ADFS - シングルサインオン

このドキュメントでは、SAML2 SSO設定のIDプロバイダー(IdP)ソリューションとしてMicrosoft Active Directoryフェデレーションサービス(ADFS)を使用して、シングルサインオン(SSO)を介して認証するようにWorkvivoを設定する方法に関するガイドラインを提供します。このドキュメントに含まれる情報はガイドラインとしてのみ意図されており、特定のADFS構成には大きな違いがあり、異なるアプローチが必要になる場合があります。

これらのガイドラインは、Windows Server 2012 R2 で実行されている ADFS 3.0 環境の構成に基づいて作成されています。この手順は、ADFS または Windows Server の他のバージョンでは異なる場合があります。

ADFS で Workvivo を構成するには、まず、Workvivo を証明書利用者信頼として追加します。

ADFS 管理ツールで、左側のナビゲーション パネルにある [信頼関係] → [証明書利用者信頼] に移動します。

次に、ウィンドウ右側のアクションペインで " 信頼党信託を追加... " をクリックする。これにより、 " 信頼関係者の信頼追加ウィザード " が起動する 。

「スタート」ボタンをクリックして開始します。「データソースの選択」画面で、「オンラインまたはローカルネットワーク上で公開されている証明書利用者に関するデータをインポートする」オプションが選択されていることを確認し、「フェデレーションメタデータアドレス(ホスト名またはURL)」フィールドに次のURLを入力します。

https://[会社名].workvivo。[コム][.us][.me]/saml/メタデータ

上記のアドレスの形式は、組織がWorkvivoのカスタムドメイン名を設定している場合は異なる場合があることに注意してください。Workvivoのドメイン名がわからない場合は、support@workvivo.com のサポートチームにお問い合わせください 。

「次へ」ボタンを押して続行します。

次の画面で、表示名を自由にカスタマイズし、必要に応じて関連するメモを追加してください。
それ以外の場合は 、「次へ」 をクリックして次に進みます。

[多要素認証を今すぐ構成しますか?] ステップでは、 これを既定の[ 現時点ではこの 証明書 利用者信頼 の多要素認証設定を構成したくない] のままにして 、[次へ] を押します。

[発行承認ルールの選択] 設定で、既定の [すべてのユーザーにこの証明書利用者へのアクセスを許可する] のままにして、[次へ] をクリックします。

「信頼を追加する準備ができました」画面で、設定を確認してください。続行する準備ができたら、「次へ」を押します。

最後の[完了] 画面に、 ウィザードが閉じたときに この 証明書利用者 信頼の [ 要求規則の編集] ダイアログを開く] オプションが表示されます。これにチェックが入っていることを確認し、「 閉じる」 ボタンを押してください。

クレームルールを設定するプロセスについては、次のセクションで説明します。

このセクションでは、ADFSがSAML2レスポンスでWorkvivoに送信するActive Directory属性を定義するADFSクレームルールの設定について説明します。これを使用してWorkvivoデータベース内のユーザーを識別するため、これは重要です。

前のセクションの最後に 、「閉じる」 ボタンをクリックした後、「 クレームルールの編集」 ウィンドウが開いているはずです。

" [ルールを追加 "] ボタンをクリックして、" 変換要求ルール追加ウィザード " を起動する。最初の画面で、デフォルトの "「LDAP属性をクレームとして送信 "」オプションを選択したまま、" Next " をクリックする。

"「クレームルール " の設定」画面で、ルールに名前を付けて（例えば" LDAP 電子メール ")。" 属性ストア " ドロップダウンから " Active Directory " を選択する。

左側の列 ([LDAP 属性]) で [E-Mail-Addresses] を選択し、右側の列 ([Outgoing Claim Type] ) で [E-Mail Address] を選択します。 「完了」 をクリックしてルールを作成します。

次に、2 つ目のルールを作成します。もう一度 「ルールを追加」 をクリックします。

今回は 、[要求規則テンプレート] で[入力方向の要求の変換] を選択します。

ルールに名前を付けます(例:「メール変換」)をクリックし、次のオプションを選択します。

この時点で、ADFSの設定が完了し、ADFSから情報を収集してWorkvivoに送信して最終的な設定を行う準備が整いました。

Workvivo で ADFS IdP を構成するには、ADFS インストールに関して以下の情報を収集する必要があります。

最初の 3 つのオプションについては、通常、ほとんどの ADFS インストールで同じです。メタデータ エンドポイントとシングル サインオン エンドポイントのエンドポイントは、サーバー上の ADFS 管理ツールで確認できます。

左側のナビゲーション ウィンドウで、[ ADFS → Service → Endpoints] を選択します。

シングルサインオンエンドポイントは 「トークン発行」 セクションにあります - 「 SAML 2.0/WS-Federation」 のタイプを持ち、通常は 「/adfs/ls/」です。

メタデータ エンドポイントは [メタデータ] セクションにあり、種類は "フェデレーション メタデータ" で、通常は 値 "/FederationMetadata/200-706/FederationMetadata.xml" です。

シングルログアウトエンドポイントは、この画面に常に表示されるわけではありませんが、通常は 「/adfs/ls/?wa=wsignout1.0」です。

これらのエンドポイントを設定用にキャプチャする場合は、エンドポイントの一部として完全修飾ドメイン名を追加してください。次に、これらのエンドポイントの例を示します。

SSOを設定するために必要な最後の要素は、ADFS構成用のBase64でエンコードされたX.509証明書だ。

ADFS サーバーで、ADFS 管理ツールを開きます。左側のナビゲーション ウィンドウで、[ ADFS → Service → Certificates] に移動します。

本文には、いくつかの証明書が表示されます。「トークン署名」という見出しの下で証明書を見つけて右クリックし、ドロップダウンメニューから「証明書の表示」を選択します。

開いたウィンドウで " Details " タブを選択し、" [ファイルにコピー "] ボタンをクリックする。

これにより、「証明書のエクスポートウィザード」が開きます。最初の画面で 、「次へ」 をクリックして開始します。

[エクスポート ファイル形式] で、 "Base-64 でエンコードされた X.509 (.CER)」 を選択し 、「次へ」を押します。

注:ADFSのバージョンによっては、秘密鍵をエクスポートするかどうかを尋ねる場合がありますが、これが表示された場合は、「いいえ、秘密鍵をエクスポートしません」を選択します。

「書き出すファイル」画面で、証明書ファイルの場所を選択し、証明書ファイルに名前を付けます(例:workvivo-adfs.cer)。

「証明書のエクスポートウィザードの完了」画面で、「完了」を押してウィザードを閉じます。エクスポートが成功したことを確認するダイアログがポップアップ表示されます。

エクスポートしたばかりの証明書ファイルを見つけて。ファイルをテキストエディターで開く。Base64でエンコードされたテキストが、-----BEGIN CERTIFICATE-----と-----END CERTIFICATE-----行で囲まれているはずだ。このファイルの内容は私たちが必要とする証明書なので、この情報と前述のエンドポイントをメモしておいてください。

この情報を収集したら、Workvivoで構成を完了してください。

3. Workvivoでの最終構成