シングルサインオン (SSO) を使用すると、ユーザーはユーザー名とパスワードを毎回入力しなくても、MOVEit に接続できます。

SSO の場合、次のいずれかを使用できます。
  • 身元を確認するローカルサービスプロバイダ。
  • ID を確認し、アクセスを管理するフェデレーションサービスプロバイダ。

MOVEit は、サードパーティの ID プロバイダ (IdP) (たとえば、Microsoft Active Directory (AD) または現在 Entra と呼ばれる 365 AD) を使用して、ユーザーを認証、許可、および管理できます。ユーザーがネットワークアカウントまたは企業アカウントを使用して既に (サードパーティのユーザーディレクトリなどによって) 権限を与えられている場合、シングルサインオン機能を使用すると、サインオンを必要とせずに MOVEit はユーザーを認証することができます。

注: MOVEit は、OAuth 2.0 に基づいて構築された Open ID Connect サービスを使用することができます。

このトピックでは、以下について説明します。

  • MOVEit サーバーを、ユーザーデータベースとの通信を行うローカルサービスプロバイダ/リライングパーティとして設定する方法。
  • ユーザー認証情報を提供するフェデレーション ID プロバイダを追加する方法。複数の ID プロバイダを追加できます。ID プロバイダは、SAML または OIDC ベースのサインオンのいずれかに使用できます。

[Configure Local Service Provider/Relaying Party Settings (ローカルサービスプロバイダの設定/リレーパーティの設定)]

[SETTINGS (設定)] > [Security Policies (セキュリティポリシー)] > [User Auth (ユーザー認証)] > [Single Sign-on (シングルサインオン)] を使用して、
  • MOVEit サーバーおよび組織をサービスプロバイダとして特定できます。
  • OIDC 通信を設定し、MOVEit で ID プロバイダから応答を受け取る方法の指定を行います。
図 1. [Settings (single sign-on) (設定 (シングルサインオン))] ビュー (表示は OIDC が設定されている場合)

フェデレーション ID プロバイダの追加

これらの設定では、MOVEit サーバーが認証要求を送信できる ID プロバイダ (Active Directory フェデレーションサービス (ADFS) サーバーなど) を追加します。ID プロバイダは、SAML シングルサインオン (Web ブラウザから使用可能) と WS-Trust (その他の種類のクライアントに対する外部認証方法として使用可能) の 2 種類のサービスを提供するように設定できます。

注: 既に外部ソースを使用してユーザー認証を行っている場合は、ID プロバイダと同じユーザーストアを使用することをお勧めします。

[SETTINGS (Single Sign-on) (設定 (シングルサインオン))] ページに、この組織で使用できる ID プロバイダ (ある場合) のリストが表示されます。

  1. 新しいプロバイダを追加するには、[Add Identity Provider (ID プロバイダの追加)] をクリックします。[Add OIDC Identity Provider (OIDC ID プロバイダの追加)] ページが開きます。

    注: OIDC をサポートしている IdP (Microsoft Entra など) により、IdP の URL およびクライアント ID とクライアントシークレットを含む認証情報が提供されます。
  2. OIDC IdP を使用するには、MOVEit Transfer を IdP に登録した際 (たとえば、365 Entra に登録したとき) に提供されたこの MOVEit Transfer システムのクライアント ID とクライアントシークレットを入力する必要があります。
  3. IdP の URL を入力します。(Microsoft 365 を使用している場合、テナント ID が含まれます)。Microsoft 365 Entra を IDP として使用している場合、詳細は learn.microsoft.com サイトで確認できます。
  4. [保存] をクリックします。

ID プロバイダのエントリが作成され、[Settings (Single Signon) (設定 (シングルサインオン))] ページの ID プロバイダのリストに追加されます。

ID プロバイダの編集

ID プロバイダを編集し、ID プロバイダのユーザーアカウントを MOVEit のユーザーとして作成するかどうかや、その作成方法を定義することができます。

ID プロバイダを編集するには、エントリの右側にある鉛筆形のボタンをクリックします。

OIDC ID プロバイダの編集 (表示)

これらの設定では、ID プロバイダを特定し、サービスプロバイダ (MOVEit) との通信方法を設定します。要件については、ID プロバイダのドキュメントを参照してください。

[Identity Provider URL (ID プロバイダの URL)]: Open ID (OIDC) の URL。

[Client ID (クライアント ID)]: MOVEit Transfer を Azure 管理ポータルを通じて 365 Identity and Access Manager (Entra) (以前の Active Directory) に登録する際に生成される一意のアプリケーション ID。

[Client Secret (クライアントシークレット)]: MOVEit Transfer を Entra Identity and Access Management (IAM) Service (以前の Azure Active Directory) に登録する際に、Azure 管理ポータルによって共有されるキー。ClientSecret を生成する方法の詳細については、Microsoft Learn サイトを参照してください。

[Friendly Name (フレンドリ名)]: この組織固有の SSO リソースの表示名。

[Edit Federated Identity Provider User settings (フェデレーション ID プロバイダユーザー設定の編集)]

