チュートリアル: Microsoft Entra SSO と Kemp LoadMaster Microsoft Entra の統合

このチュートリアルでは、Kemp LoadMaster Microsoft Entra integration と Microsoft Entra ID を統合する方法について説明します。 Kemp LoadMaster Microsoft Entra integration と Microsoft Entra ID を統合すると、次のことができます。

• Kemp LoadMaster Microsoft Entra integration にアクセスできるユーザーを Microsoft Entra ID で制御する。
• ユーザーが自分の Microsoft Entra アカウントを使って Kemp LoadMaster Microsoft Entra integration に自動的にサインインできるようにする。
• 1 つの中心的な場所でアカウントを管理します。

前提条件

開始するには、次が必要です:

• Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウント を取得できます。
• Kemp LoadMaster Microsoft Entra の統合でのシングル サインオン (SSO) が有効なサブスクリプション。

シナリオの説明

このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。

• Kemp LoadMaster Microsoft Entra の統合では、IDP Initiated SSO がサポートされます。

ギャラリーから Kemp LoadMaster Microsoft Entra integration を追加する

Microsoft Entra ID への Kemp LoadMaster Microsoft Entra integration の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に Kemp LoadMaster Microsoft Entra integration を追加する必要があります。

1. Microsoft Entra 管理センター に クラウド アプリケーション管理者 以上の権限でサインインします。
2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] を参照します。
3. [ギャラリーから追加する] セクションで、検索ボックスに「Kemp LoadMaster Microsoft Entra integration」と入力します。
4. 結果パネルから [Kemp LoadMaster Microsoft Entra integration] を選んで、アプリを追加します。 アプリがお使いのテナントに追加されるまで数秒待ちます。

または、Enterprise アプリ 構成ウィザード を使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細について説明します。

Kemp LoadMaster Microsoft Entra integration 用に Microsoft Entra SSO を構成してテストする

B.Simon というテスト ユーザーを使って、Kemp LoadMaster Microsoft Entra integration に対して Microsoft Entra SSO を構成してテストします。 SSO が機能するには、Microsoft Entra ユーザーと Kemp LoadMaster Microsoft Entra integration の関連ユーザーとの間にリンク関係を確立する必要があります。

Kemp LoadMaster Microsoft Entra integration に対して Microsoft Entra SSO を構成してテストするには、次の手順を実行します。

1. Microsoft Entra SSO の構成 - ユーザーがこの機能を使用できるようにします。

   1. Microsoft Entra のテスト ユーザーの作成 - B.Simon を使用して Microsoft Entra シングル サインオンをテストします。
   2. Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。

2. Kemp LoadMaster Microsoft Entra integration の SSO を構成する - アプリケーション側でシングル サインオン設定を構成します。

3. Web サーバーを公開する

   1. 仮想サービスを作成する
   2. 証明書とセキュリティ
   3. Kemp LoadMaster Microsoft Entra integration の SAML プロファイル
   4. 変更を確認する

4. Kerberos ベースの認証の構成

   1. Kemp LoadMaster Microsoft Entra integration 用の Kerberos 委任アカウントを作成する
   2. Kemp LoadMaster Microsoft Entra integration の KCD (Kerberos 委任アカウント)
   3. Kemp LoadMaster Microsoft Entra integration の ESP
   4. Kemp LoadMaster Microsoft Entra integration のテスト ユーザーを作成する - Kemp LoadMaster Microsoft Entra integration で B.Simon に対応するユーザーを作成し、Microsoft Entra の B.Simon にリンクさせます。

5. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

次の手順に従って Microsoft Entra SSO を有効にします。

1. Microsoft Entra 管理センター に クラウド アプリケーション管理者 以上の権限でサインインします。

2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Kemp LoadMaster Microsoft Entra integration]>[シングル サインオン] の順に移動します。

3. [シングル サインオン方式の選択] ページで、[SAML] を選択します。

4. ‬[SAML によるシングル サインオンの設定]‭ ページで、鉛筆アイコンをクリックして [基本的な SAML 構成] から設定を編集します。

   

5. [基本的な SAML 構成] セクションで、次のフィールドの値を入力します。

   a. [識別子 (エンティティ ID)] テキスト ボックスに、https://<KEMP-CUSTOMER-DOMAIN>.com/ という URL を入力します。

   b. [応答 URL] テキスト ボックスに、https://<KEMP-CUSTOMER-DOMAIN>.com/ という URL を入力します。

   注意

   これらは実際の値ではありません。 実際の識別子と応答 URL でこれらの値を更新します。 これらの値を取得するには、Kemp LoadMaster Microsoft Entra integration クライアント サポート チームに問い合わせてください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。

6. [SAML によるシングル サインオンの設定] ページの [SAML 署名証明書] セクションで、[証明書 (Base64)] と [フェデレーション メタデータ XML] を探して [ダウンロード] を選択し、証明書とフェデレーション メタデータ XML ファイルをダウンロードして自分のコンピュータに保存します。

