OpenLDAP と Microsoft Entra ID SSO の設定
このページでは、Lightweight Directory Access Protocol(LDAP)に基づくシングルサインオン(SSO)の設定および使用方法について説明します。
EMQX は、LDAPv3 プロトコルをサポートするディレクトリサービスと EMQX ダッシュボードを統合することで、LDAP ベースの SSO を実装しています。現在サポートされているディレクトリサービスプロバイダーは以下の通りです。
前提条件
シングルサインオン(SSO) の基本概念に慣れていることを推奨します。
OpenLDAP SSO の設定
このセクションでは、EMQX ダッシュボードで OpenLDAP SSO を有効化および設定する方法を案内します。
ダッシュボードにアクセスし、左のナビゲーションメニューから System Settings -> Single Sign-On をクリックします。
LDAP オプションを選択し、Enable ボタンをクリックします。
LDAP Settings ページで設定情報を入力します。
オプション 説明 Server OpenLDAP サーバーのアドレス。例: localhost:389。Username OpenLDAP サーバーにアクセスするための Bind DN。 Password OpenLDAP サーバーにアクセスするためのユーザーパスワード。 Base DN OpenLDAP ディレクトリのベースオブジェクトエントリ名(またはルート)。ユーザー検索の起点となります。 User Lookup Filter OpenLDAP でユーザーにマッチするフィルター。LDAP ユーザー検索条件内で、 ${username}は実際の入力ユーザー名に自動置換されます。
標準的な LDAP ではデフォルトフィルターは(&(objectClass=person)(uid=${username}))です。
この変数置換機能により、ユーザー名の検索・マッチングにおいて異なるユーザー属性に基づく柔軟なクエリフィルターを構築できます。条件フォーマットの詳細は LDAP Filters を参照してください。Enable TLS OpenLDAP へのアクセスに TLS セキュア通信を有効化するオプション。有効化する場合は証明書設定が必要です。TLS 有効化の詳細は TLS for External Resource Access を参照してください。 Update ボタンをクリックして設定を保存します。
これで OpenLDAP SSO が有効化されました。LDAP オプションを使ったダッシュボードへのログイン方法は、ログインとユーザー管理 をご参照ください。
Microsoft Entra ID SSO の設定
このセクションでは、EMQX ダッシュボードで Microsoft Entra ID SSO を有効化および設定する方法を案内します。
Microsoft Entra ID インスタンスの設定
ダッシュボードで Microsoft Entra ID SSO を設定する前に、以下の手順に従い Microsoft Entra ID インスタンスを設定し、基本的な LDAP サーバー情報を取得してください。
Azure Portal にサインインし、このチュートリアル に従って Microsoft Entra ドメインサービスを作成します。
セキュア LDAP 接続を有効化します。作成した Microsoft Entra ドメインサービスで、左メニューの Settings から Secure LDAP をクリックします。
- Secure LDAP と Allow secure LDAP access over the internet のトグルスイッチを有効化します。
- 証明書の変更およびネットワークセキュリティグループの設定をページの指示に従って行い、EMQX が Microsoft Entra ドメインサービスインスタンスにアクセスできるようにします。
ドメインサービスの Setting -> Properties をクリックし、Secure LDAP external IP addresses を取得します。これは EMQX が接続する LDAP サーバーの実際の IP アドレスとして保存してください。
このドキュメント に従い、新しい Entra ID テナントを作成します。
EMQX で Microsoft Entra ID と SSO を設定するには、多要素認証を無効にする必要があります。Entra ID インスタンスで、Security -> Authentication Methods -> Settings ページに移動し、System-preferred multifactor authentication を無効化します。
Entra ID インスタンスで、Overview ページに移動し、Add -> Users -> Create User をクリックしてユーザーを追加します。少なくとも 2 人のユーザーを追加してください:1 人は Entra ID への接続用、もう 1 人は EMQX ダッシュボードのログイン用です。ユーザー追加後は、Microsoft Entra ID に少なくとも一度ログインし、デフォルトパスワードを変更する必要があります。そうしないと SSO でダッシュボードにログインできません。
ダッシュボードで Microsoft Entra ID SSO を設定
ダッシュボードにアクセスし、左のナビゲーションメニューから System Settings -> Single Sign-On をクリックします。
LDAP オプションを選択し、Enable ボタンをクリックします。
LDAP Settings ページで LDAP サーバーの基本情報を入力します。
Service:
ip:portの形式で入力します。IP は Microsoft Entra ID のセキュア LDAP 外部 IP アドレス、ポートは暗号化された LDAP 用の636です。Username、Password:Entra ID への接続用に作成したユーザーとそのパスワードを入力します。
Base DN:Microsoft Entra ドメインサービスのドメイン名に従って入力します。例:
emqxqa.onmicrosoft.comはDC=emqxqa,DC=onmicrosoft,DC=comと入力します。特定の部署やグループにユーザーを制限するために他の属性を追加することも可能です。User Query Condition:Microsoft Entra ID のデフォルトフィルターは
(&(objectClass=user)(sAMAccountName=${username}))で、アカウント名(メールアドレス)を使ってログインします。sAMAccountNameをmailに置き換えてメールアドレスでのログインも可能です。ここでは IP アドレス + セキュア LDAP 直接アクセスを使用するため、Enable TLS をクリックし、Verify Server Certificate は無効にしてください。
Update ボタンをクリックして設定を保存します。
これで Microsoft Entra ID SSO が有効化されました。LDAP オプションを使ったダッシュボードへのログイン方法は、ログインとユーザー管理 をご参照ください。
ログインとユーザー管理
LDAP ベースの SSO を有効化すると、EMQX ダッシュボードのログインページに LDAP SSO オプションが表示されます。LDAP ボタンをクリックし、ユーザーに割り当てられた LDAP 認証情報(例:ユーザー名とパスワード)を入力して、Login ボタンをクリックしてください。
LDAP 認証に成功すると、EMQX は自動的にダッシュボードユーザーを追加します。追加されたユーザーは Users で管理でき、ロールや権限の割り当ても可能です。
ログアウト
ユーザーはダッシュボードの上部ナビゲーションバーにあるユーザー名をクリックし、ドロップダウンメニューの Logout ボタンをクリックしてログアウトできます。