これらの設定では、MOVEit が ID プロバイダからのユーザー情報を使用して、MOVEit でユーザーアカウントを作成または変更する方法を設定します。

これらの設定は、ID プロバイダからどのユーザー属性を使用できるかによって異なります。ID プロバイダ管理者と調整する必要はありません。

[Login Name (ログイン名)]: 新しいユーザーのログイン名のテンプレート設定 (MOVEit に追加された場合)。

[Full Name (フルネーム)]: 新しいユーザーのフルネームのテンプレート設定 (MOVEit に追加された場合)。

[Email (E メール)]: 新しいユーザーの E メールアドレスのテンプレート設定 (MOVEit に追加された場合)。

[Auto-create account on sign-on (サインオン時にアカウントを自動作成する)]:

[Login name (ログイン名)][Full name (フルネーム)]、および [Email (E メール)] テンプレート設定では、新しいユーザーを MOVEit ユーザーアカウントに追加した場合に、ログイン名、フルネーム、および E メールアドレスのフィールドに使用する値を指定します。

[Auto-create account on sign-on (サインオン時にアカウントを自動作成する)]: デフォルトでは、新しいユーザーが正常にサインオンすると、MOVEit にアカウントが作成されます。無効にする場合は、[No (いいえ)] をクリックします。

[Create user as a clone of (次の複製としてユーザーを作成する)]: 管理者は、この認証ソースによって作成されたユーザーのテンプレートとして、既存のユーザを選択することができます。この設定が有効である場合、選択したユーザーが複製され、新しいユーザーアカウントが作成されます。

[Edit Federated Identity Provider Group settings (フェデレーション ID プロバイダグループ設定の編集)]

これらの設定では、MOVEit が ID プロバイダからのグループ情報を使用して、新しい MOVEit ユーザーのグループ設定を追加する方法を設定します。

[Group membership behavior (グループメンバーシップの動作)]: この設定では、グループメンバーシップの処理方法を指定します。[Ignore Differences (相違を無視する)] に設定すると、ID プロバイダのグループメンバーシップが無視されます。ただし、[Group Check Mask (グループチェックマスク)] 設定の場合を除きます。[Report Differences (相違を報告する)] に設定すると、MOVEit のグループメンバーシップと ID プロバイダのグループメンバーシップの相違がログで報告されます。[Correct Differences (相違を修正する)] に設定すると、MOVEit のグループメンバーシップと ID プロバイダのグループメンバーシップの相違が修正されます (可能な場合)。MOVEit のグループは自動的に追加されません。グループメンバーシップだけです。ID プロバイダには存在するが、MOVEit サーバーには存在しないグループは、エラーとして記載されます。

[Group membership attribute (グループメンバーシップの属性)]: グループが ID プロバイダに存在している場合は、オブジェクトプロパティのリストから選択してグループ名を設定します。

[Attribute name (属性名)]: ユーザー設定と同じように、ID プロバイダのメタデータファイルで使用可能なグループ属性がアドバタイズされていない場合は、[Attribute name (属性名)] ボックスを使用して、グループ設定に属性名を手動で入力できます。使用する適切なスキーマと値については、ID プロバイダのドキュメントを参照してください。

[Group Mask (グループマスク)]: これらの設定では、ID プロバイダと MOVEit のグループのメンバーシップを同期するときに含めるグループを指定します。1 つまたは複数のマスクが一致するものを除いたグループを含めるか、1 つまたは複数のマスクが一致するものを除いたグループを無視するように、ルールを設定できます。マスクリストは、コンマで区切られた 1 つまたは複数のグループ名マスクです。グループ名マスクには、複数文字のワイルドカード * や単一文字のワイルドカード ? を含めることができます。

[Group Check Mask (グループチェックマスク)]: これらの設定は、[Group Mask (グループマスク)] 設定と同じように機能しますが、システムで使用されるグループメンバーシップを指定し、ユーザーにサインオンを許可するか、ユーザーを自動的に作成するか (または、ユーザーの自動作成を行わないようにソースが設定されている場合は、エラーレポートで報告されます) を指定します。デフォルトでは、グループメンバーシップにかかわらず、すべてのユーザーを許可するように設定されています。また、1 つまたは複数のマスクが一致するグループ内のユーザーを除いてユーザーを拒否するか、1 つまたは複数のマスクが一致するグループ内のユーザーを除いてユーザーを許可するように、ルールを設定することもできます。[Group Mask (グループマスク)] 設定と同じように、マスクリストは、コンマで区切られた 1 つまたは複数のグループ名マスクです。グループ名マスクには、複数文字のワイルドカード (*) や単一文字のワイルドカード (?) を含めることができます。

[Save (保存)] をクリックして、ID プロバイダに対する変更を行います。

すべての組織ユーザーに対して SSO モードを必須またはオプションに設定する

図 2. SSO 認証モードの編集 (表示はオプション)