以下の手順では、Azure Active Directory(AD)でSAML SSOを構成する方法について説明します。詳細については、https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-ssoを参照してください

iManage環境のSSO設定をダウンロード

始める前に、iManage環境のXML形式の設定をダウンロードしてください。これらの設定は、iManage環境向けAzureを構成するために使用されます。

iManage Control Centerで、ネットワーク&セキュリティ > 認証&SSOに移動し、XMLをダウンロードを選択します。

図:iManage Control CenterのXMLをダウンロードオプション

AzureでSSOを構成

Microsoft Azureで以下の手順を行い、iManageユーザーのシングルサインオンを構成します。

  1. Azureにサインインした後、Azure Active Directoryに進みます。

  2. エンタープライズアプリケーションで、新しいアプリケーションを選択します。

    NOTE:

    iManage Control CenterのIDプロバイダ(レガシー)SAML SSOからサービスプロバイダ(推奨)SAML SSO構成に移行する場合、Microsoft Azureの既存のアプリケーションを変更しないことを推奨します。Azureで新しいアプリケーションを作成することで、既存のSSOアプリケーションを保持し、必要に応じてロールバックできます。

  3. 独自のアプリケーションを作成を選択します。画面右側に独自のアプリケーションを作成パネルが表示されます。
  4. アプリの名前は何ですか?に、名前(iManageなど)を入力します。
  5. ギャラリーにない他のアプリケーションを統合(非ギャラリー)を選択します。
  6. パネル下部にある作成を選択します。
  7. 左のナビゲーションパネルで、シングルサインオンを選択します。
  8. SAMLを選択します。
  9. メタデータファイルをアップロードを選択します。
    図:メタデータファイルをアップロード

    1. iManage Control CenterからダウンロードしたXMLファイルを選択します。
    2. 開くを選択し、追加を選択します。
      基本SMAL構成パネルが表示されます。
      アップロードしたメタデータファイルによって、iManageからの情報が自動的にパネルに入力されます。
  10. 基本SAML構成パネルで、保存を選択します。
  11. ユーザー属性と請求セクションで、編集を選択します。
  12. 値を編集するには、一意のユーザー識別子(名前ID)...を選択します。請求を管理ページが表示されます。
  13. ソース属性で、値がiManageのユーザーID値に一致していることを確認します。
    最も一般的なオプションは、user.onpremisessamaccountnameです。これは、iManageのユーザーIDを姓の頭文字と名にしている場合に使用します。たとえば、Barbara Cummingsであれば、bcummingsとなります。
    利用可能なすべてのオプションの説明については、以下のMicrosoftドキュメントを参照してください。請求マッピングポリシータイプ
  14. 保存を選択します。
  15. 証明書アサーションおよび応答の両方に署名するようにAzureを構成します。
    1. SAML署名証明書で、編集を選択します。SAML署名証明書パネルが表示されます。
    2. 署名オプションで、SignSAML応答およびアサーションを選択します。
      デフォルトでは、アサーションにのみ署名し、応答には署名しません。これを適切に設定しないと、ユーザーがサインインしようとしたときに、SAMLログインエラー"invalid response"エラーが発生します。
    3. 保存を選択します。

ユーザーを割り当て

  1. 左のナビゲーションパネルで、ユーザーとグループを選択します。
  2. +ユーザー/グループを追加を選択します。
  3. ユーザーパネルを開くには、ユーザーの下にある選択なしを選択します。iManageで認証する必要がある各ユーザーまたはグループを検索して追加し、選択をクリックします。
  4. すべてのユーザーの追加が完了したら、割り当てを選択します。

iManage Control Centerへの設定のダウンロードとインポート

  1. 左のナビゲーションパネルで、シングルサインオンを選択します。
  2. Federated Metadata XMLファイルをダウンロードします。SAML署名証明書セクションで、Federation Metadata XMLを見つけ、ダウンロードを選択する。
    図:Federated Metadata XMLをダウンロード

  3. iManage Control Centerに戻って、認証とSSOの手順を行い、Federated Metadata XMLファイルをiManage Control Centerにインポートします。

Azure ADを使用したSAML SSOのトラブルシューティング

ユーザーがサインインしようとすると、以下のエラーが表示された場合:

図:SAMLログインエラー

  1. 上記のステップ13で説明したように、名前ID請求ソース属性がAzureで適切に構成されていることを確認します。
    図:一意のユーザー識別子(名前ID)値


    AzureがAzureのユーザーとiManageのユーザーを適切に照合するには、Name ID値がiManageのユーザーID形式と一致する必要があります。
  2. Azureが、上記のステップ15で説明した通り、SAML応答およびアサーションの両方に署名するように構成されていることを確認します。