概要
Active Directoryフェデレーションサービス(ADFS)は、組織が他のアプリでシングルサインオン(SSO)アクセスを使用できるようにするWindows Serverコンポーネントです。このガイドでは、SSOとWorkplaceを正しく統合するためにADFSで必要な設定について詳しく説明します。
WorkplaceでのSSO向けにADFSを設定する
必要条件
- SSOシステムが、Windows Serverバージョン2019または2016、Active Directoryドメインサービス(ADDS)、Active Directoryフェデレーションサービス(ADFS)v4またはv5を使用していること。
- Workplaceインスタンスでシステム管理者の役割を割り当てられていること。
- Workplaceの管理者ユーザーのメールアドレスが、対応するアクティブディレクトリの使用者のメールアドレスと同一であること。メールアドレスの大文字と小文字が一致しない場合は、この手順を正しく実行できません。
ADFSの設定に必要なパラメーターを収集する
次のWorkplaceのステップに従って、ADFSを設定するために必要なパラメーターを探します。
ADFSで証明書利用者信頼を作成する
ADFSが外部システムに対してフェデレーション認証(SSOなど)を許可する前に、証明書利用者信頼を設定する必要があります。この設定では、外部システムとともに、SSOに使用される特定のテクノロジーが特定されます。この手順により、Workplace用のSAML 2.0アサーションを生成する証明書利用者信頼が作成されます。
![](https://scontent-iad3-2.xx.fbcdn.net/v/t39.2365-6/62229395_2041671502795794_6737244266403201024_n.png?_nc_cat=103&ccb=1-7&_nc_sid=e280be&_nc_ohc=4r6HKq8tiWsQ7kNvgEWBfyD&_nc_ht=scontent-iad3-2.xx&oh=00_AYCv0PcD1FnexPt6I2Ud5Oht-O4jQRwjXYzIRTDJxcFfLw&oe=66A53449)
![](https://scontent-iad3-2.xx.fbcdn.net/v/t39.2365-6/62220832_831513307206701_5875249922143420416_n.png?_nc_cat=111&ccb=1-7&_nc_sid=e280be&_nc_ohc=72KKmnkg-TYQ7kNvgESu2L7&_nc_ht=scontent-iad3-2.xx&oh=00_AYCszMafY0o2m6rYd3zyKQAW9C2HeHcNZ_ps5sAjOKUOTg&oe=66A55591)
![](https://scontent-iad3-1.xx.fbcdn.net/v/t39.2365-6/62244612_2859250320761210_8177329904350658560_n.png?_nc_cat=108&ccb=1-7&_nc_sid=e280be&_nc_ohc=0N3HM637rm0Q7kNvgGPefGY&_nc_ht=scontent-iad3-1.xx&oh=00_AYBWv2YqlgMoe18bMRveKVxEzWlF5a4xkGsLxQG0Yqa4_w&oe=66A55A5A)
DisplayName
をWorkplaceに設定します。[次へ]をクリックします。 ![](https://scontent-iad3-1.xx.fbcdn.net/v/t39.2365-6/62319204_410180612900758_2303565383761657856_n.png?_nc_cat=107&ccb=1-7&_nc_sid=e280be&_nc_ohc=wG7YaxO8xcIQ7kNvgFaUdmU&_nc_ht=scontent-iad3-1.xx&oh=00_AYAqIvBFSGreD-f_fy0TUgM1YdDCGkmQRxiiGEvvIV8pbA&oe=66A542B1)
![](https://scontent-iad3-2.xx.fbcdn.net/v/t39.2365-6/62367635_643463389458872_1378451895177183232_n.png?_nc_cat=103&ccb=1-7&_nc_sid=e280be&_nc_ohc=LJCHgmPpz6YQ7kNvgG4It2w&_nc_ht=scontent-iad3-2.xx&oh=00_AYCxLneyI37g5_x3gZs6digTkjO_7Urh9Pn92dk6YRBdiw&oe=66A540B4)
![](https://scontent-iad3-2.xx.fbcdn.net/v/t39.2365-6/62346549_465315714226806_9068144960930316288_n.png?_nc_cat=103&ccb=1-7&_nc_sid=e280be&_nc_ohc=BlWTUgEKgD8Q7kNvgHh3OIr&_nc_ht=scontent-iad3-2.xx&oh=00_AYBvR2OBhfGrVZbjL_I6ArmXgZSGmQGR22htTjl3WTPzoA&oe=66A53B0E)
RelyingPartyTrust Identifier
