メインコンテンツまでスキップ

logoCorrectSize.png

Looks like this logo isn't being used anymore since we started using the new CSS to make our documentation look like our product UI.

Knowledge @ Adaptive Insights LLC, a Workday Company

SAML SSO MS-AD FS 2.0

Microsoft Active Directory Federation Services 2.0 (AD FS 2.0)のインスタンスからSAML SSOトークンを受け入れるようにAdaptive Insightsを構成する方法について説明します。AD FSのインスタンスはIDプロバイダであり、Adaptive Insightsはサービスプロバイダです。これらの手順を完了したら、IDプロバイダによって起動されるAD FS 2.0インスタンスからAdaptive InsightsへのSSOログインを構成します。

前提条件

  • 機械
    • Windows Server 2008 R2AD FS 2.0がインストールされています
    • AD FS 2.0 Rollup 2ホットフィックスがインストールされ、Relay­Stateパラメータの使用が有効になっています。詳細についてはThe AD FS 2.0 Rollup 2 Hotfixを参照してください。
    • ドメインに含まれています
  • 管理権限を持つAdaptive Insights科目
  • Adaptive InsightsインスタンスにSAMLがプロビジョニングされていることを示すAdaptive Insightsからの確認E メール
  • 認証機関によって認可されたトーケン署名証明書。

MS AD FS トーケン署名の証明をエクスポートする

  1. MS AD FSMS-AD FS 管理コンソール >]、[サービス >]、[証明書]に移動します。

  2. 証明書リストの [トークン証明] を右クリックし、[証明書を表示] をクリックします。 
    AD-FS_View_Certificate.png
     

  3. 詳細 ]タブに移動し、[ファイルをコピー…]をクリックします

  4. 証明書エクスポート ウィザード ]が表示されたら、[次へ]をクリックします。

  5. DER コード化されたバイナリ X.509 (.cer) ]を選択し、[次へ]をクリックします。

  6. ファイルに名前を付けて保存するディレクトリを選択し、[次へ]をクリックします。

  7. 完了]をクリックします。

このドキュメントは、AD FS ウェブサイトを参照するため、テキストで ADFS_HOST をプレースホルダとして使用しています。それをAD FS 2.0 のウェブサイト アドレスと置き換えてください。 

AD FS 2.0 Rollup 2 Hotfix

ホットフィックスをインストールしていない場合、ここで入手できます。

http://support.microsoft.com/kb/2681584 

ホットフィックスをインストール後、IDプロバイダによって起動されたSSOのRelayStateパラメータの使用を有効にします。

  1. エディタの、inetpub\adfs\ls\web.configファイルを開きます。

  2. <microsoft.identityServer.web>から始まるセクションを検索

  3. このラインをそのセクションに追加する:
    <useRelayStateForIdpInitiatedSignOn enabled="true" />

  4. そのファイルを保存します。

証明書利用者としてのAdaptive Insightsの設定

証明書利用者は、STS(セキュリティトークンサービス)が発行するトークンから抽出されるクレームに依存するWebアプリケーションまたはWebサービスです。 Adaptive Insightsは証明書利用者であり、AD FS 2.0インスタンスはSTSです。

  1. AD FS 2.0 管理コンソールへナビゲートします。

  2. AD FS 2.0 をクリックし、[関係を信頼]を展開してください。

  3. 信頼できる団体トラスト ]を右クリックし、[信頼できる団体トラストを追加]をクリックします。

  4. [データソースを選択]ページの[信頼できる団体のデータを手動で入力­]を選択し、[次へ]をクリックします。

    AD-FS_Add_Relying_Party_Trust_Wizard_Select_Data_Source.png
  5. 表示名に適切な名前を指定し(例、AdaptiveInsights)、あればメモも入力し「次へ」をクリックします。

  6. AD FS 2.0 プロファイル]を選択します。

  7. 証明設定ステップは飛ばします。

  8. [SAML設定] 画面から取得するAdaptive Insights SSO URLを設定します。

    次に示されているとおりにセットアップします。

  9. IDを設定 ]ページをthe URL from the SAML Settings screen in Planning IDとして入力し、[追加]をクリックします。

  10. 次のページで、[この証明書利用者へのすべてのユーザーアクセスを許可する] を選択します。 このアプリケーションを後で特定のユーザーに割り当てる場合は [拒否] を選択し、[次へ] をクリックします。

