メインコンテンツまでスキップ

logoCorrectSize.png

Workday Adaptive Planning Knowledge Center

SAML SSO MS-AD FS 2.0

Microsoft Active Directory Federation Services 2.0 (AD FS 2.0)のインスタンスからSAML SSOトークンを受け入れるようにAdaptive Planningを構成する方法について説明します。AD FSのインスタンスはIDプロバイダであり、Adaptive Planningはサービスプロバイダです。これらの手順を完了したら、IDプロバイダによって起動されるAD FS 2.0インスタンスからAdaptive PlanningへのSSOログインを構成します。

前提条件

  • 機械
    • Windows Server 2008 R2AD FS 2.0がインストールされています
    • AD FS 2.0 Rollup 2ホットフィックスがインストールされ、Relay­Stateパラメータの使用が有効になっています。詳細については「The AD FS 2.0 Rollup 2 Hotfix 」を参照してください。
    • ドメインに含まれています
  • 管理権限を持つAdaptive Planning科目
  • Adaptive PlanningインスタンスにSAMLがプロビジョニングされていることを示すAdaptive Planningからの確認E メール
  • 認証機関によって認可されたトーケン署名証明書。

MS AD FS トーケン署名の証明をエクスポートする

  1. MS AD FSMS-AD FS 管理コンソール >]、[サービス >]、[証明書]に移動します。

  2. 証明書リストの [トークン証明] を右クリックし、[証明書を表示] をクリックします。
    AD-FS_View_Certificate.png
     

  3. 詳細 ]タブに移動し、[ファイルをコピー…]をクリックします。

  4. 証明書エクスポート ウィザード ]が表示されたら、[次へ]をクリックします。

  5. DER コード化されたバイナリ X.509 (.cer) ]を選択し、[次へ]をクリックします。

  6. ファイルに名前を付けて保存するディレクトリを選択し、[次へ]をクリックします。

  7. 完了]をクリックします。

このドキュメントは、AD FS ウェブサイトを参照するため、テキストで ADFS_HOST をプレースホルダとして使用しています。それをAD FS 2.0のウェブサイトアドレスと置き換えてください。

AD FS 2.0 Rollup 2 Hotfix

ホットフィックスをインストールしていない場合、ここで入手できます。

http://support.microsoft.com/kb/2681584 

ホットフィックスをインストール後、IDプロバイダによって起動されたSSOのRelayStateパラメータの使用を有効にします。

  1. エディタの、inetpub\adfs\ls\web.configファイルを開きます。

  2. <microsoft.identityServer.web>から始まるセクションを検索

  3. このラインをそのセクションに追加する:
    <useRelayStateForIdpInitiatedSignOn enabled="true" />

  4. そのファイルを保存します。

証明書利用者としてのAdaptive Planningの設定

証明書利用者は、STS(セキュリティトークンサービス)が発行するトークンから抽出されるクレームに依存するWebアプリケーションまたはWebサービスです。 Adaptive Planningは証明書利用者であり、AD FS 2.0インスタンスはSTSです。

  1. AD FS 2.0 管理コンソールへナビゲートします。

  2. AD FS 2.0 をクリックし、[関係を信頼]を展開してください。

  3. 信頼できる団体トラスト ]を右クリックし、[信頼できる団体トラストを追加]をクリックします。

  4. データ ソースを選択ページで、[信頼できる団体のデータを手動で入力­]を選択し、[次へ]をクリックします。

    AD-FS_Add_Relying_Party_Trust_Wizard_Select_Data_Source.png
  5. 表示名に適切な名前を指定し(例、AdaptivePlanning)、あればメモも入力し「次へ」をクリックします。

  6. AD FS 2.0 プロファイル]を選択します。

  7. 証明設定ステップは飛ばします。

  8. [SAML設定] 画面から取得するAdaptive Planning SSO URLを設定します。

  9. IDを設定 ]ページをthe URL from the SAML Settings screen in Planning IDとして入力し、[追加]をクリックします。

  10. 次のページで、[この証明書利用者へのすべてのユーザアクセスを許可する] を選択します。このアプリケーションを後で特定のユーザーに割り当てる場合は [拒否] を選択し、[次へ] をクリックします。