]に入力し、[追加]、[次へ]の順にクリックします。 ![](https://scontent-iad3-1.xx.fbcdn.net/v/t39.2365-6/62223817_607621749721517_4977296363629838336_n.png?_nc_cat=102&ccb=1-7&_nc_sid=e280be&_nc_ohc=WZmqGOv01A4Q7kNvgFjZ_k8&_nc_ht=scontent-iad3-1.xx&oh=00_AYBsM2Csja1OSrlj0i-3E_4dvG5-VK1nEUZWnZN7SHzxaQ&oe=66A5497D)
![](https://scontent-iad3-1.xx.fbcdn.net/v/t39.2365-6/62324322_2231088680315031_5795450396151382016_n.png?_nc_cat=107&ccb=1-7&_nc_sid=e280be&_nc_ohc=k0QiPeAmLjsQ7kNvgHDOf47&_nc_ht=scontent-iad3-1.xx&oh=00_AYA3suP7zlm9LHpJMCnJlChoHx7TDjT9UDG3720v0dgjhw&oe=66A53A9F)
![](https://scontent-iad3-2.xx.fbcdn.net/v/t39.2365-6/62177613_430639410825435_975743469307822080_n.png?_nc_cat=111&ccb=1-7&_nc_sid=e280be&_nc_ohc=zJAznORrfPYQ7kNvgGAM-_9&_nc_ht=scontent-iad3-2.xx&oh=00_AYB0X5iJt7mQoQhOuzTiYiBiKpS296PpdJAA_1YYA_jXFA&oe=66A56392)
![](https://scontent-iad3-2.xx.fbcdn.net/v/t39.2365-6/62261812_419266652258685_8776791108467294208_n.png?_nc_cat=111&ccb=1-7&_nc_sid=e280be&_nc_ohc=DEEGdbHn8UYQ7kNvgFxp04d&_nc_ht=scontent-iad3-2.xx&oh=00_AYCoE_UQaInT1515hWjl3WAWq7lXbUIagHSL3SK0P8G-sA&oe=66A553FE)
要求規則を作成する
利用者が認証されたら、ADFS要求規則によってSAML応答でWorkplaceに送信されるデータ属性(およびそれらの属性のフォーマット)が指定されます。Workplaceでは利用者のメールアドレスを含む名前ID要素が必要であるため、次の例では2つの規則を含む設定を示しています。
- 最初の規則では、利用者のユーザープリンシパル名がActive Directoryから抽出されます(利用者のWindowsアカウント名など)。
- 2つ目の規則では、ユーザープリンシパル名が名前IDとメールのフォーマットに変換されます。
要求規則の作成準備をする
ADFSを設定し、WorkplaceのSSOを設定する2つの要求規則を作成します。
![](https://scontent-iad3-1.xx.fbcdn.net/v/t39.2365-6/62447976_2297562497128386_7847139986934595584_n.png?_nc_cat=101&ccb=1-7&_nc_sid=e280be&_nc_ohc=PppP3gEfzL0Q7kNvgGLYJWM&_nc_ht=scontent-iad3-1.xx&oh=00_AYDgsa1qc9KJ240lA-CpERSl8Kyi4kvldwHPqFJJn_fSYw&oe=66A54FEB)
最初の規則を作成する
利用者が認証されたときにActive Directoryからメールアドレスフィールドを取得する、最初のルールを作成します。
![](https://scontent-iad3-1.xx.fbcdn.net/v/t39.2365-6/62346920_1422990001174176_1231333395385024512_n.png?_nc_cat=101&ccb=1-7&_nc_sid=e280be&_nc_ohc=mGI5jIZgj4UQ7kNvgE5uvNY&_nc_ht=scontent-iad3-1.xx&oh=00_AYBqJHfnnCzOpPVwKxZq6dpTV4IV_3aD0DxDrK3VLvUoqQ&oe=66A5671F)
![](https://scontent-iad3-2.xx.fbcdn.net/v/t39.2365-6/62227756_1248555171984422_5276619489255882752_n.png?_nc_cat=109&ccb=1-7&_nc_sid=e280be&_nc_ohc=qXWNn9yf9NQQ7kNvgHHHonx&_nc_ht=scontent-iad3-2.xx&oh=00_AYAhbfMU0PRtswSxS0amOvHJLJaHnbQ3m37GEzG7UWpjvg&oe=66A53FFA)
2つ目の規則を作成する
メールアドレスをSAML応答のName Id
アサーションにマッピングするための、2つ目の規則を作成します。
