Magento Azure AD (Microsoft Entra ID) シングル サインオン (SSO) | Azure AD 資格情報を使用して Magento に SSO する
概要
統合 アズールAD (Microsoft Entra ID) OAuth 2.0 プロトコルを使用して Magento にログイン (Azure Active Directory OAuth シングル サインオン)。 Magento OAuth / OpenID Connect シングル サインオン (SSO) 拡張機能を使用すると、ユーザーは Azure AD 資格情報 (Azure AD シングル サインオン) を使用して Magento ストアにログインできます。 Magento 2 SSO IDP として Azure AD を使用します。
ユーザー プロファイル属性マッピング、ロール マッピングなどの高度なシングル サインオン機能がサポートされています。このガイドでは、Magento と Azure AD の間で SSO を設定する方法について説明します。この記事の最後には、ユーザーは Magento で Azure AD を使用してログインできるようになります。
こちらをクリックしてください Magento OAuth シングル サインオン (OAuth および OpenID Connect クライアント) 拡張機能の追加機能について詳しくは、こちらをご覧ください。
インストール手順
- コンポーザの使用
- 手動インストール
構成手順
1. Magento Azure AD SSOログイン用のOAuthプロバイダーとしてMicrosoft Entra ID (Azure AD)を設定する
- にサインイン Microsoft Entra ID (Azure AD) ポータル.
- 選択する Microsoft Entra ID (Azure AD).
- 左側のナビゲーション パネルで、 アプリの登録 サービスを選択し、クリックします 新規登録.
- 新しいアプリケーションを作成するには、次のオプションを構成します。
- の下にアプリケーションの名前を入力します。 お名前 テキストフィールド。
- サポートされているアカウントの種類で、3 番目のオプションを選択します '任意の組織ディレクトリ内のアカウント (ユーザー フローでユーザーを認証するため).
- [リダイレクト URI] セクションで、 ウェブアプリケーション そして、入力します。 コールバックURL miniOrange Magento OAuthクライアントプラグイン(OAuthプロバイダータブ)から 保存 それの下にある リダイレクトURL テキストボックス。
- セットアップボタンをクリックすると、セットアップが開始されます 登録する ボタンをクリックしてアプリケーションを作成します。
- Microsoft Entra ID (Azure AD) は、アプリケーションに一意のアプリケーション ID を割り当てます。 の アプリケーションID あなたです 顧客ID と ディレクトリID あなたです テナントIDこれらの値は、miniOrange Magento SSO OAuth クライアント拡張機能を構成するときに必要となるため、手元に保管しておいてください。
- に行く 証明書と秘密 左側のナビゲーション パネルから をクリックし、 新しいクライアントシークレット。 説明と有効期限を入力し、クリックします。 追加 オプションを選択します。
- 秘密鍵をコピーする "値" 後で設定する必要があるので、値を手元に保管してください クライアントシークレット miniOrange Magento SSO OAuth クライアント拡張機能の下にあります。
結論として、正常に構成することで OAuth プロバイダーとしての Azure AD、エンドユーザーによる Magento への Magento Azure AD SSO ログインと承認が有効になりました。
2. Magento を OAuth クライアントとしてセットアップする
- OAuthプロバイダの設定が完了したら、「OAuthプロバイダ」タブに移動し、 プロバイダーを追加
- ここで、 OAuthプロバイダー名, 顧客ID, クライアントシークレット, 対象領域 そしてエンドポイントを提供しました。
- 詳細は Endpoints 承認のために以下の表を提供する Azure AD シングルテナント環境によるシングル サインオン (SSO) Magento サイトに追加します。
- 詳細は 範囲とエンドポイント 承認のために以下の表を提供する 任意の Azure AD テナント環境でのシングル サインオン (SSO) Magento サイトに追加します。
- セットアップボタンをクリックすると、セットアップが開始されます Save ボタンを押して設定を保存します。
- セットアップボタンをクリックすると、セットアップが開始されます テスト構成
- OAuth プロバイダーから Magento に返されたすべての値が表に表示されます。 名、姓、電子メール、またはユーザー名の値が表示されない場合は、OAuth プロバイダーでこの情報を返すように必要な設定を行ってください。
- 「マルチサイト設定」タブに移動します。ここでは、Magento インストール環境下のすべてのサブサイトのうち、SSO を有効にするサイトを選択できます。すべてのサブサイトのチェックボックスをオンにして、「保存」をクリックしてください。
- また、 コールバックURL 各サブサイトに対して、必要な OAuth プロバイダーを設定するために使用できます。
- MFAデバイスに移動する サインイン設定 タブを選択し、 OAuthプロバイダー ドロップダウン メニューから選択して、構成を続行します。
- ここでログインリンクを有効にするオプションがあります 管理者*/顧客 ログインページ (*管理者 SSO はプレミアム バージョンで利用可能です)
- 管理者ユーザーと顧客ユーザーがまだ存在しない場合は、SSO中に自動的に作成できます。該当するチェックボックスをオンにするだけで有効になります。
- プレミアム拡張機能では、次の機能も提供します。 ユーザーを IdP ログイン ページに自動リダイレクトします ユーザーがまだログインしていない場合。
- 任意のページから SSO を開始する場合は、拡張機能で提供される SSO リンクを使用することもできます。
| 範囲: | オープンID |
| エンドポイントを承認します: | https://login.microsoftonline.com/<テナントID>/oauth2/v2.0/承認 |
| アクセストークンエンドポイント: | https://login.microsoftonline.com/<テナントID>/oauth2/v2.0/トークン |
| ユーザー情報の取得エンドポイント: | https://login.windows.net/<テナントID>/openid/ユーザー情報 |
| ログアウト後のカスタム リダイレクト URL:[オプション] | https://login.microsoftonline.com/<テナントID>/oauth2/logout?post_logout_redirect_uri= |
| 範囲: | オープンID |
| エンドポイントを承認します: | https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| アクセストークンエンドポイント: | https://login.microsoftonline.com/common/oauth2/v2.0/token |
| ユーザー情報の取得エンドポイント: | https://login.windows.net/common/openid/userinfo |
| ログアウト後のカスタム リダイレクト URL:[オプション] | https://login.microsoftonline.com/common/oauth2/logout?post_logout_redirect_uri=<your URL> |
Note: 拡張機能のエンタープライズ版では、複数のプロバイダーを設定できます。別のプロバイダーを設定するには、「プロバイダーを追加」ボタンをクリックし、必要なプロバイダーを設定してください。すべてのプロバイダーの設定ガイドは、以下からご覧いただけます。 こちら.
3. マルチサイト設定(*エンタープライズ版で利用可能)
4. サインイン設定
5. 顧客/管理者の SSO
- 顧客シングル サインオン (顧客 SSO)
- 管理者シングル サインオン (管理者 SSO)
6. ヘッドレスSSO設定(*プレミアムバージョンで利用可能)
- MFAデバイスに移動する サインイン設定 タブ。ここに、ヘッドレス Magento ストアの SSO を有効にするオプションがあります。
- 貼り付け フロントエンド投稿URL 指定されたフィールドに、フロントエンドストアのURLを入力してください。
属性/カスタム マッピング (オプション)。 *これはプレミアム機能です。
1.1: 属性マッピング (オプション)。
- 属性は、アイデンティティ プロバイダーに保存されるユーザーの詳細です。
- 属性マッピングは、アイデンティティプロバイダー (IdP) からユーザー属性を取得し、それを名、姓などの Magento ユーザー属性にマッピングするのに役立ちます。
- Magento サイトにユーザーを自動登録する際、これらの属性は Magento ユーザーの詳細に自動的にマッピングされます。
- のみ 名前ID 無料のプラグインを使用して、Magento の電子メールとユーザー名の特性にマッピングできます。 一方、プレミアム バージョンのプラグインでは、IdP からの複数のユーザー属性を Magento 属性にマッピングできます。 デフォルトの属性に加えて、IdP に追加したカスタム属性をマップできます。
- ユーザーが SSO を実行すると、IdP によって送信された NameID 値が電子メールと Magento ユーザーのユーザー名にマッピングされます。
| ユーザー名: | IdP からのユーザー名属性の名前 (デフォルトでは NameID を保持します) |
| Email: | IdP からの電子メール属性の名前 (デフォルトでは NameID を保持します) |
| グループ/役割: | ID プロバイダー (IdP) からのロール属性の名前 |
- あなたがチェックすることができます テスト構成 以下の結果 サービスプロバイダーのセットアップ タブをクリックして、ここにマッピングする値をよりよく理解します。
1.2: カスタム属性マッピング (オプション)。 ※これはプレミアム機能です。
- 「属性名の入力」フィールドに、アイデンティティ プロバイダーから受け取る属性に対してマッピングする属性名を入力します。
- 「追加」ボタンをクリックします
- 次に、指定されたフィールドに、アイデンティティ プロバイダーから受け取った属性名を入力します。
- 保存ボタンをクリックして設定を保存します。
- 属性名フィールドに名前を入力し、削除ボタンをクリックして構成を削除することもできます。
役割のマッピング (オプション)。 ※これはプレミアム機能です。
- Magentoは「ロール」という概念を採用しており、サイト所有者がサイト内でユーザーが実行できる操作と実行できない操作を制御できるように設計されています。ロールマッピングは、IdP内の特定のグループのユーザーに特定のロールを割り当てるのに役立ちます。
- 自動登録中、ユーザーにはマップ先のグループに基づいてロールが割り当てられます。
- POC 拡張機能で、管理者以外のすべてのユーザーが SSO を実行する際に割り当てられるデフォルトのロールを指定できます。
- 管理者以外のすべてのユーザーに割り当てるデフォルト ロールを選択し、[保存] ボタンをクリックします。
- プレミアム拡張機能では、SSO のバックエンド/フロントエンド ロールを更新することもできます。
- プレミアム拡張機能で SSO を実行するときに、管理者以外のすべてのユーザーに割り当てられるデフォルトのロールを指定することもできます。
- すべての管理者ユーザーに割り当てるデフォルトロールを選択し、「保存」ボタンをクリックします。
- Magento セキュリティ ソリューション
- シングル サインオン (SSO) ログインとは何ですか?
- Azure AD SSO | Azure シングル サインオン (SSO) ログイン
- Azure AD - 概要
- SSO ログイン用の ID プロバイダー (IdP) として Azure AD を構成する
- Azure AD - Azure Active Directory とは何ですか?
- Magento OAuth シングル サインオン (SSO) プラグイン。
その他のリソース
Get in Touch
までご連絡ください magentosupport@xecurify.comにご連絡いただければ、Magento 2 SSO(OAuth/OIDC)拡張機能の設定を弊社チームがサポートいたします。お客様のご要望に応じて、最適なソリューション/プランの選定をお手伝いいたします。