   

7. [Kemp LoadMaster Microsoft Entra integration のセットアップ] セクションで、要件に基づいて適切な URL をコピーします。

   

Microsoft Entra テスト ユーザーの作成

このセクションでは、B.Simon というテスト ユーザーを作成します。

1. Microsoft Entra 管理センターにユーザー管理者以上でサインインしてください。
2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
3. 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
4. [ユーザー] プロパティで、以下の手順を実行します:
   1. [表示名] フィールドに「B.Simon」と入力します。
   2. [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、B.Simon@contoso.com のようにします。
   3. [パスワードを表示] チェック ボックスをオンにし、[パスワード] ボックスに表示された値を書き留めます。
   4. [レビュー + 作成] を選択します。
5. [作成] を選択します。

Microsoft Entra テスト ユーザーの割り当て

このセクションでは、B.Simon に Kemp LoadMaster Microsoft Entra integration へのアクセスを許可することで、このユーザーがシングル サインオンを使用できるようにします。

1. Microsoft Entra 管理センター に クラウド アプリケーション管理者 以上の権限でサインインします。
2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Kemp LoadMaster Microsoft Entra integration] の順に移動します。
3. アプリの概要ページで [ユーザーとグループ] を選択します。
4. [ユーザーまたはグループの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。
   1. [ユーザーとグループ] ダイアログの [ユーザー] の一覧から [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。
   2. ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
   3. [割り当ての追加] ダイアログで [割り当て] ボタンをクリックします。

Kemp LoadMaster Microsoft Entra integration の SSO を構成する

Web サーバーを公開する

仮想サービスを作成する

1. Kemp LoadMaster Microsoft Entra integration の LoadMaster Web UI > [仮想サービス] > [新規追加] に移動します。

2. [新規追加] をクリックします。

3. [仮想サービス] の [パラメーター] を指定します。

   

   a. 仮想アドレス

   b. ポート

   c. サービス名 (省略可能)

   d. プロトコル

4. [Real Servers] セクションに移動します。

5. [新規追加] をクリックします。

6. [Real Server] の [パラメーター] を指定します。

   

   a. [リモート アドレスを許可する] を選択します

   b. [Real Server のアドレス] を入力します

   c. ポート

   d. 転送方法

   e. 重量

   f. 接続の制限

   g. [この Real Server を追加する] をクリックします

証明書とセキュリティ

Kemp LoadMaster Microsoft Entra integration で証明書をインポートする

1. Kemp LoadMaster Microsoft Entra integration の Web ポータル > [証明書とセキュリティ] > [SSL 証明書] に移動します。

2. [証明書の管理] > [(証明書の構成] に移動します。

3. [証明書のインポート] をクリックします。

4. 証明書を含むファイルの名前を指定します。 このファイルには秘密キーも保持できます。 ファイルに秘密キーが含まれていない場合は、秘密キーを含むファイルも指定する必要があります。 証明書は、.PEM または .PFX (IIS) のいずれかの形式を使用できます。

5. [証明書ファイル] の [ファイルの選択] をクリックします。

6. [キー ファイル (省略可能)] をクリックします。

7. [保存] をクリックします。

SSL アクセラレーション

1. Kemp LoadMaster Web UI > [仮想サービス] > [サービスの表示または変更] に移動します。

2. [操作] の [変更] をクリックします。

3. [SSL のプロパティ] (レイヤー7 で動作します) をクリックします。

   

   a. [SSL アクセラレーション] の [有効] をクリックします。

   b. [使用可能な証明書] で、インポートした証明書を選択し、> 記号をクリックします。

   c. 目的の SSL 証明書が [割り当てられた証明書] に表示されたら、[証明書の設定] をクリックします。

   注意

   必ず [証明書の設定] をクリックしてください。

Kemp LoadMaster Microsoft Entra integration の SAML プロファイル

IdP 証明書をインポートする

Kemp LoadMaster Microsoft Entra integration の Web コンソールに移動します。

1. [証明書と機関] の [中間証明書] をクリックします。

   

   a. [新しい中間証明書の追加] の [ファイルの選択] をクリックします。

   b. 前に Microsoft Entra エンタープライズ アプリケーションからダウンロードした証明書ファイルに移動します。

   c. [開く] をクリックします。

   d. [証明書名] に [名前] を指定します。

   e. [証明書の追加] をクリックします。

認証ポリシーの作成

[仮想サービス] の [SSO の管理] に移動します。

a. 名前を指定した後、[新しいクライアント側の構成の追加] の [追加] をクリックします。

b. [認証プロトコル] で [SAML] を選択します。

c. [IdP のプロビジョニング] で [メタデータ ファイル] を選択します。

d. [ファイルの選択] をクリックします。

e. Azure portal から以前にダウンロードした XML に移動します。

f. [開く] をクリックし、[IdP メタデータ ファイルのインポート] をクリックします。

g. [IdP 証明書] から中間証明書を選択します。

h. Azure portal で作成された ID と一致するように [SP エンティティ ID] を設定します。

i. [SP エンティティ ID の設定] をクリックします。

認証を設定する

Kemp LoadMaster Microsoft Entra integration の Web コンソールで。

1. [仮想サービス] をクリックします。

2. [サービスの表示と変更] をクリックします。

3. [変更] をクリックし、[ESP のオプション] の順に移動します。

   

