How to Set Up SAML 2.0 with OptiSigns and MS Entra ID (formerly Azure AD) – OptiSigns

この記事では、OptiSignsで使用するためにMicrosoft Entra IDを使用してSAML 2.0を設定する手順を詳しく説明します。

OptiSignsサブドメインとSAML SSOの設定
- カスタムサブドメインの設定
- SAML SSO設定の構成
AzureポータルでOptiSignsをアプリとして追加
AzureからOptiSignsへのユーザーとグループの割り当てとマッピング（オプション）
- マッピングされていないユーザーとグループの処理方法（オプション）
- Microsoft Azureでの属性とクレームの管理（オプション）
  - グループクレームの作成（オプション）
  - OptiSignsで使用するためのクレームのカスタマイズ（オプション）
Office.comにOptiSignsログインを表示する設定（オプション）
よくある質問

注意：この機能はPro Plus、Engage、Enterpriseプランのユーザーが利用できます。

SAML（Security Assertion Markup Language）2.0により、1回の認証で複数のシステムにアクセスできます。Microsoft Entra IDを通じてOptiSignsデジタルサイネージへの簡単なアクセスを可能にするように設定できます。Entra IDはIDP（Identity Provider）として機能し、OptiSignsはSP（Service Provider）として機能します。以下は、Entra ID（以前はAzure ADとして知られていた）でSAML 2.0を設定する方法を示す簡単なビデオです：

OptiSignsサブドメインとSAML SSOの設定

開始するには、OptiSignsアプリ内でいくつかの機能を実行する必要があります：

カスタムサブドメインの作成
SAML SSO設定の構成

それでは始めましょう。

カスタムサブドメインの設定

まず、OptiSignsサブドメインを持っていることを確認してください。これは、ブランディング設定ページで取得できます。

サブドメインフィールドに入力し、有効化をクリックします。これで、SAML設定を含むさまざまな機能でこのサブドメインを使用できるようになります。カスタムドメインマッピングに関する記事に従って、ドメインをマッピングすることもできます。

このサブドメインは、統合が設定された後、ユーザーがアプリを使用するためにログインできるようにユーザーと共有するURLになります。

この例では、https://optisignsdemo-ad.optisigns.net/をURLとして使用します。

SAML SSO設定の構成

SAMLシングルサインオン設定ページに移動します：

go to saml single sign on page

次に、SAML SSOを有効にするを有効にします。オプションの横に緑色のチェックマークが表示されるはずです。これにより、利用可能なオプションが拡張されます。

saml sso settings checklist

その他の設定は次のとおりです：

ユーザー名とパスワードによるログインを有効にする - ユーザーがユーザー名/パスワードでもログインできるようにします。統合が完了したら、これを無効にすることをお勧めします。管理者/所有者として、問題が発生した場合に備えて、少なくとも1つのアカウントにパスワードログインを維持することをお勧めします。必要に応じて、このアカウントを使用してアプリに直接ログインして再設定できます。
ユーザー作成を有効にする - ユーザーが認証されたがOptiSignsに存在しない場合、OptiSignsアプリで作成されます。極めて厳格にし、ユーザーがOptiSignsの使用を開始する前に役割を確認したい場合を除き、これを有効にすることをお勧めします。
ユーザー上書きを有効にする - ユーザーがログインするたびに、OptiSignsはグループの割り当てを確認します。SAMLで変更された場合、OptiSignsはアプリ内の権限を更新します。

次に、シングルサインオンURLとAudience URI (SP Entity ID) URLをメモしてください。これらは後で使用する必要があります。

Microsoft Entra IDポータルでOptiSignsをアプリとして追加

管理者としてMicrosoft Azureポータルにログインし、エンタープライズアプリケーションに移動します。

新しいアプリケーションをクリックします。

creating new enterprise application ms azure

独自のアプリケーションの作成を選択します。右側にサイドバーが表示されます。その中で、アプリの名前として「OptiSigns」を入力し、ギャラリーに見つからないその他のアプリケーションを統合する（非ギャラリー）を選択します。最後に、作成をクリックします。

create own application ms azure

少し時間がかかりますが、最終的に概要画面に移動します。

シングルサインオンの設定をクリックします。

setting up single sign on ms azure

SAMLをクリックします。これによりSAMLベースのサインオンの設定が開始されます。

saml ms azure

ここで、基本的なSAML構成セクションの編集をクリックします。ここで、前のステップで取得したシングルサインオンURLとSP Entity IDを提供する必要があります。

