Active Directoryフェデレーションサービス(ADFS)は、組織が他のアプリでシングルサインオン(SSO)アクセスを使用できるようにするWindows Serverコンポーネントです。このガイドでは、SSOとWorkplaceを正しく統合するためにADFSで必要な設定について詳しく説明します。

WorkplaceでのSSO向けにADFSを設定する

必要条件

SSOシステムが、Windows Serverバージョン2019または2016、Active Directoryドメインサービス(ADDS)、Active Directoryフェデレーションサービス(ADFS)v4またはv5を使用していること。
Workplaceインスタンスでシステム管理者の役割を割り当てられていること。
Workplaceの管理者ユーザーのメールアドレスが、対応するアクティブディレクトリの使用者のメールアドレスと同一であること。メールアドレスの大文字と小文字が一致しない場合は、この手順を正しく実行できません。

これらの手順は、AD FS v2を使用したWindows Serverバージョン2012 R2または2008 R2の設定にも適用できますが、設定の手順が一部異なります。最新のWindow Serverバージョンにアップグレードすることをおすすめします。

ADFSの設定に必要なパラメーターを収集する

次のWorkplaceのステップに従って、ADFSを設定するために必要なパラメーターを探します。

[管理者用パネル]に進み、[セキュリティ]セクションに移動します。

[認証]タブに移動します。

[シングルサインオン(SSO)]チェックボックスをオンにします。

[オーディエンスURL]と[受信者のURL]の値を書き留めておきます。これは、ADFSの設定ステップの際に必要になります。

ADFSで証明書利用者信頼を作成する

ADFSが外部システムに対してフェデレーション認証(SSOなど)を許可する前に、証明書利用者信頼を設定する必要があります。この設定では、外部システムとともに、SSOに使用される特定のテクノロジーが特定されます。この手順により、Workplace用のSAML 2.0アサーションを生成する証明書利用者信頼が作成されます。

ADFS管理スナップインを開きます。[証明書利用者信頼]をクリックし、[証明書利用者信頼の追加]を選択します。

[要求に対応する]ラジオボタンを選択します。[開始]をクリックします。

[証明書利用者についてのデータを手動で入力する]を選択し、[次へ]をクリックします。

DisplayNameをWorkplaceに設定します。[次へ]をクリックします。

[次へ]をクリックし、トークン署名証明書を選択するオプションのステップをスキップします。

[SAML 2.0 WebSSOプロトコルのサポートを有効にする]チェックボックスをオンにします。書き留めておいたWorkplace受信者のURLをテキストボックス[証明書利用者 SAML 2.0 SSO サービスの URL]に入力して、[次へ]をクリックします。

WorkplaceのオーディエンスのURLをテキストボックス[RelyingPartyTrust Identifier]に入力し、[追加]、[次へ]の順にクリックします。

[次へ]をクリックし、デフォルトの[アクセス制御ポリシー]を承諾します。

設定を確認し、[次へ]をクリックして証明書利用者信頼を追加します。

ウィザードを閉じるときには[要求規則の編集]ダイアログを開くチェックボックスをオンのままにしておき、[閉じる]をクリックします。

要求規則を作成する

利用者が認証されたら、ADFS要求規則によってSAML応答でWorkplaceに送信されるデータ属性(およびそれらの属性のフォーマット)が指定されます。Workplaceでは利用者のメールアドレスを含む名前ID要素が必要であるため、次の例では2つの規則を含む設定を示しています。

最初の規則では、利用者のユーザープリンシパル名がActive Directoryから抽出されます(利用者のWindowsアカウント名など)。
2つ目の規則では、ユーザープリンシパル名が名前IDとメールのフォーマットに変換されます。

要求規則の作成準備をする

ADFSを設定し、WorkplaceのSSOを設定する2つの要求規則を作成します。

[Workplace の要求規則の編集]ウィンドウが自動的に開きます。開かない場合は、Workplace証明書利用者信頼を選択し、右側のウィンドウから[要求規則の編集]を選択し、ADFS管理スナップインから要求規則を編集できます。

[発行変換規則]タブで[規則の追加...]をクリックして、新しい規則を開始します。

最初の規則を作成する

利用者が認証されたときにActive Directoryからメールアドレスフィールドを取得する、最初のルールを作成します。

[要求規則]テンプレートに[LDAP 属性を要求として送信]を選択し、[次へ]をクリックして続行します。

[要求規則名]を「LDAP属性を取得」に設定します。[属性ストア]を[Active Directory]に設定します。最初の行の[LDAP 属性]を[E-Mail-Addresses]に、[出力方向の要求の種類]を[電子メールアドレス]に設定します。

[完了]をクリックして規則を追加します。

2つ目の規則を作成する

メールアドレスをSAML応答のName Idアサーションにマッピングするための、2つ目の規則を作成します。

[ルールの作成…]をクリックして、2つ目の新しい規則を開始します。

[要求規則テンプレート]に[入力方向の要求を変換]を選択し、[次へ]をクリックして続行します。

[要求規則名]に「メールアドレスを変換」と入力します。[入力方向の要求の種類]に[電子メールアドレス]を選択します。[出力方向の要求の種類]に[NameID]を選択します。[出力方向の名前IDの形式]に[電子メール]を選択します。最後に、選択されているデフォルトの[すべての要求値をパススルーする]をそのままにしておき、[完了]をクリックして規則を追加します。

[適用]をクリックして要求規則を有効にします。

Workplaceの設定に必要なADFSパラメーターを収集する

設定を完了するには、Workplaceで設定しなければならないいくつかのパラメーターを取得する必要があります。

この設定を完了して、有効なSAMLアサーションをADFSで作成するには、Workplace管理者とまったく同じメールアドレス(大文字と小文字を区別)を持つ利用者としてADFSに認証される必要があります。

ADFS管理スナップインを開きます。

[ADFS] > [サービス] > [エンドポイント]に移動します。

[メタデータ]の見出しの下にあるADFSメタデータのURLを確認します。

ウェブブラウザーからADFSメタデータファイルを開きます。この場所は次のようなものになります。https://:{your-fully-qualified-:active-directory-domain}:/FederationMetadata/:2007-06/:FederationMetadata.xml

[SAML発行元URL]を書き留めておきます。これは、EntityDescriptor要素のentityID属性内にあります。

さらに、[SAML URL]も書き留めておきます。これは、Binding typeがurn::oasis::names::tc::SAML:2.0::bindings::HTTP-POSTに設定されたAssertionConsumerService要素のLocation属性内にあります。

証明書をX.509フォーマットに変換する

アイデンティティプロバイダーの設定が終わったら、次の手順を実行します。

AD FS管理コンソールから、[ADFS] > [サービス] > [証明書]を選択します。トークン署名証明書を右クリックして、[証明書の表示…]をクリックします。

[詳細]タブを選択し、[ファイルへコピー…]ボタンをクリックします。

[次へ]をクリックして、ウィザードを開始します。[Base-64 encoded X.509 (.CER)]を選択します。

ファイルシステム上の場所を選択して、エクスポートした証明書ファイルを保存します。

[完了]をクリックして、エクスポートを完了します。

Workplace SSO設定を完了する

Workplace SSO設定を完了するには、SAML URL、SAML発行元URL、エクスポートした証明書ファイルが必要です。「シングルサインオン(SSO)」のガイドに従ってください。