QuWAN QBelt VPN サーバーに、ID プロバイダーとして Microsoft Entra ID を使って SAML ベースのシングルサインオンを設定するにはどうしたらいいですか？

1. https://portal.azure.com に移動します。
2. Microsoft のユーザー名とパスワードでサインインします。
3. Microsoft Azure バナー上で をクリックします。
4. [All services (すべてのサービス)]をクリックします。
5. [Microsoft Entra ID] をクリックします。
6. 左パネルの、[Manage (管理)]の下で、[Enterprise applications (エンタープライズ アプリケーション)]を選択します。
7. [New application (新しいアプリケーション)]をクリックします。
8. [Create your own application (自分のアプリケーションを作成)]をクリックします。
9. [What's the name of your app? (お使いのアプリの名前は何ですか？)]の下で、お使いのアプリの名前を指定します。
   注意

   サービス名自身 (たとえば、「QuWAN QBelt VPN サーバー」) のように明瞭でわかりやすい名前をカスタム SAML アプリにつけてください。
10. [Integrate any other application you don't find in the gallery (Non-gallery) (ギャラリーで見つからないその他のアプリケーションを統合 (ギャラリー外))]を選択します。
11. [Create (作成)]をクリックします。

    Azure は、アプリケーションを追加し、そのアプリケーションの[Overview (概要)]ページにリダイレクトします。

12. サイドパネルで、[Users and groups (ユーザーとグループ)]をクリックし、アプリケーションへのアクセスを認める具体的なユーザーとグループを割り当てます。
    詳細は、アプリケーションへのユーザーとグループの割り当てを管理するをご覧ください。

Microsoft Entra ID (Azure ID) SSO を有効にするには、Microsoft Entra ID ユーザーとそれに対応する QuWAN QBelt VPN SAML SSO ユーザーグループの間にリンクを作成する必要があります。

1. https://quwan.qnap.com に進みます。
2. QNAP アカウント名とパスワードでサインインします。
3. 組織を選択します。
4. [VPN サーバー設定] > [権限設定]に進みます。
5. [SAML SSO]に進みます。
6. [今すぐ SAML SSO を設定する]をクリックします。
7. 識別子 (エンティティ ID) とリプライ URL をクリップボードにコピーします。
8. Azure ポータルを開きます。
9. [All services (すべてのサービス)] > [Manage (管理)] > [Enterprise applications (エンタープライズ アプリケーション)]に進みます。
10. QuWAN QBelt VPN サーバーエンタープライズ アプリケーションを見つけ、開きます。
11. [Set up single sign on (「シングルサインオン」をセットアップ)]の下で、[Get started (はじめに)]をクリックします。
12. シングルサインオンの手段として、[SAML]を選びます。
13. ステップ1、[Basic SAML Configuration (基本 SAML 設定)]を見つけます。
14. [Edit (編集)]をクリックします。
15. 識別子 (エンティティ ID) とリプライ URL を対応するフィールドに貼り付けます。
16. [Save (保存)]をクリックします。
17. [X]をクリックして SAML 構成ウィンドウを閉じます。
18. ステップ 3、[SAML Certificates (SAML 証明書)]を見ます。
19. [Certificate (Base64) (証明書 (Base64))]のとなりで、[Download (ダウンロード)]をクリックします。
20. ステップ4、[Set up [Application_Name] ([Application_Name] のセットアップ)]を見ます。
21. ログイン URL および Microsoft Entra ID または Azure AD の識別子をクリップボードにコピーします。
22. 属性とクレームを設定します。
    1. ステップ 2、[Attributes & Claims (属性とクレーム)]を見ます。
    2. [Edit (編集)]をクリックします。
    3. [Add new claim (新しいアカウントの追加)]をクリックします。
    4. クレームを「email」と指定します。
    5. [Source attribute (ソース属性)]のとなりで、「email」クレームに対応する属性を選択します。たとえば、user.mail を選択します。
    6. [Save (保存)]をクリックします。
    7. [Add new claim (新しいアカウントの追加)]をクリックします。
    8. クレーム名を「groups」と指定します。
    9. [Source attribute (ソース属性)]のとなりで、「groups」クレームに対応する属性を選択します。たとえば、user.department を選択します。
    10. [Save (保存)]をクリックします。
        注意