  11. トラストを追加する準備完了 ]ページで、[次へ]をクリックします。

  12. 完了 ]ページの[ウィウィザードが閉じたら、この信頼できる団体トラストのクレーム ルールを編集ダイアログを開く]を消去し[閉じる]をクリックします。

クレーム ルールの設定

いくつかのサンプルのクレームルールを作成します。SAML認証の要件を満たすためにクレームルールを変更できます。

サンプルのクレームルール#1

このクレーム ルールでは、ユーザーの[Eメールアドレスの値は特性ステートメントとして SAML 応答で送られます。その特性が個々に識別できる限り、SAMLのトークンのLDAP 特性も使用できます。同じように、[出力クレーム タイプ]では、名前のリストまたはタイプから1つ選択してください。

  1. 信頼できる団体トラスト ]リストの中の[AdaptiveInsights 入力]を右クリックし、[クレームルールを編集]を選択してください。

  2. 発行変換ルール ]タブの[ルールを追加 ]をクリックします。

  3. クレーム ルール]テンプレート ドロップダウンから[ LDAP特性をクレームとして送信 ]を選択してください。

  4. [次へ]をクリックします。

  5. クレームに[クレームとしてEメールする]のような名前をつけます。

  6. 特性ストア ]のフィールドを[アクティブ ディレクトリ]、[LDAP 特性]を[Eメール アドレス]、[出力クレーム タイプ ]を[Eメール アドレス]に設定します。

  7. 完了]をクリックします。

サンプルのクレームルール#2

このクレーム ルールでは、クレーム ルール#1で設定されたEメール アドレスを[名前ID­ ]の件名として送信します。

  1. ルールを追加]をクリックします。

  2. 入来クレームを変換 ]をクレーム ルール テンプレートとして使用するよう選択します。

  3. 名前をつけてください。この例では、[Eメール アドレスから名前ID へ]を使用しています。

  4. 入来クレーム タイプは、[ Eメール アドレス]である必要があります(またはサンプル クレーム ルール#1で使用した出力クレーム タイプと一致する必要があります)。

  5. 出力クレーム タイプ ]を[ 名前ID ]に、[出力名前ID]の形式を [Eメール]に設定してください。

  6. 全クレーム値をパス スルー]を選択します。

  7. 完了]をクリックします。

このルールだと、ユーザーのEメールアドレス値を、その形式を持つ名前IDの件名として送信しますurn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Adaptive InsightsでAD FSをIDプロバイダーとしてセットアップします。

Adaptive Insights インスタンスがAD FS 2.0インストールから SAML/SSOトークンを受け入れるよう設定します。このセクションのステップでは、上記で説明されたサンプル クレーム ルールを使用します。もし別のルールを作成したら、それに従って手順を変更する必要があります。

  1. 「ユーザー管理権限」を持つユーザーとして Adaptive インスタンスにログインしてください。

  2. 管理者 >管理SAML SSO設定を開きます。

  3. 次の設定を入力してください

    1. IDプロバイダ名 ここにAD FS 2.0サーバーの名前を入力します。

    2. IDプロバイダ エンティティID FS Server's AD FS 2.0管理コンソールに表示されている値を入力してください。
      これを探すには、[サービス,]を右クリックし、[Federation Services プロパティを編集]をクリックして、[Federation Service ID]フィールドの値をコピーします。

    3. IDプロバイダのシングル サインオン URL 次のURL のようなURLを入力します(これはMS AD FS側からAdaptive Insightsに直接ログインするURLです)。https://ADFS_HOST/adfs/ls

    4. カスタムログアウトURL オプション。ユーザーがAdaptive Insightsから [ログアウト] をクリックしたときに読み込むURLを入力します。
      URLが指定されない場合、Adaptive Insights のログイン ページが使用されます。

    5. IDプロバイダ証明書前提条件」に含まれる証明書ファイルを選択します。

    6.  SAML ユーザー ID タイプ ユーザの連邦政府IDを選択してください。
      ユーザー’のEメールアドレスを使用するというクレームルールを設定してあり、そのアドレスがユーザー’のプロファイルのログインフィールドと同じなら、[SAML ユーザー ID]に[ ユーザーの Adaptive Insights ユーザー名]を選択できます。

