参考となるテキストとして、以下があります。
https://learn.microsoft.com/ja-jp/training/courses/az-104t00?wt.mc_id=esi_m2l_content_wwl#study-guide
1.Microsoft Entra IDの概要
1.1 言葉の整理
(1)Microsoft Entra IDとは
・Azure Active Directoryの名称が変更になった。
・オンプレミスでいうActive Directoryのクラウド版
・クラウド上で認証を認可をする仕組み
(2)オンプレのActiveDirectoryとの違い
・オンプレのActiveDirectoryでは、Kerberos(古くは
NTLMv2)を使っているが、インターネット環境であり、
他のシステムとも連携するので、SAMLやOpenID Connect、OAuthなどのプロトコルを使う。
・グループポリシーなどができない。
1.2 プラン
freeもある。以下にMicrosoft Azureのプラン一覧です。
https://azure.microsoft.com/ja-jp/support/legal/offer-details/
無料でAzureのテストをするなら、以下から。
https://azure.microsoft.com/ja-jp/free
30日間で200ドル分を使えます。ただ、クレジットカード登録が必要です。
https://az-start.com/azure-create-free-account/
1.3 アカウント
名称 | 説明 | 作成者 |
---|---|---|
クラウドID | あるテナントのみに存在するID | このテナント |
ディレクトリ同期ID | オンプレのアカウントを連携したID | ローカルのAD |
ゲストID | 外部テナントから招待したID | 他のテナント |
2.実際にやってみよう(1) サインイン
・Microsoft Azure Portalにアクセス
・運営から指示されたユーザIDとパスワードでログイン
※自身のアカウントが選択されている場合は、[別のアカウントを使用する]を選択してください
手順①サインイン
手順②パスワード入力
・サインインの状態を維持しますか?と聞かれたら
[はい]を押してください([いいえ]を選ぶと競技中に困ります)
手順③サインインの状態([はい]を選択)
・アカウントの保護に協力を求められたら
協力せずに[今はしない]を選択してください。(2段階認証設定が走ってしまいます)
※数回尋ねられますが、すべて[今はしない]を選択してください
アカウントの保護に協力を求められたときは[今はしない]を選択
AzureADへアクセス
サインインが完了したら、左上[≡]を押して[Azure Active Directory]を選択、または中央のAzure Active Directoryの表示を押してください
2.基本の設定
(1)新しいユーザを作成する
地域?は必ず入れましょう
(2)グループを作る
グループの種類は「セキュリティ」を選ぶ
動的メンバーシップルールで、プロパティの識別子を使って追加ができると思う。たとえば、部署がeigyou みたいな。
(3)使用量とクォータの設定
3. エンタープライズアプリケーションのSSO設定を確認する
Azure AD は基本的に企業に1つです。AzureADには大きく分けて2つの役割があります(管理者とユーザ)が、今回はユーザアカウントを使用します。
ユーザ権限では、パスワード変更はできますがADの設定変更はできないなど、かなり限られたことしかできません。管理者権限ではAzureADを使ったシングルサインオンの設定などができます。
今回はそのシングルサインオンの連携についてどのような設定をされているかをユーザ権限から確認します。
・エンタープライズアプリケーションの確認
Azure Active Directoryにアクセスができたら、次はエンタープライズアプリケーションを確認します。
左側にある[エンタープライズアプリケーション]をクリックしてください
・エンタープライズアプリケーションの選択
表示されたアプリケーションから、[Check Point Harmony Connect]をクリックしてください
・シングルサインオン設定の確認
Check Point Harmony Connect(Azure AD)のページに進み、画面中央のシングルサインオンの設定の[作業の開始]をクリックするとSAML設定などが確認できます