basic saml configuration

シングルサインオンURLを応答URLの下に、SP Entity IDを識別子の下に配置します。

identifier and reply URL saml config ms azure

次に、次の2つのセクションに注意してください：SAML証明書とOptiSignsのセットアップ。次の3つの重要な情報を取得する必要があります：

証明書（Base64）
ログインURL
Microsoft Entra識別子

three key pieces of information ms azure

これらは、OptiSignsアプリのSAML SSO設定ページ内で管理する必要があります。

次に、OptiSignsアカウントに戻り、これらの3つの情報を次の場所に入力します：

ログインURLはSAML 2.0エンドポイント（HTTP）の下に配置する必要があります
Microsoft Entra識別子はIDプロバイダー発行者の下に配置する必要があります
ダウンロードした証明書（Base64）の内容は、公開証明書の下に貼り付ける必要があります。

setup SAML authentication optisigns

これで、ログインポータルと統合の設定がすべて完了しました。これだけで十分な場合は、完了です。ユーザー、グループ、チームを管理したい場合は、読み続けてください。

AzureからOptiSignsへのユーザーとグループの割り当てとマッピング（オプション）

適切な役割とグループでOptiSignsに自動的にマッピングされるように、Azure内で割り当てられるユーザーのグループを作成することを強くお勧めします。

注意：これを設定しない場合、すべてのユーザーにユーザー役割とデフォルトチームが割り当てられます。OptiSignsアプリ内で手動で役割とチームを変更する必要があります。

OptiSigns内のSAML設定ページに戻ります。詳細設定までスクロールすると、次のように表示されるはずです：

group mapping optisigns

デフォルトでは、マッピングされていないユーザー/グループはOptiSignsのデフォルトチーム内のユーザーになります。OptiSignsをAzureにリンクするには、追加をクリックして新しいマッピングを作成するか、既存のグループマッピングのいずれかを編集します。

OptiSigns内の「グループ名」は、Azure内の「グループID」に対応します。この情報を見つけるには、Azureポータルに移動してグループを選択します。

groups tab ms azure

作成した各グループのオブジェクトIDはここで確認できます。

groups with object id noted

このオブジェクトIDは、OptiSigns内のグループ名フィールドに入力する必要があります。ただし、OptiSigns-プレフィックスを付けてOptiSigns専用のグループを作成し、次のようにOptiSignsにマッピングすることをお勧めします：

optisigns-admins（SAMLグループ）→ OptiSigns役割：管理者
optisigns-users（SAMLグループ）→ OptiSigns役割：ユーザー
optisigns-custom-role（SAMLグループ）→ 作成したOptiSignsカスタム役割

完了すると、次のようになります：

filled out group mapping optisigns

必要なだけグループと役割を作成できます。

マッピングされていないユーザーとグループの処理方法

「マッピングされていないユーザー/グループ」セクションをチームなし（無効）にマッピングすることをお勧めします。このようにすると、ログインしようとしたときにエラーメッセージが表示され、管理者に連絡して正しいチームと役割を割り当ててもらう必要があります。これは、特定のユーザーが誤ってOptiSignsアプリを割り当てられたが正しいグループには割り当てられていない場合の有用な保護手段です。

unmapped users/groups with no team selected

注意：SAMLグループをチームにマッピングしてからチームを削除すると、新しいユーザーがチームなしにマッピングされることになります。アプリを使用するためには、チームに割り当てられるように連絡する必要があります。

Microsoft Azureでの属性とクレームの管理

Microsoft Azureで属性とクレームを編集すると、グループに追加されたユーザーをさらに制御でき、貴重なツールとなります。

開始するには、Azureポータルに移動します。エンタープライズアプリケーション → OptiSigns → シングルサインオンをクリックします。セクション2：ユーザー属性とクレームまでスクロールします。ここで、これらの属性のマッピングを管理します。

user attributes and claims ms azure

このセクション内で、カスタマイズする主な項目は2つあります：

グループクレーム
ユーザー属性

それぞれについて説明します。

OptiSignsで使用するためのグループクレームの作成

グループクレームを作成するには、まずグループクレームを追加をクリックします：

add group claim ms azure

グループを作成するときは：

「クレームで返されるユーザーに関連付けられたグループ」の下でアプリケーションに割り当てられたグループを選択します
（オプション）「グループクレームの名前をカスタマイズする」に「groups」という名前を入力し、名前空間セクションは空白のままにします。

group claim settings ms azure
グループクレームの作成はこれで完了です。

OptiSignsで使用するためのユーザークレームのカスタマイズ

これらのマッピングにより、ユーザーの名前とグループに関する情報がOptiSignsに渡されます：

managing user claims ms azure

クレーム名は、デフォルトではURLで表されます。タイプはSAMLとして指定され、値はユーザーに関する識別情報に対応します：

user.givenname
user.groups（設定されている場合のみ - 上記セクションを参照）
user.mail
user.userprincipalname
user.surname