![](https://scontent-iad3-2.xx.fbcdn.net/v/t39.2365-6/62388837_2290477951035089_7632790873704497152_n.png?_nc_cat=111&ccb=1-7&_nc_sid=e280be&_nc_ohc=jO0m7WC8LvoQ7kNvgFkaRHf&_nc_ht=scontent-iad3-2.xx&oh=00_AYApsFSWUJujSljJzdExa5LH6boYKwkDnbHTTEsHcwpZwA&oe=66A54232)
![](https://scontent-iad3-1.xx.fbcdn.net/v/t39.2365-6/62244619_473873959830476_8815199600836083712_n.png?_nc_cat=107&ccb=1-7&_nc_sid=e280be&_nc_ohc=5lsnxvdtkrQQ7kNvgH4nQVU&_nc_ht=scontent-iad3-1.xx&oh=00_AYDiazPPLlQYAQbGb933YLohkM5vno7YxkaIEy9jp5IpAw&oe=66A53E00)
![](https://scontent-iad3-1.xx.fbcdn.net/v/t39.2365-6/62309791_2208189192628391_8036894794577870848_n.png?_nc_cat=110&ccb=1-7&_nc_sid=e280be&_nc_ohc=j8dwG9Za1PIQ7kNvgGKwAVW&_nc_ht=scontent-iad3-1.xx&oh=00_AYD_EnbjLh9q8lOjtGAfsBSbnsGU3ErhUQdZsOIaa2P-Bw&oe=66A5446C)
Workplaceの設定に必要なADFSパラメーターを収集する
設定を完了するには、Workplaceで設定しなければならないいくつかのパラメーターを取得する必要があります。
https://:{your-fully-qualified-:active-directory-domain}:/FederationMetadata/:2007-06/:FederationMetadata.xml
EntityDescriptor
要素のentityID
属性内にあります。Binding type
がurn::oasis::names::tc::SAML:2.0::bindings::HTTP-POST
に設定されたAssertionConsumerService
要素のLocation
属性内にあります。証明書をX.509フォーマットに変換する
アイデンティティプロバイダーの設定が終わったら、次の手順を実行します。
![](https://scontent-iad3-2.xx.fbcdn.net/v/t39.2365-6/62392186_348010485862926_265693389964443648_n.png?_nc_cat=105&ccb=1-7&_nc_sid=e280be&_nc_ohc=LH_GyRD14PUQ7kNvgEGWR71&_nc_ht=scontent-iad3-2.xx&oh=00_AYAeiwknOnD2blICPL-4DGRDOzXZvkoNHmvrhy1xo1ZyrQ&oe=66A5638C)
![](https://scontent-iad3-2.xx.fbcdn.net/v/t39.2365-6/62219573_463396644424496_9062736175470477312_n.png?_nc_cat=100&ccb=1-7&_nc_sid=e280be&_nc_ohc=PSuIvi8nX-8Q7kNvgEInD3b&_nc_ht=scontent-iad3-2.xx&oh=00_AYCz9vmg5Eq81QPTGNWQhKMH5I-EFHUCSYZidSj0aGudvQ&oe=66A53CCF)
.CER
)]を選択します。 ![](https://scontent-iad3-2.xx.fbcdn.net/v/t39.2365-6/62296914_2917242548316431_1246945494131802112_n.png?_nc_cat=105&ccb=1-7&_nc_sid=e280be&_nc_ohc=dmdBPns0IS4Q7kNvgFPYxqZ&_nc_ht=scontent-iad3-2.xx&oh=00_AYBLgPghizUZxTzn07s_wif6bHEwpqGJTNvcCVfGwCN8Jw&oe=66A536F8)
![](https://scontent-iad3-1.xx.fbcdn.net/v/t39.2365-6/62325639_2450692261648357_1832847894516858880_n.png?_nc_cat=110&ccb=1-7&_nc_sid=e280be&_nc_ohc=nNz7QGQcOvMQ7kNvgHil33g&_nc_ht=scontent-iad3-1.xx&oh=00_AYAFpnoWQOsUcJZBCBVKk-KIgpylUYAkRl0dTY323pxafw&oe=66A568E3)
Workplace SSO設定を完了する
Workplace SSO設定を完了するには、SAML URL、SAML発行元URL、エクスポートした証明書ファイルが必要です。「シングルサインオン(SSO)」のガイドに従ってください。