Microsoft Entra SSO
Microsoft Entra SSO は、Microsoft のクラウドベースの ID およびアクセス管理サービスで、従業員のサインインやリソースへのアクセスを支援します。Entra SSO を使用すると、ビジネス要件に基づいてアプリやアプリリソースへのアクセスを制御できます。
要件
セットアップ時に、Assertion Consumer Service (ACS) URL の入力を求められます。
| 要件 | 詳細 |
|---|---|
| Assertion Consumer Service (ACS) URL | https://<SUBDOMAIN>.braze.com/auth/saml/callback 一部の ID プロバイダーでは、Reply URL、Audience URL、または Audience URI と呼ばれることもあります。 |
| Entity ID | braze_dashboard |
| RelayState API キー | ID プロバイダーログインを有効にするには、設定 > API キーに移動し、sso.saml.login 権限を持つ API キーを作成します。 |
Microsoft Entra SSO 内でのサービスプロバイダー(SP)起点のログイン
ステップ 1: ギャラリーから Braze を追加する
- Microsoft Entra 管理センターで、Identity > Applications > Enterprise Applications に移動し、New application を選択します。
- 検索ボックスで Braze を検索し、結果パネルから選択して、Add を選択します。
ステップ 2: Microsoft Entra SSO を設定する
- Microsoft Entra 管理センターで、Braze アプリケーション統合ページに移動し、Single sign-on を選択します。
- Select a single sign-on method ページで、方法として SAML を選択します。
- Set up Single Sign-On with SAML ページで、Basic SAML Configuration の編集アイコンを選択します。
- Brazeインスタンスと次のパターンを組み合わせた Reply URL を入力して、IdP 起点モードでアプリケーションを設定します:
https://<SUBDOMAIN>.braze.com/auth/saml/callback。 - Relay State フィールドに、生成した Relay State API キーを入力して RelayState を設定します。
Sign-On URL フィールドは設定しないでください。このフィールドを空白のままにして、IdP 起点の SAML SSO に関する問題を防止してください。
- Braze が期待する特定の形式で SAML アサーションをフォーマットします。これらの属性と値のフォーマット方法については、ユーザー属性とユーザークレームに関する以下のタブを参照してください。
これらの属性の値は、Application Integration ページの User Attributes セクションから管理できます。
以下の属性ペアリングを使用します:
givenname=user.givennamesurname=user.surnameemailaddress=user.mailname=user.userprincipalnameemail=user.userprincipalnamefirst_name=user.givennamelast_name=user.surnameUnique User Identifier=user.userprincipalname
メールフィールドが Braze でユーザーに設定されているものと一致することが非常に重要です。ほとんどの場合、これは user.userprincipalname と同じですが、異なる設定の場合は、システム管理者と協力してこれらのフィールドが正確に一致するようにしてください。
Set up Single Sign-On with SAML ページで、Edit を選択して User Attributes ダイアログを開きます。次に、適切な形式に従ってユーザークレームを編集します。
以下のクレーム名ペアリングを使用します:
claims/givenname=user.givennameclaims/surname=user.surnameclaims/emailaddress=user.userprincipalnameclaims/name=user.userprincipalnameclaims/nameidentifier=user.userprincipalname
メールフィールドが Braze でユーザーに設定されているものと一致することが非常に重要です。ほとんどの場合、これは user.userprincipalname と同じですが、異なる設定の場合は、システム管理者と協力してこれらのフィールドが正確に一致するようにしてください。
これらのユーザークレームと値は、Manage claim セクションから管理できます。
- Set up Single Sign-On with SAML ページに移動し、SAML Signing Certificate セクションまでスクロールして、要件に基づいて適切な Certificate (Base64) をダウンロードします。
- Set up Braze セクションに移動し、Braze の設定で使用する適切な URL をコピーします。
ステップ 3: Braze 内で Microsoft Entra SSO を設定する
Microsoft Entra 管理センターで Braze を設定すると、Microsoft Entra からターゲット URL(ログイン URL)と x.509 証明書が提供されます。これらを Braze アカウントに入力します。
アカウントマネージャーがアカウントの SAML SSO を有効にした後、以下を行います:
- 設定 > 管理者設定 > セキュリティ設定に移動し、SAML SSO セクションをオンに切り替えます。
- 同じページで、以下を追加します:
| 要件 | 詳細 |
|---|---|
SAML Name |
ログイン画面のボタンテキストとして表示されます。通常は「Microsoft Entra」のような ID プロバイダーの名前です。 |
Target URL |
Microsoft Entra が提供するログイン URL です。 |
Certificate |
x.509 PEM エンコード証明書は、ID プロバイダーから提供されます。 |
Braze アカウントユーザーが SAML SSO のみでサインインするようにしたい場合は、会社の設定ページからシングルサインオン認証を制限できます。