンショットとトラブルシューティングについては、Microsoft Entra のドキュメントを参照してください。詳細については、「Microsoft ID プラットフォームでアプリケーションを登録する」を参照してください。

  1. ナビゲーションペインで、アプリケーション を選択し、アプリケーション登録 を選択します。

  2. 「アプリ登録」ページで「アプリケーションの登録」を選択し、アプリケーション名を入力します。

  3. この組織ディレクトリのアカウントのみを選択します (デフォルトディレクトリのみ - シングルテナント)

  4. リダイレクト URIで、ウェブ を選択し、ウェブアドレス を入力しますhttps://messaging-pro-prod.wickr.com/deeplink/oidc.php

    注記

    リダイレクトは、AWSWickr 管理コンソールSSOの設定からコピーURIすることもできます。

  5. [登録] を選択します。

  6. 登録後、生成されたアプリケーション (クライアント) ID をコピー/保存します。

    クライアントアプリケーション ID イメージ。

  7. エンドポイントタブを選択して、次の点をメモします。

    1. Oauth 2.0 認証エンドポイント (v2): 例: https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/oauth2/v2.0/authorize

    2. この値を編集して「oauth2/」と「authorize」を削除します。例えば、固定 URL は次のようになります。 https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/v2.0/

    3. これはSSO発行者 として参照されます。

Microsoft Entra で認証を設定するには、以下の手順を実行します。

  1. ナビゲーションペインで、認証 を選択します。

  2. 認証ページで、ウェブリダイレクトURIが以前に入力したものと同じであることを確認します (アプリケーションとして AWS Wickr を登録する)。

    クライアント認証イメージ。

  3. 暗黙的なフローに使用されるアクセストークンと、暗黙的なフローとハイブリッドフローに使用される ID トークンを選択します。

  4. [Save] を選択します。

    アクセストークンイメージをリクエストします。

Microsoft Entra で証明書とシークレットを設定するには、以下の手順を実行します。

  1. ナビゲーションペインで、証明書とシークレット を選択します。

  2. 証明書とシークレットページで、クライアントシークレットタブを選択します。

  3. クライアントシークレット タブで、新しいクライアントシークレット を選択します。

  4. 説明を入力し、シークレットの有効期限を選択します。

  5. [追加] を選択します。

    クライアントシークレットイメージを追加します。

  6. 証明書が作成されたら、クライアントシークレット値 をコピーします。

    クライアントシークレット値の例。
    注記

    クライアントアプリケーションコードには、クライアントシークレット値 (シークレット ID ではない) が必要です。このページを離れると、シークレット値を表示またはコピーできない場合があります。今すぐコピーしない場合は、戻って新しいクライアントシークレットを作成する必要があります。

Microsoft Entra でトークン設定を設定するには、以下の手順を実行します。

  1. ナビゲーションペインで、トークン設定 を選択します。

  2. トークン設定ページで、オプションのクレームを追加 を選択します。

  3. オプションのクレーム で、トークンタイプを ID として選択します。

  4. ID を選択した後、クレーム で E メールを選択し、 をアップグレードします。

  5. [追加] を選択します。

    トークンタイプのイメージ。

Microsoft Entra でAPIアクセス許可を設定するには、以下の手順を実行します。

  1. ナビゲーションペインで、APIアクセス許可 を選択します。

  2. アクセスAPI許可ページで、アクセス許可の追加 を選択します。

    アクセス許可イメージを追加します。

  3. Microsoft Graph を選択し、委任されたアクセス許可 を選択します。

  4. E メール オフラインアクセス openid プロファイル のチェックボックスをオンにします。

  5. [Add permissions (許可の追加)] を選択します。

Microsoft Entra の 4 つのスコープAPIごとに を公開するには、以下の手順を実行します。

  1. ナビゲーションペインで、 を公開 APIを選択します。

  2. 公開APIページで、スコープの追加 を選択します。

    API イメージを公開します。

    アプリケーション ID URI は自動的に入力され、 に続く ID はアプリケーション ID (アプリケーション として AWS Wickr の登録で作成) と一致するURI必要があります。

    スコープイメージを追加します。

  3. [Save and continue] を選択します。

  4. Admins and users タグを選択し、スコープ名を offline_access として入力します。

  5. 状態 を選択し、 を有効にする を選択します。

  6. スコープの追加 を選択します。

  7. このセクションのステップ 1~6 を繰り返して、E メールopenid プロファイル のスコープを追加します。

    スコープイメージを追加します。

  8. 「承認されたクライアントアプリケーション」で、「クライアントアプリケーションの追加」を選択します。

  9. 前のステップで作成した 4 つのスコープをすべて選択します。

  10. アプリケーション (クライアント) ID を入力または確認します。

  11. [アプリケーションの追加] を選択します。

AWS Wickr コンソールで次の設定手順を実行します。

  1. を開きます。 AWS Management Console での Wickr 用の https://console.aws.amazon.com/wickr/

  2. [ネットワーク] ページで [管理] リンクを選択し、そのネットワークの Wickr 管理コンソールに移動します。

  3. Wickr 管理コンソールのナビゲーションペインで、ネットワーク設定 を選択し、SSO設定 を選択します。

  4. ネットワークエンドポイント で、リダイレクト URI が次のウェブアドレスと一致することを確認します (ステップ 4 のアプリケーション として AWS Wickr を登録する で追加)。

    https://messaging-pro-prod.wickr.com/deeplink/oidc.php.

  5. SSO 設定 で、開始 を選択します。

  6. 次の詳細情報を入力します。

    • SSO 発行者 — これは以前に変更されたエンドポイントです (例: https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/v2.0/)。

    • SSO クライアント ID — これは概要ペインのアプリケーション (クライアント) ID です。

    • 会社 ID — 英数字やアンダースコア文字を含む一意のテキスト値にすることができます。このフレーズは、ユーザーが新しいデバイスに登録するときに入力するものです。

    • クライアントシークレット — これは、証明書とシークレットペインのクライアントシークレットです。

    • スコープ - 公開ペインで公開されるスコープ名ですAPI。E メール プロファイル オフラインアクセス openid を入力します

    • カスタムユーザー名スコープupn を入力します。

    その他のフィールドはオプションです。

  7. テストと保存 を選択します

  8. [Save] を選択します。

SSO 設定が完了しました。確認するために、Microsoft Entra のアプリケーションにユーザーを追加し、 SSO と会社 ID を使用してユーザーでログインできるようになりました。

ユーザーを招待およびオンボーディングする方法の詳細については、「ユーザーの作成と招待」を参照してください。

以下は、発生する可能性のある一般的な問題と、それらを解決するための提案です。

  • SSO 接続テストが失敗するか、応答しません。

    • SSO 発行者が想定どおりに設定されていることを確認します。

    • SSO Configured の必須フィールドが想定どおりに設定されていることを確認します。

  • 接続テストは成功しましたが、ユーザーはログインできません。

    • Microsoft Entra に登録した Wickr アプリケーションにユーザーが追加されていることを確認します。

    • ユーザーがプレフィックスを含む正しい会社 ID を使用していることを確認します。例:UE1-DemoNetworkW_drqtva

    • クライアントシークレットAWS Wickr SSO設定 で正しく設定されていない可能性があります。Microsoft Entra で別のクライアントシークレットを作成して再設定し、Wickr SSO設定 で新しいクライアントシークレットを設定します。