4.3. Active Directory Federation Services¶
Active Directory Federation Services をIdP としてSAML 認証を行うための設定例を説明します。
4.3.2. 前提条件¶
Active Directory Federation Services の初期設定まで完了していること
4.3.3. 設定方法¶
4.3.3.1. Active Directory Federation Services のメタデータをダウンロード¶
- Active Directory Federation Services のメタデータをダウンロードします。以下のURL からメタデータを表示できます。
- https://<server name>/federationmetadata/2007-06/federationmetadata.xml
4.3.3.2. intra-mart Accel Platform にActive Directory Federation Services を登録¶
IdP 新規登録画面からActive Directory Federation Services を以下の設定で新規登録します。記載のない項目はIdP の設定に応じて変更してください。
IdP 新規登録時の設定例 状態 有効 IdPメタデータ Active Directory Federation Services からダウンロードしたメタデータの内容 ユーザコード取得方法 要素(NameID)から取得する シングルサインオン 有効注意
Active Directory Federation Services に登録する intra-mart Accel Platform のURL はSSL(https)である必要があります。IdP 登録時はシステム管理者にSSL(https)でログインして登録処理を行ってください。
4.3.3.3. intra-mart Accel Platform のメタデータをダウンロード¶
IdP新規登録後、IdP 一覧画面からメタデータをダウンロードします。
4.3.3.4. Active Directory Federation Services にメタデータをインポート¶
AD FS の「信頼関係」→「証明書利用者信頼」→「証明書利用者信頼の追加」から intra-mart Accel Platform のメタデータをインポートしてください。
4.3.3.5. 要求規則の編集¶
メタデータインポート後、規則の追加を行います。
要求規則の設定例 要求規則テンプレート LDAP 属性を要求として送信 属性ストア Active Directory LDAP属性 User-Principal-Name 出力方向の要求の種類 名前ID注意
「出力方向の要求の種類」が「名前ID」となる規則を必ず含めてください。レスポンスの要素が不足して認証エラーとなります。コラム
「User-Principal-Name」は「ユーザ名@ドメイン名」となります。
4.3.3.6. intra-mart Accel Platform ユーザとActive Directory Federation Services ユーザをマッピング¶
テナント管理者でログインしてSAMLユーザマッピング(管理)画面から intra-mart Accel Platform のユーザコードとActive Directory Federation Services のユーザ名をマッピングしてください。
4.3.4. Active Directory Federation Services のユーザで intra-mart Accel Platform にログイン¶
上記設定が完了すると intra-mart Accel Platform の一般ユーザログイン画面にActive Directory Federation Services のログイン画面に遷移するボタンが表示されます。ボタンを押下してActive Directory Federation Services のログイン画面でログインすると intra-mart Accel Platform にログインします。
4.3.5. 注意事項¶
4.3.5.1. 使用可能な署名アルゴリズム¶
2016年8月現在、intra-mart Accel Platform とActive Directory Federation Services 間のSAML認証で使用可能な署名アルゴリズムを各鍵長、各バインディングごとに表した一覧は以下になります。
Active Directory Federation Services HTTP-REDIRECTバインディング HTTP-POSTバインディング SHA1withDSA 1024bit2048bit以上 ×× ×× SHA1withRSA 1024bit2048bit以上 ○○ ○○ SHA256withRSA 1024bit2048bit以上 ○○ ○○
4.3.5.2. intra-mart Accel Platform のメタデータが変更された場合¶
IdPの設定を更新して intra-mart Accel Platform のメタデータに変更があった場合はActive Directory Federation Services でメタデータのインポートと要求規則の編集を再度実行する必要があります。
4.3.5.3. シングルログアウトについて¶
Active Directory Federation Services のシングルログアウトは署名が必須となります。IdP登録時に署名処理に「署名する」を選択して証明書を登録してください。