    7. SAML ユーザー ID のロケーション] 信頼できる団体のクレーム ルールで、サンプル クレーム ルール#1のみを設定したのであれば[特性のユーザー ID]を選択してください。
      サンプル クレーム ルール#2を設定したのであれば、[件名の名前ID­]に[ユーザー ID ]を選択してください。

    8. SAML 特性 ]と[SAML 名前 ID 形式 これらのどれか1つを入力する必要があります。サンプル クレーム#1のみを設定したのであれば、[SAML 特性]のフィールドをサンプル クレーム#1からの出力クレーム タイプで入力し、[ SAML 名前 ID ]]フィールドは空白にしておいてください。
      両方のサンプル クレーム ルールを設定したのであれば、[SAML特性 ]フィールドは飛ばし、[SAML名前ID ]フィールドをサンプルクレーム ルール#2(Eメール)からの出力名前ID フォーマットで入力します。

    9. SAML の有効化] [無効 ]を選択します(これがデフォルトの値です)。設定をテスト後、この画面に戻り他のユーザーのために SAML を有効にします。

  4. 保存]をクリックします。
    [Adaptive Insights管理概要] ページがロードされます。

  5. 設定が正常に保存されたのを確認するために、[SAML SSO の設定管理 ]ページに戻ります。特に、発行元と ID プロバイダ証明書の有効性は確認します。

  6. ページの下部の[Adaptive Insights SSO URL] を検索し、ストリング値全体をコピーします。次のセクションでこの値が必要になるので、保存してください。

AD FSの証明書利用者の設定の完了

このセクションでは、「Adaptive Insightsを証明書利用者として設定」で開始したAD FSの証明書利用者の設定を完了します。

  1. AD FS 2.0管理コンソールに戻ります。

  2. 信頼できる団体トラスト ]リストの[AdaptiveInsights ]を右クリックし、[プロパティ]を選択します。

  3. エンド ポイント ]タブをクリックしてから[追加]をクリックします。

  4. エンド ポイント タイプ ]を[SAML 前提条件コンシューマ]に設定します。

  5. バインディング ]を[POST]に設定します。

  6. Adaptive InsightsでMS AD FSをIDプロバイダとして設定」のステップ6でコピーしたAdaptive Insights SSO URLの値を [URL] フィールドに貼り付けます。

  7. OK ]をクリックし、プロパティ ダイアログの[適用 ]をクリックします。

設定をテストします。

AD FS 2.0からAdaptive InsightsへのSAML SSOログインをテストする必要があります。

  1. AD FSおよび Adaptive Insightsでユーザーを選択します。€‚ Adaptive Insights ユーザーには [SAML管理者] 権限が必要です。

  2. ユーザーのE メール アドレス(またはクレーム ルールNo.1で選択されたLDAP属性)をAD FSに入力します。

  3. Adaptive Insightsから、[管理 > ユーザー] ページのユーザーの [SAML Federation ID] フィールドにE メールアドレス(おそらく同じ値)を入力し、[送信] をクリックします。

  4. Active Directoryドメインの一部を成すコンピューターにそのAD FSユーザーをログインします。

  5. そのコンピュータのWebブラウザ内でhttps://login.adaptiveinsights.com/appに移動します。

  6. 設定がすべて正しければ、Adaptive Insights のウェルカム ページへリダイレクトされます。ユーザー名を入力しますが、ログインページのパスワードフィールドは空白のままにします。[送信] をクリックします。

正常に設定をテストした後、ユーザーのSAML SSOを有効にします。「Adaptive Insightsですべてのユーザーに対してSAML SSOを有効にする」を参照してください。

Logging in to Excel Interface for Planning and Adaptive Office Connect using SAML SSO

Once SAML SSO has been successfully configured and tested, Excel Interface for Planning and Adaptive Office Connect users only need to provide their usernames in the login form. Leave the password field blank.

Excel Interface for Planning or Adaptive Office Connect - Logging in with SAML SSO enabled

 

  • この記事は役に立ちましたか?