これらのクレーム名は、SAML SSO設定ページの詳細設定の下にある次のセクションに対応します：

advanced settings optisigns saml sso settings page

OptiSignsは、デフォルトで名、姓、グループを受け入れます。

これらの値は、クレームの名前空間に対応します。つまり、firstName（user.givenname）に対応する値がURLの場合、URL全体をOptiSignsに貼り付ける必要があります。ただし、名前空間をより管理しやすいものに変更することは可能です。

Azureで、これらのクレームのいずれかをクリックして管理します。

ms azure manage claims

URLを削除するには、名前空間フィールドから削除し、保存をクリックします。

eliminate URL ms azure claim

これにより、名前空間のURLが名前に置き換えられます。これは管理がはるかに簡単な情報です。

claims after removing url ms azure

これらは次のようにマッピングできます：

proper user mapping in optisigns example

最後に、Azure内のユーザーとグループセクションに移動し、グループをOptiSignsエンタープライズアプリに割り当てます。

add user/group

Office.comにOptiSignsログインを表示する設定

会社のOffice.comポータルでOptiSignsアプリをクリック可能なオプションとして表示させると便利な場合がよくあります。

これを設定するには、まずOptiSignsアカウントIDを見つける必要があります。これを行うには、ペアリングされた画面を見つけて、編集 → 詳細 → その他をクリックします。

edit screen advanced more

デバイス情報：をクリックします：

info button edit screen

「accountId」番号を見つけて、どこかにメモしてください。すぐに必要になります。

次に、適切な場所でアカウントIDを置き換えることを忘れずに、次のURLをコピーします：

https://app.optisigns.com/signIn/<accountId>

次に、Azureポータルに戻り、SAMLベースのサインオンに移動します。そこで、基本的なSAML構成を見つけて編集をクリックします。これによりサイドバーが開きます。サインオンURL（オプション）とリレー状態（オプション）フィールドにURLを貼り付け/入力するだけです。

これにより、OptiSignsアプリがMicrosoft Officeポータルに表示されるようになります。これにより、サイドメニューのオプションの全範囲も提供されます。

optisigns app in ms office portal

よくある質問

ここでは、このトピックについて最もよくある質問に答えます。

このエラーメッセージが表示されました。どうすればいいですか？

初期状態が不足しているため、リクエストを処理できません。ブラウザのsessionStorageにアクセスできない、または誤ってクリアされた場合に発生する可能性があります。特定のシナリオは次のとおりです - 1）IDPによって開始されたSAML SSOの使用。2）ストレージが分割されたブラウザ環境でのsignInWithRedirectの使用。

optisigns common error message

このエラーは、次の2つの理由のいずれかで表示されます：

間違ったURLが入力された。これは頻繁に（https://auth.optisigns.com/__/auth/handler）です
ユーザーがMicrosoft AzureでSAML SSOを正しく設定せずに、Office.comからOptiSignsポータルにアクセスしようとしました。

この問題を解決する最も簡単な方法は、ブランドURLを介してログインすることです。

branded url example

これは組織に固有のものになります。詳細については、「Microsoft Entra IDポータルでOptiSignsをアプリとして追加」セクションで概説されている手順に従ってください。

チーム/グループに所属していないと表示されます。どうすれば修正できますか？

このエラーはグループマッピングに関係しています。開始するには、上記の「ユーザーとグループの割り当てとマップ」セクションで概説されているすべての手順に従ってください。

team/group error message

それでも問題が解決しない場合は、グループ名を確認してください。Azureでは、それがオブジェクトIDです：

ms azure groups tab object id

目的のユーザーの属性とクレームを確認し、グループ名がアプリケーションに割り当てられたグループとして割り当てられていることを確認してください。

次に、クレームが正しく設定されているかどうかを確認します：

proper claims names ms azure

上記の値は、OptiSignsポータル内のこれらと一致する必要があります：

proper claims names optisigns

最後に、MS Azure内でユーザーとグループがアプリケーションに追加されていることを確認してください：

user and group added to app within ms azure

これで問題が解決するはずです。

OptiSignsアカウントにログインしましたが、通常使用しているサイドメニューオプションがすべて表示されていないようです。どうなっていますか？

次のようなURLを使用して、ブランドポータル経由でサインオンしている可能性があります：

https://app.optisigns.com/signIn/<accountId>

先に進んでここで概説されている手順に従ってください。そうすれば、この問題は解決するはずです。

以上です！

Microsoft Entraを使用してOptiSignsのSAML 2.0を構成しました。

URLをユーザーと共有すれば、SSOクレデンシャルを使用してログインできます。

OptiSignsに関する追加の質問やフィードバックがある場合は、support@optisigns.comのサポートチームまでお気軽にお問い合わせください。