対象プランオプション機能
本ページではMicrosoftが提供する「Microsoft Entra ID」を利用したSAML認証により、管理画面へSSO(シングルサインオン)をする設定方法をご紹介します。SAML認証の詳細は、SAML認証をご覧ください。
ご利用いただく環境が整いましたら、担当のカスタマーサクセスからご連絡をいたします。下記を参考に設定を進めてください。
<attention>- Service ProviderであるEventHubからログインを開始するSP initiated に対応しています。IdP initiated には対応しておりません。
- Microsoft Entra IDの設定は管理者権限が必要です。</attention>
1. Microsoft Entra IDの設定
① [メンバー管理]から、[SAML設定]をクリックします。
② 表示される [ACS URL]と[SP Entity ID]をコピーしてお手元にご準備ください。
③ Entra IDの管理画面にログイン後、アプリケーションを作成してください。アプリの名前を任意で設定し、[ギャラリーに見つからないその他アプリケーションを統合します(ギャラリー以外)]を選択します。
④ ②で取得した [ACS URL]と[SP Entity ID]をEntra IDに設定します。
[概要] から [2. シングルサインオンの設定 ] をクリックします。
⑤ [シングルサインオン方式の選択]にて、[SAML]をクリックします。
⑥ [基本的なSAML構成] に以下項目を設定します。
| Entra IDの設定項目 | 設定内容 |
| 識別子(エンティティID) | ②で管理画面から取得した[SP Entity ID]を設定してください。 |
| 応答URL | ②で管理画面から取得した[ACS URL]を設定してください。 |
⑦ [属性とクレーム]の設定をご確認ください。(推奨)
Entraで設定している名称をEventHub管理画面に表示するメンバー名として表示できます。デフォルトの設定通り、以下の設定になっていることをご確認ください。
| 名前 | ソース属性 | 説明 |
| givenname | user.givenname | 名(First Name) |
| surname | user.surname | 姓(Last Name) |
<tips>上記設定を行わない場合、管理画面上のメンバー名が空欄となり、ユーザーが識別が難しくなります。ユーザーを識別できる名前を設定してください。</tips>
2. フェデレーションメタデータURLの共有
[SAML証明書]> [アプリのフェデレーションメタデータURL]をEventHubに共有してください。
3. SAML認証でログイン
ご共有いただいた情報をもとに、EventHubで環境設定をします。設定が完了後、弊社カスタマーサクセスからSAML認証用のログインURLを共有いたします。当該URLを利用して、EventHubの管理画面へログインしてください。
<attention>EventHubへはIDaaSから直接管理画面へログインすることはできません。SAML認証用のログインURLからアクセスしてください。</attention>
4. EventHub管理画面にログインしたメールアドレスを共有
管理画面にログイン時、右上に表示されるメールアドレス(IDaaSから連携されたメールアドレス)をEventHubに共有してください。
SAML認証でログインしたユーザーは、デフォルトでは全イベントの編集・閲覧する権限がない設定になっていますので、EventHubがイベント管理権限を付与いたします。これで設定は完了です🎉<attention>最初に連携するユーザーには弊社で管理者権限を付与いたしますので、それ以降にログインされるユーザーの権限設定は貴社にてご対応をお願いします。管理者権限の詳細は、メンバー管理をご覧ください。</attention>
上記設定を行なっても、SAML認証によるログインができない場合、IdPの設定が正しくできていない可能性があります。その際は、有効化した設定を一度削除することが可能ですので、カスタマーサポートまでお問い合わせください。<tips>「シングルサインオンをTest」時にエラーが発生しますが、Entra IDからEventHubへログインがサポートされていないためです。このエラー自体は仕様通りなので、特に問題はありません。</tips>
5. 注意・補足
ID/PWログインとの併用
- SAML認証設定後も、ID/PWでログインするメンバーを追加することは可能です。
- SAML認証設定前に管理画面に登録されていたメンバーは、SAML認証設定後も従来のID/PWでログイン可能です。ID/PWでのログインを制限したい場合は、既存のID/PWメンバーを管理画面から削除した上で、EventHubへのログインを許可するメンバーをIDaaS側で制御してください。なお、ID/PWでログインしているメンバーは、メンバー管理画面上に⚠️マークが表示されます。
- 問題発生時などに迅速かつ適切なサポートを提供するため、EventHubでは管理者として1ユーザー登録させていただいております。当該ユーザーはSAML認証を利用環境であってもID/PWでログインしますので、ご理解のほどよろしくお願いいたします。
その他
- SAML認証利用時のメールアドレス・パスワードについて
- SAML認証を使用してログインすると、IDaaSからランダムなメールアドレスが付与されます。これはEventHub全体でメールアドレスの重複を避けるための仕組みです。メールアドレスは初回ログイン時に付与され、その後は固定されます。EventHub管理画面からメールアドレスの変更は可能ですが、変更してもIDaaS側のメールアドレスには反映されません。
- SAML認証ユーザーは、パスワードリセットはできません。
- IPアドレス制限機能と併用した場合、IDaaSとの接続等で意図せずIPアドレスで弾かれてしまう可能性がございますのでご注意ください。
- Entra IDでアクセス権限を解除すると、72時間経過後に管理画面にログインできなくなります。