        • QuWAN SAML SSO ユーザーグループを Microsoft Entra ID ですでに作成済のグループに対応させるには、[Add group claim (グループクレームを追加)]をクリックし、[All groups (全グループ)]を選択してから、[Custom group claim name (カスタムグループクレーム名)]を選択します。クレーム名を「groups」として入力します。
        • クレームの修正に関する詳細は、「カスタマイズされた SAML トークンクレーム」をご覧ください。
23. QuWAN Orchestrator を開きます。
24. 組織を選択します。
25. [VPN サーバー設定] > [権限設定]に進みます。
26. [SAML SSO]に進みます。
27. [今すぐ SAML SSO を設定する]をクリックします。
28. シングルサインオン URL と IdP 識別子を貼り付けます。
29. テキスト アプリケーションを使用して Base64 証明書ダウンロードを開きます。
30. 証明書ファイルの内容をコピーします。
31. [証明書 (Base64 フォーマット)] フィールドの内容を貼り付けます。
32. [保存]をクリックします。
33. 新しい SAML SSO ユーザーグループを追加します。
    1. QuWAN Orchestrator で、[VPN サーバー設定] > [権限設定] > [SAML SSO]に進みます。
    2. [SAML SSO ユーザールール]のとなりで、[追加]をクリックします。
    3. ユーザールールを有効にします。
    4. ユーザーグループ設定を行います。

       設定	ユーザー操作
       ルール名	SAML SSO ユーザールール用の名前を指定します。
       属性値	Microsoft Entra ID のグループクレームで設定されたソース属性に対応する値です。 注意 Microsoft Azureポータルで[Attributes and Claims (属性とクレーム)]の[user.department]属性を設定している場合は、組織の部署名を属性値として入力します。 ソース属性の値は、Microsoft Azure ポータル内の QuWAN QBelt VPN サーバーアプリケーションから取り出すことができます。たとえば、ユーザープロファイルを選び、[Overview (概要)]に進んでから、[Properties (プロパティ)]をクリックします。[Department (部門)]フィールドに対応する値を確認し、その値をコピーします。 [Add Group Claim (グループクレームを追加)]を選択した場合、[Object ID (オブジェクト ID)]をコピーする必要があります。たとえば、グループプロファイルを選び、[Overview (概要)]に進んでから、[Object ID (オブジェクト ID)]値をコピーします。 全ユーザーのルールを選択し、属性値を全ユーザーに適用します。
       セグメント	事前設定されたセグメントを選択します。
       アクセス可能なハブ	接続する1つ以上のハブを選択します。

    5. 任意：[同時のマルチデバイス接続を許可する]を有効にします。
    6. [保存]をクリックします。
34. [適用]をクリックします。

QuWAN Orchestrator が、SAML SSO設定を保存します。

QuWAN SAML SSO が正しく設定できたら、 QVPN Client で QuWAN QBelt VPN への接続を確立します。

1. QNAP Utilities に進みます。
2. QVPN Client (以前の名称は QVPN デバイスクライアント) を見つけます。
3. ユーティリティを自分のデバイスにダウンロードします。
4. ユーティリティをそのデバイスにインストールします。
5. QVPN Client を開きます。
6. [QuWAN プロファイルの追加]をクリックします。
7. 組織 ID を指定します。
   注意

   組織 ID は、QuWAN Orchestrator 内にあります。[VPN サーバー設定] > [権限設定] > [SAML SSO]に進みます。
8. [次へ]をクリックします。
   [認証設定]ページが表示されます。
9. サービスとして [SAML SSO] を選択します。
10. [次へ]をクリックします。
    QVPN Clientが、デフォルトブラウザを開いてMicrosoft Entra ID (Azure AD) 証明書を入力するように求めます。
11. [OK]をクリックします。
12. Microsoft Entra ID 証明書を入力し、サインインします。
13. ブラウザを閉じ、QVPN Client に戻ります。
14. プロファイル設定を行います。
    1. プロファイル名を指定します。
    2. ドロップダウンメニューからリージョナルハブを選択します。
       自分のニーズに合った最良のハブをシステムに自動的に選んでもらうか、あるいは特定のハブを手動で選び、接続しようとする WAN ポートを指定することもできます。
    3. 任意：設定を適用した直後に QuWAN プロファイルに接続したい場合は、[保存後すぐに接続する]を選びます。
15. QVPN Client 内で QuWAN プロファイルを見つけてから、[接続]をクリックします。
    QVPN Client が、ユーティリティ認証のためにデフォルトのシステムブラウザを開きます。
16. Microsoft Entra ID の証明書を入力してサインインします。
    Microsoft Entra にログイン後はブラウザを閉じ、QVPN Client に戻ることができます。

QVPN Client が、Microsoft Entra ID SSO を使用して QuWAN QBelt VPN サーバーに接続します。