Skip to main content

DigiCert ONE Login – Microsoft Entra ID(Azure Active Directory)

このガイドでは、Microsoft Entra ID(正式には Azure Active Directory)を既存の DigiCert サービスと統合するために必要な手順をすべて説明します。これにより、ユーザーは OIDC または SAML 認証のいずれかによるシングルサインオン体験を通じて DigiCert Trust Assistant にサインインできるようになります。

前提条件

開始する前に、Entra ID ドメインへの管理者アクセス権限と、アプリ登録の登録および構成を行う編集権限があることを確認します。詳細については、Microsoft Entra の公式ドキュメントを参照してください。

OIDC 設定の手順

OIDC を設定するには、次の手順を実行します。

手順 1: OIDC を使用してシングルサインオンを設定する

  1. アカウントの SSO 設定を行う権限のある管理者として DigiCert ONE にサインインします。

  2. [OIDC を使用したシングルサインオン]に移動し、[編集]を選択します。

  3. [OIDC 認証を有効にする]を選択します。

    注記

    後でこのページの情報が必要になるため、必ずページを開いたままにしておいてください。

手順 2: Entra ID ポータルで新しいアプリ登録を作成する

  1. Entra ID ポータルにサインインし、[Microsoft Entra ID] に移動します。

  2. [アプリ登録]>[新規登録]に移動します。

  3. [アプリケーションの登録]ページで、次の詳細を入力します:

    • 名前: 新しいアプリケーションの名前。

    • 対応するアカウントタイプ: [この組織ディレクトリ内のアカウントのみ(<アカウント名>のみ - シングルテナント)]オプションを選択します。

    • リダイレクト URI(オプション); [プラットフォームの選択][Web]を選択し、[DigiCert ONE Login OIDC 設定]ページからリダイレクト/コールバック URL をコピーして入力フィールドに貼り付けます。

  4. [登録]を選択します。

手順 3: DigiCert ONE OIDC 設定に情報をコピーする

  1. アプリが Entra IDに登録されたら、[概要]ページに表示されているアプリケーション(クライアント)ID をコピーし、後で使用するために保存しておきます。

  2. [エンドポイント]を選択すると、[エンドポイント]パネルが開きます。パネルから次の URL をコピーし、後で使用するために保存しておきます。

    • OAuth 2.0 認可エンドポイント(v2)

    • OAuth 2.0 トークンエンドポイント(v2)

    • OpenID Connect メタデータドキュメント

  3. OpenID Connect メタデータドキュメントのURL を別のブラウザタブで開きます。json 形式でメタデータが表示されます。次に、後で使用するために、json から jwks_uri発行者をコピーして保存しておきます。

  4. メインページで[証明書またはシークレットの追加]リンクを選択します(またはメニューから[管理]>[証明書とシークレット]を選択)。

  5. [新しいクライアントシークレット]を選択し、[クライアントシークレットの追加]パネルで次の詳細を入力します。

    • 説明: クライアントシークレットの簡単な説明。

    • 有効期限: クライアントシークレットの有効期限。

  6. [追加]を選択します。クライアントシークレットが生成されます。をコピーし、後で使用するために保存しておきます。

  7. DigiCert ONE OIDC 設定ページに戻ります。事前に保存した次の値を入力します。

    • 認可エンドポイント: 保存したOAuth 2.0 認可エンドポイント(v2)の URL を入力します。

    • トークンエンドポイント: 保存したOAuth 2.0 トークンエンドポイント(v2)の URL を入力します。

    • JWKS エンドポイント: OpenID Connect メタデータドキュメントの URL を開いた際に表示された json からコピーした保存済みの jwks_uri 値を入力します。

    • クライアントシークレット:; 生成されたクライアントシークレットのを入力します。

    • クライアント ID: アプリケーション(クライアント)ID を入力します。

    • ID トークンオーディエンス: アプリケーション(クライアント)ID を入力します。

    • ID トークン発行者: OpenID Connect メタデータドキュメントの URL を開いた際に表示された json からコピーした発行者の値を入力します。

  8. [Update OIDC]を選択します。

手順 4: OIDC 設定を使用したログインをテストする

Entra ID アカウントを使用して DigiCert Trust Assistant にログインしてみてください。詳細については、「ユーザー作成と証明書発行をテストする」を参照してください。

ID トークンにクレームを追加する

このセクションでは、OIDC ID Token によってユーザー属性を DigiCert ONE に転送するように Microsoft Entra ID を設定する方法について説明します。このトピックに関する一般的な情報については、「IdP 属性マッピング」を参照してください。サンプルとしてユーザーグループ属性を使用します。

このクレームを追加するには、次の手順を実行します。

  1. Microsoft Entra ID で、[管理]>[アプリ登録]に移動し、[すべてのアプリケーション]を選択してアプリケーションをすべて表示し、前の手順で作成したアプリケーションを選択します。

  2. [管理]>[トークン設定]に移動します。

  3. [グループクレームの追加]を選択します。

  4. [グループクレームの編集]ペインで、[セキュリティグループ]チェックボックスを選択し、[追加]を選択します。ユーザーが Entra ID 経由でサインインすると、グループのクレームが ID トークンに追加されます。

ログイン時にトークンが転送されると、グループクレームが ID Token に次のとおり追加されます。

"payload": {
...
      "groups": [
        "c4f28736-bd27-4501-a8a1-f4c9a4516017"
      ],
...
    },

