概要
Active Directoryフェデレーションサービス(ADFS)は、組織が他のアプリでシングルサインオン(SSO)アクセスを使用できるようにするWindows Serverコンポーネントです。このガイドでは、SSOとWorkplaceを正しく統合するためにADFSで必要な設定について詳しく説明します。
WorkplaceでのSSO向けにADFSを設定する
必要条件
- SSOシステムが、Windows Serverバージョン2019または2016、Active Directoryドメインサービス(ADDS)、Active Directoryフェデレーションサービス(ADFS)v4またはv5を使用していること。
- Workplaceインスタンスでシステム管理者の役割を割り当てられていること。
- Workplaceの管理者ユーザーのメールアドレスが、対応するアクティブディレクトリの使用者のメールアドレスと同一であること。メールアドレスの大文字と小文字が一致しない場合は、この手順を正しく実行できません。
ADFSの設定に必要なパラメーターを収集する
次のWorkplaceのステップに従って、ADFSを設定するために必要なパラメーターを探します。
ADFSで証明書利用者信頼を作成する
ADFSが外部システムに対してフェデレーション認証(SSOなど)を許可する前に、証明書利用者信頼を設定する必要があります。この設定では、外部システムとともに、SSOに使用される特定のテクノロジーが特定されます。この手順により、Workplace用のSAML 2.0アサーションを生成する証明書利用者信頼が作成されます。
DisplayName
をWorkplaceに設定します。[次へ]をクリックします。 RelyingPartyTrust Identifier
]に入力し、[追加]、[次へ]の順にクリックします。 要求規則を作成する
利用者が認証されたら、ADFS要求規則によってSAML応答でWorkplaceに送信されるデータ属性(およびそれらの属性のフォーマット)が指定されます。Workplaceでは利用者のメールアドレスを含む名前ID要素が必要であるため、次の例では2つの規則を含む設定を示しています。
- 最初の規則では、利用者のユーザープリンシパル名がActive Directoryから抽出されます(利用者のWindowsアカウント名など)。
- 2つ目の規則では、ユーザープリンシパル名が名前IDとメールのフォーマットに変換されます。
要求規則の作成準備をする
ADFSを設定し、WorkplaceのSSOを設定する2つの要求規則を作成します。
最初の規則を作成する
利用者が認証されたときにActive Directoryからメールアドレスフィールドを取得する、最初のルールを作成します。
2つ目の規則を作成する
メールアドレスをSAML応答のName Id
アサーションにマッピングするための、2つ目の規則を作成します。
Workplaceの設定に必要なADFSパラメーターを収集する
設定を完了するには、Workplaceで設定しなければならないいくつかのパラメーターを取得する必要があります。
https://:{your-fully-qualified-:active-directory-domain}:/FederationMetadata/:2007-06/:FederationMetadata.xml
EntityDescriptor
要素のentityID
属性内にあります。Binding type
がurn::oasis::names::tc::SAML:2.0::bindings::HTTP-POST
に設定されたAssertionConsumerService
要素のLocation
属性内にあります。証明書をX.509フォーマットに変換する
アイデンティティプロバイダーの設定が終わったら、次の手順を実行します。
.CER
)]を選択します。 Workplace SSO設定を完了する
Workplace SSO設定を完了するには、SAML URL、SAML発行元URL、エクスポートした証明書ファイルが必要です。「シングルサインオン(SSO)」のガイドに従ってください。