Microsoft Entra SSO
Microsoft Entra SSO は、Microsoftのクラウドベースの ID およびアクセス管理サービスで、従業員のサインインやリソースへのアクセスを支援します。Entra SSOを使用すると、ビジネス要件に基づいてアプリやアプリリソースへのアクセスを制御できます。
要件
セットアップ時に、Assertion Consumer Service (ACS) URLの入力を求められます。
| 要件 | 詳細 |
|---|---|
| Assertion Consumer Service (ACS) URL | https://<SUBDOMAIN>.braze.com/auth/saml/callback 一部のIDプロバイダーでは、Reply URL、Audience URL、または Audience URI と呼ばれることもあります。 |
| Entity ID | braze_dashboard |
| RelayState APIキー | IDプロバイダーログインを有効にするには、設定 > APIキーに移動し、sso.saml.login 権限を持つAPIキーを作成します。 |
Microsoft Entra SSO内でのサービスプロバイダー(SP)起点のログイン
ステップ 1: ギャラリーからBrazeを追加する
- Microsoft Entra管理センターで、Identity > Applications > Enterprise Applications に移動し、New application を選択します。
- 検索ボックスで Braze を検索し、結果パネルから選択して、Add を選択します。
ステップ 2: Microsoft Entra SSOを設定する
- Microsoft Entra管理センターで、Brazeアプリケーション統合ページに移動し、Single sign-on を選択します。
- Select a single sign-on method ページで、方法として SAML を選択します。
- Set up Single Sign-On with SAML ページで、Basic SAML Configuration の編集アイコンを選択します。
- Brazeインスタンスと次のパターンを組み合わせた Reply URL を入力して、IdP起点モードでアプリケーションを設定します:
https://<SUBDOMAIN>.braze.com/auth/saml/callback。 - Relay State フィールドに、生成した Relay State APIキーを入力して RelayStateを設定します。
Sign-On URL フィールドは設定しないでください。このフィールドを空白のままにして、IdP起点のSAML SSOに関する問題を防止してください。
- Brazeが期待する特定の形式でSAMLアサーションをフォーマットします。これらの属性と値のフォーマット方法については、ユーザー属性とユーザークレームに関する以下のタブを参照してください。
これらの属性の値は、Application Integration ページの User Attributes セクションから管理できます。
以下の属性ペアリングを使用します:
givenname=user.givennamesurname=user.surnameemailaddress=user.mailname=user.userprincipalnameemail=user.userprincipalnamefirst_name=user.givennamelast_name=user.surnameUnique User Identifier=user.userprincipalname
メールフィールドがBrazeでユーザーに設定されているものと一致することが非常に重要です。ほとんどの場合、これは user.userprincipalname と同じですが、異なる設定の場合は、システム管理者と協力してこれらのフィールドが正確に一致するようにしてください。
Set up Single Sign-On with SAML ページで、Edit を選択して User Attributes ダイアログを開きます。次に、適切な形式に従ってユーザークレームを編集します。
以下のクレーム名ペアリングを使用します:
claims/givenname=user.givennameclaims/surname=user.surnameclaims/emailaddress=user.userprincipalnameclaims/name=user.userprincipalnameclaims/nameidentifier=user.userprincipalname
メールフィールドがBrazeでユーザーに設定されているものと一致することが非常に重要です。ほとんどの場合、これは user.userprincipalname と同じですが、異なる設定の場合は、システム管理者と協力してこれらのフィールドが正確に一致するようにしてください。
これらのユーザークレームと値は、Manage claim セクションから管理できます。
- Set up Single Sign-On with SAML ページに移動し、SAML Signing Certificate セクションまでスクロールして、要件に基づいて適切な Certificate (Base64) をダウンロードします。
- Set up Braze セクションに移動し、Brazeの設定で使用する適切なURLをコピーします。
ステップ 3: Braze内でMicrosoft Entra SSOを設定する
Microsoft Entra管理センターでBrazeを設定すると、Microsoft Entraからターゲット URL(ログイン URL)と x.509 証明書が提供されます。これらをBrazeアカウントに入力します。
アカウントマネージャーがアカウントのSAML SSOを有効にした後、以下を行います:
- 設定 > 管理者設定 > セキュリティ設定に移動し、SAML SSOセクションをオンに切り替えます。
- 同じページで、以下を追加します:
| 要件 | 詳細 |
|---|---|
SAML Name |
ログイン画面のボタンテキストとして表示されます。通常は「Microsoft Entra」のようなIDプロバイダーの名前です。 |
Target URL |
Microsoft Entraが提供するログインURLです。 |
Certificate |
x.509 PEMエンコード証明書は、IDプロバイダーから提供されます。 |
Brazeアカウントユーザーが SAML SSOのみでサインインするようにしたい場合は、会社の設定ページからシングルサインオン認証を制限できます。