注記

その他の属性を追加するには、手順 3[オプションのクレームを追加]を選択し、[トークンタイプ]として[ID]を選択します。ID Token に追加する目的のクレームを選択します。

SAML 設定の手順

SAML を設定するには、次の手順を実行します。

手順 1: SAML を使用してシングルサインオンをセットアップする

  1. アカウントの SSO 設定を行う権限のある管理者として DigiCert ONE にサインインします。

  2. [SAML を使用したシングルサインオン]に移動し、[編集]を選択します。

  3. [SAML 認証を有効にする]を選択します。

  4. [DigiCert メタデータのダウンロード]を選択します。

    注記

    後でこのページの情報が必要になるため、必ずページを開いたままにしておいてください。

手順 2: Entra ID ポータルで新しいエンタープライズアプリケーションを作成する

  1. Entra ID ポータルにサインインし、[Microsoft Entra ID]に移動します。

  2. [管理]>[エンタープライズアプリケーション]に移動します。

  3. [新しいアプリケーション]を選択します。

  4. [独自アプリケーションの作成]を選択します。

  5. [独自アプリケーションの作成]パネルで、次の詳細を入力します。

    • アプリの名称は?:  アプリケーションの名称。

    • アプリケーションで実行したい機能: [ギャラリーで見つからない(ギャラリー以外の)他のアプリケーションの統合]オプションを選択します。

  6. [作成]を選択します。

手順 3: SAML を設定する

  1. [管理]>[シングルサインオン]に移動します。

  2. [シングルサインオン方法の選択]セクションで、[SAML]を選択します。

  3. [メタデータファイルのアップロード]を選択します。

  4. [アップロードアイコン]を選択し、[DigiCert ONE SAML 設定]からダウンロードしたメタデータファイルをアップロードし、[追加]を選択します。

  5. [基本 SAML 設定]ペインで、[保存]を選択します。

  6. [SAML 証明書]セクションまで下にスクロールし、[フェデレーションメタデータ XML]の横にある[ダウンロード]を選択します。

  7. [DigiCert ONE SAML 設定]ページに戻り、[IDP メタデータのアップロード]を選択します。

  8. Entra ID ポータルからダウンロードした[フェデレーションメタデータ XML]ファイルを選択し、[保存]を選択します。

手順 4: ユーザーを割り当てる

このセクションではユーザーごとの割り当てについて説明しますが、Entra ID プランのレベルによってはグループに基づくユーザーの割り当てが可能な場合があります。

  1. [Entra ID]ページで[管理]>[ユーザーとグループ]に移動します。

  2. [ユーザー/グループを追加]を選択します。

  3. [割り当ての追加]ページで、[ユーザー]セクションの[選択なし]を選択します。

  4. [すべて]タブで、DigiCert ONE への SAML ログインを有効にしたいユーザーのチェックボックスを選択します。

  5. [選択]ボタンをクリックしてペインを閉じます。

  6. [割り当て]を選択します。

手順 5: SAML リクエストとアサーションで署名を有効にする

  1. Microsoft Entra ID で、[管理]>[シングルサインオン]に移動し、[トークン署名証明書]セクションまで下にスクロールします。

  2. [編集]を選択します。

  3. [SAML 署名証明書]ペインで、[署名オプション]ドロップダウンメニューから[SAML 応答とアサーションの署名]オプションを選択します。

  4. [保存]を選択します。

手順 6: SAML SSO を使用したログインをテストする

注記

DigiCert ONE アカウントでも OIDC を有効にしている場合は、テスト実行前に設定を必ず無効にしておきます。

Entra ID アカウントを使用して DigiCert Trust Assistant にログインしてみてください。詳細については、「ユーザー作成と証明書発行をテストする」を参照してください。

SAML 属性を SAML アサーションに追加する

このセクションでは、Microsoft Entra ID を設定して、ユーザー属性を SAML アサーション経由で DigiCert ONE に転送する方法について説明します。このトピックに関する一般的な情報については、「IdP 属性マッピング」を参照してください。サンプルとしてユーザーグループ属性を使用します。

  1. [管理]>[エンタープライズアプリケーション]に移動し、前の手順で作成したアプリケーションを選択します。

  2. [管理]>[シングルサインオン]に移動します。

  3. [属性とクレーム]まで下にスクロールし、[編集]をクリックします。

  4. [グループクレームの追加]をクリックします。

  5. [グループクレーム]ペインで、[セキュリティグループ]オプション(または対象グループの範囲に応じてその他のグループ選択)を選択します。

  6. [保存]をクリックします。

グループ属性がログイン時に転送されると、SAML アサーションの[属性ステートメント]セクションに次のとおり追加されます。

   <AttributeStatement>
...
      <Attribute Name="http://schemas.microsoft.com/ws/2008/06/identity/claims/groups">
        <AttributeValue>a00dca3f-393d-4732-9e1a-73f1f2bb1f71</AttributeValue>
        <AttributeValue>c4f28736-bd27-4501-a8a1-f4c9a4516017</AttributeValue>
      </Attribute>
...
    </AttributeStatement>

注記

他の属性を追加するには、手順 4[グループクレームの追加]を選択し、新しいページで希望の属性から名前、ソース属性を入力して[保存]を選択します。

このセクションの内容: