【CyberArk】Microsoft Entra IDとのSAML連携手順

今回は、CyberArkとMicrosoft Entra ID(旧:Azure Active Directory 、以下:Entra ID)とのSAML連携手順について解説します。

SAML連携するメリット

SAML連携を実装することで、CyberArkの認証にEntra IDのユーザー情報を用いることが可能となります。

また、Entra ID上のグループ単位でCyberArkへのログイン権限を割り当てることが可能となり、こちらの点でもユーザー管理の煩雑さを軽減することが可能です。

SAML連携手順

実際にCyberArkとEntra IDを連携し、Entra IDのユーザー情報でログインができるように構成していきます。

エンタープライズアプリケーションの追加、構成

Entra IDに対して、CyberArk SAML認証用のアプリケーションの追加を行います。

  1. Entra ID管理センターにログインし、「アプリケーション」>「エンタープライズアプリケーション」をクリックします
  2. 「すべてのアプリケーション」>「 新しいアプリケーション」をクリックします
  3. 検索ボックスからCyberArkを検索し、「CyberArk SAML Authentication」をクリックします
  4. 任意の名前に変更し、「作成」をクリックします
  5. 「エンタープライズアプリケーション」 > 「すべてのアプリケーション」に移動し、「CyberArk SAML Authentication」(手順4で作成したアプリケーション)をクリックします
  6. 「シングルサインオン」をクリックします
  7. 「SAML」をクリックします
  8. 「基本的なSAML構成」の「編集」をクリックします
  9. 基本的なSAML構成にて以下の情報を入力し、「保存」をクリックします
    設定項目 設定値
    識別子 PasswordVault
    応答URL https://PVWAサーバーのIPアドレス/PasswordVault/api/auth/saml/logon
    サインオンURL https://PVWAサーバーのIPアドレス/PasswordVault/v10/logon/saml
    ※PVWAは"Password Vault Web Access"の略称
    ※その他の設定項目は省略

  10.  「属性とクレーム」の「編集」をクリックします
  11. 「一意のユーザー識別子(名前ID)」をクリックします
  12. 以下の通りに値を設定し、「追加」をクリックします
    設定項目 設定値
    ソース 変換
    変換 ExtractMailPrefix
    属性名 user.userprincipalname
  13. 変換が追加されたことを確認し、「保存」をクリックします
  14. 「証明書(Base64)」をダウンロードし、「ログインURL」、「Microsoft Entra 識別子」の2つをコピーして控えます
  15. 「ユーザーとグループ」>「ユーザーまたはグループを追加」をクリックします。
  16. 「ユーザーとグループ」からSAML認証を使用するユーザーまたはグループを選択し、「選択」をクリックします※今回はuser01というユーザーを追加します
  17.  「割り当て」をクリックします

PVWAでのSAML認証構成手順

「エンタープライズアプリケーションの追加、構成」で作成したエンタープライズアプリケーションの情報を、CyberArkに登録していきます。

  1. PVWAにアクセスし、「Administrator」でログインします
  2. 「管理」>「構成オプション」に移動し、「Options」をクリックします
  3. 「Authentication Methods」>「saml」と移動し、プロパティを以下の様に変更します
    設定項目 設定値
    Enabled Yes
    LogoffUrl https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
  4. 「Access Restriction」ツリーを右クリックし、「AllowedReferrerの追加」を選択します
  5. プロパティで以下の情報を入力します
    設定項目 設定値
    BaseUrl https://*
    ReqularExpression Yes
  6. PVWAサーバーのエクスプローラーから、以下のディレクトリに移動します
    C:/inetpub\wwwroot\PasswordVault「saml.config.template」を複製し、ファイル名を「saml.config」に変更します
  7. 「saml.config」を開き、以下のように編集します
    設定項目 設定値
    ServiceProvider PasswordVault
    PartnerIdentityProvider Name <AzureAD識別子>※「エンタープライズアプリケーションの追加、構成」の手順の中で控えたもの
    SingleSignOnServiceUrl <ログインURL>※「エンタープライズアプリケーションの追加、構成」の手順の中で控えたもの
    Certificate String <ダウンロードした証明書の中身>※「エンタープライズアプリケーションの追加、構成」の手順の中で、ダウンロードしたもの。BEGIN CERTIFICATE、END CERTIFICATEを除き1行で記入する

    <?xml version="1.0"?>
    <SAMLConfiguration xmlns="urn:componentspace:SAML:2.0:configuration">
      <ServiceProvider Name="PasswordVault" Description="PasswordVault Service Provider" />
      <PartnerIdentityProviders>
        <PartnerIdentityProvider Name="AzureAD識別子" SingleSignOnServiceUrl="<ログインURL>">
          <PartnerCertificates>
            <Certificate String="ダウンロードした証明書の中身" />
          </PartnerCertificates>
        </PartnerIdentityProvider>
      </PartnerIdentityProviders>
    </SAMLConfiguration>

SAML認証動作確認

ここまでの手順で、SAML認証に必要な設定は完了しました。

実際にSAML認証を用いてPVWAにログインできるか、確認してみましょう

  1. PVWAログイン画面にて「Change authentication methods」をクリックします
  2. 「SAML」をクリックします
  3. Microsoftのサインイン画面に遷移するので、ID/PWを入力します
  4. サインインに成功すると、PVWAの画面に自動で切り替わります
    SAML対象に追加したuser01でログインできていますね

おわりに

今回はCyberArkとMicrosoft Entra IDのSAML連携について解説しました。

Entra ID側のユーザー情報でCyberArkへのログインが可能となるため、利用者目線ではID情報の統一化、管理者目線では運用負担の軽減を図ることが出来ます。

次回は、CyberArk特権ユーザーのパスワード管理について解説します。

執筆担当者プロフィール
岩井 一輝

岩井 一輝(日本ビジネスシステムズ株式会社)

業務ではMicrosoft 365製品やセキュリティ製品を担当しています。 バイクでツーリングしたり、家でギターを弾くことが趣味です。

担当記事一覧