   a. [ESP を有効にする] をクリックします。

   b. [クライアント認証モード] で [SAML] を選択します。

   c. [SSO ドメイン] で以前に作成した [クライアント側の認証] を選択します。

   d. [許可される仮想ホスト] にホスト名を入力し、[許可される仮想ホストの設定] をクリックします。

   e. (アクセス要件に基づいて) [許可される仮想ディレクトリ] に「/*」と入力し、[許可されるディレクトリの設定] をクリックします。

変更を確認する

アプリケーションの URL にアクセスします。

以前の認証されていないアクセスではなく、テナントのログイン ページが表示されます。

Kerberos ベースの認証の構成

Kemp LoadMaster Microsoft Entra integration 用の Kerberos 委任アカウントを作成する

1. ユーザー アカウントを作成します (この例では AppDelegation)。

   a. [属性エディター] タブを選びます。

   b. servicePrincipalName に移動します。

   c. [servicePrincipalName] を選択し、[編集] をクリックします。

   d. [追加する値] フィールドに「http/kcduser」と入力し、[追加] をクリックします。

   e. [適用] をクリックし、[OK] をクリックします。 ウィンドウを閉じてから再度開く必要があります (新しい [委任] タブを表示するため)。

2. [ユーザーのプロパティ] ウィンドウをもう一度開くと、[委任] タブを使用できるようになります。

3. [委任] タブを選びます。

   

   a. [指定されたサービスへの委任でのみこのユーザーを信頼する] を選択します。

   b. [任意の認証プロトコルを使う] をオンにします。

   c. Real Server を追加し、サービスとして http を追加します。

   d. [展開済み] チェックボックスをオンにします。

   e. ホスト名と FQDN の両方を含むすべてのサーバーを表示できます。

   f. [OK] をクリックします。

Kemp LoadMaster Microsoft Entra integration の KCD (Kerberos 委任アカウント)

Kemp LoadMaster Microsoft Entra integration の Web コンソール > [仮想サービス] > [SSO の管理] に移動します。

a. [サーバー側のシングル サインオンの構成] に移動します。

b. [新しいサーバー側構成の追加] に名前を入力し、[追加] をクリックします。

c. [認証プロトコル]() で [Kerberos の制約付き委任] を選択します。

d. [KKerberos 領域] にドメイン名を入力します。

e. [Kerberos 領域の設定] をクリックします。

f. [Kerberos キー配布センター] にドメイン コントローラーの IP アドレスを入力します。

g. [Kerberos KDC の設定] をクリックします。

h. [Kerberos の信頼されたユーザー名] に KCD ユーザー名を入力します。

i. [KDC の信頼されたユーザー名の設定] をクリックします。

j. [Kerberos の信頼されたユーザー パスワード] にパスワードを入力します。

k. [KCD の信頼されたユーザー パスワードの設定] をクリックします。

Kemp LoadMaster Microsoft Entra integration の ESP

[仮想サービス] > [サービスの表示と変更] に移動します。

a. [仮想サービス] の [ニックネーム] で [変更] をクリックします。

b. [ESP オプション] をクリックします。

c. [サーバー認証モード] で、[KCD] を選択します。

d. [サーバー側の構成] で、以前に作成したサーバー側のプロファイルを選択します。

Kemp LoadMaster Microsoft Entra integration のテスト ユーザーを作成する

このセクションでは、Kemp LoadMaster Microsoft Entra integration で B.Simon というユーザーを作成します。 Kemp LoadMaster Microsoft Entra integration クライアント サポート チームと連携して、Kemp LoadMaster Microsoft Entra integration プラットフォームにユーザーを追加します。 シングル サインオンを使用する前に、ユーザーを作成し、有効化する必要があります。

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。

• [このアプリケーションをテストする] をクリックすると、SSO を設定した Kemp LoadMaster Microsoft Entra integration に自動的にサインインします。

• Microsoft マイ アプリを使用することができます。 マイ アプリで [Kemp LoadMaster Microsoft Entra integration] タイルをクリックすると、SSO を設定した Kemp LoadMaster Microsoft Entra integration に自動的にサインインします。 マイ アプリの詳細については、「マイ アプリの概要」を参照してください。

次のステップ

Kemp LoadMaster Microsoft Entra integration を構成したらセッション制御を適用でき、組織の機密データの流出と侵入がリアルタイムで保護されます。 セッション制御は条件付きアクセスから拡張されます。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。