概要
Azure ADを使用したOAuth2ドメインの設定方法について説明します。
OAuth2ドメインを設定することで、TDV Serverに対するシングルサインオンが可能となります。
検証環境
| 製品 | バージョン |
|---|---|
| TDV Server |
8.7.0 |
| TDV Studio |
AzureADの設定
アプリケーション作成
アプリケーションが既に存在する場合は、新たに作成する必要はありません。
Azure ADにアクセスし、アプリの登録をクリックします。
新規登録をクリックします。
アプリケーション名を入力し、登録をクリックします。
サポートされているアカウントの種類については用途に応じて任意の種類を選択してください。
リダイレクトURI設定
認証をクリックします。
プラットフォームを追加をクリックします。
Webを選択します。
リダイレクトURIには以下の3種類のURLのいずれかを登録します。
-
https://<TDVのHostname>:9402/oauth2studiocallback
- Studioのログインで使用
-
https://<TDVのHostname>:9402/manager/
- Managerのログインで使用
-
https://<TDVのHostname>:9402/webui
- WebUIのログインで使用
TDVのHostnameの確認・変更方法については以下の記事をご参照ください。
残りのURLは後ほど登録します。
アクセストークンとIDトークンにチェックを入れて構成をクリックします。
URIの追加をクリックし、残りのURLを追加して、保存をクリックします。
クライアントシークレット作成
証明書とシークレットをクリックします。
新しいクライアント シークレットをクリックします。
説明と有効期限を設定して、追加をクリックします。
作成されたクライアントシークレットの値はTDVの設定で使用するため、コピーして保存しておいてください。
APIのアクセス許可設定
APIのアクセス許可をクリックします。
アクセス許可User.Readが設定されていることを確認します。
User.Readはデフォルトで設定されていますが、設定されていない場合はアクセス許可の追加から設定してください。
スコープ設定
APIの公開をクリックします。
Scopeの追加をクリックします。
保存してから続けるをクリックします。
スコープ名を「openid」とし、任意の表示名と説明を入力してスコープの追加をクリックします。
作成されたスコープは後ほどTDVの設定で使用するので、コピーして保存しておいてください。
グループ要求作成
トークン構成をクリックします。
グループ要求の追加をクリックします。
アプリケーションに割り当てられているグループにチェックを入れ、追加をクリックします。
groups要求が作成されたことを確認します。
アプリケーションにグループを割り当て
アプリケーションにグループを割り当てるためには、サブスクリプション「MICROSOFT ENTRA ID GOVERNANCE」または「MICROSOFT ENTRA ID P2」の購入が必要です。
エンタープライズアプリケーション > すべてのアプリケーションを選択し、グループを割り当てるアプリケーションを選択します。
ユーザーとグループを選択します。
割り当てたいグループと任意のロールを選択します。
マニフェスト編集
マニフェストをクリックします。
「accessTokenAcceptedVersion」の値を「2」に変更します。
保存をクリックします。
TDV設定
ドメイン作成
Managerにアクセスし、セキュリティ > ドメイン管理をクリックします。
ドメインの追加をクリックします。
TypeをOAuth2とし、Nameに任意の名前を入力します。
Allow OAuth login via TDV toolsにチェックを入れます。
各種パラメータをTDVに入力し、OKをクリックします。。
下記表に記載されていないパラメータはデフォルト・空欄のままで問題ありません。
| パラメータ | 値 |
| Issuer Value | https://login.microsoftonline.com/<tenant-id>/v2.0 |
| User ID Claim | preferred_username |
| Auth URL | https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize |
| Token URL | https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token |
| Client ID | <client-id> |
| Client Secret | Azure ADで設定したクライアントシークレットの値 |
|
Scope |
Azure ADで設定したScopeの値 |
<tenant-id> と<client-id>はAzureのアプリの概要から確認できます。
クレーム作成
Azureからログインするユーザーが所属するグループに、権限を付与するための設定を行います。
この操作を行わない場合、Studioでのログイン時に「アクセスツール」権限を含むすべての権限が付与されていないためログインに失敗します。
Managerにアクセスし、セキュリティ > クレーム管理をクリックします。
クレームを追加をクリックします。
クレームの情報を入力し、OKをクリックします。
- ドメイン名:OAuth2ドメインの名前を入力
- クレーム名:Azureで設定したグループ要求 groupsと権限を設定したいAzureADのグループ名 を以下の形式で入力
- groups:<グループ名>
- クレーム権:任意の権限を選択します。今回は「開発者」の権限を付与します。
ログイン方法
Studio
TDV Studioを起動し、OAuth2ドメインを選択し、接続をクリックします。
AzureADの認証情報を入力してサインインします。
Studioにログインできることを確認します。
Manager
Managerのログイン画面にアクセスし、DomainにOAuth2ドメインの名前を入力し、Sign inをクリックします。
この時、ユーザー名とパスワードを入力する必要はありません。
Azure ADの認証情報を入力してサインインします。
ログインが成功することを確認します。
WebUI
WebUIにアクセスし、OAuth2ドメインを選択します。
Azure ADの認証情報を入力してサインインします。
ログインが成功することを確認します。