  11. トラストを追加する準備完了 ]ページで、[次へ]をクリックします。

  12. 完了 ]ページの[ウィウィザードが閉じたら、この信頼できる団体トラストのクレーム ルールを編集ダイアログを開く]を消去し[閉じる]をクリックします。

クレーム ルールの設定

いくつかのサンプルのクレームルールを作成します。SAML認証の要件を満たすためにクレームルールを変更できます。

サンプルのクレームルール#1

このクレーム ルールでは、ユーザーの[Eメールアドレスの値は特性ステートメントとして SAML 応答で送られます。その特性が個々に識別できる限り、SAMLのトークンのLDAP 特性も使用できます。同じように、[出力クレーム タイプ]では、名前のリストまたはタイプから1つ選択してください。

  1. 信頼できる団体トラスト ]リストの中の[AdaptivePlanning 入力]を右クリックし、[クレームルールを編集]を選択してください。

  2. 発行変換ルール ]タブの[ルールを追加 ]をクリックします。

  3. クレーム ルール]テンプレート ドロップダウンから[ LDAP特性をクレームとして送信 ]を選択してください。

  4. 次へ]をクリックします。

  5. クレームに[クレームとしてEメールする]のような名前をつけます。

  6. 特性ストア ]のフィールドを[アクティブ ディレクトリ]、[LDAP 特性]を[Eメール アドレス]、[出力クレーム タイプ ]を[Eメール アドレス]に設定します。

  7. 完了]をクリックします。

サンプルのクレームルール#2

このクレーム ルールでは、クレーム ルール#1で設定されたEメール アドレスを[名前ID­ ]の件名として送信します。

  1. ルールを追加]をクリックします。

  2. 入来クレームを変換 ]をクレーム ルール テンプレートとして使用するよう選択します。

  3. 名前をつけてください。この例では、[Eメール アドレスから名前 ID]を使用しています。

  4. 入来クレームタイプは、[E メールアドレス] である必要があります (またはサンプル クレーム ルール #1 で使用した出力クレームタイプと一致する必要があります)。

  5. 出力クレーム タイプ ]を[ 名前ID ]に、[出力名前ID]の形式を [Eメール]に設定してください。

  6. 全クレーム値をパス スルー]を選択します。

  7. 完了]をクリックします。

このルールは、urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressの形式で、ユーザの [E メールアドレス] 値を件名の [名前 ID] として送信します。

Adaptive Planningで AD FS を ID プロバイダとして設定

Adaptive Planning  インスタンスがAD FS 2.0インストールから SAML/SSOトークンを受け入れるよう設定します。このセクションのステップでは、上記で説明されたサンプル クレーム ルールを使用します。もし別のルールを作成したら、それに従って手順を変更する必要があります。

  1. 「ユーザー管理権限」を持つユーザーとして Adaptive Planning  インスタンスにログインしてください。

  2. 管理者 >管理SAML SSO設定を開きます。

  3. 次の設定を入力してください

    1. ID プロバイダ名: ここにAD FS 2.0サーバーの名前を入力します。

    2. ID プロバイダ エンティティ ID: FS Server's AD FS 2.0管理コンソールに表示されている値を入力してください。
      これを探すには、[サービス] を右クリックし、[Federation Services プロパティを編集] をクリックして、[Federation Service ID] フィールドの値をコピーします。

    3. ID プロバイダのシングル サインオンURL: URL 次のような URL を入力します (これは MS AD FS 側からAdaptive Planningに直接ログインする URL です)。https://ADFS_HOST/adfs/ls

    4. カスタムログアウトURL: オプション。ユーザーがAdaptive Planningから [ログアウト] をクリックしたときに読み込むURLを入力します。
      URL が指定されない場合、Adaptive Planningのログイン ページが使用されます。

    5. ID プロバイダ証明書] 「前提条件」に含まれる証明書ファイルを選択します。

    6.   SAMLユーザーIDタイプ: ユーザの連邦政府IDを選択してください。
      ユーザの E メールアドレスを使用するというクレーム ルールを設定してあり、そのアドレスがユーザのプロファイルのログイン フィールドと同じなら、[SAML ユーザ ID] に[ユーザのAdaptive Planning ユーザ名] を選択できます。

    7. SAML ユーザー ID のロケーション] 信頼できる団体のクレーム ルールで、サンプル クレーム#1のみを設定したのであれば、[特性のユーザー ID]を選択してください。
      サンプル クレーム ルール #2 を設定したのであれば、[件名の名前 ID­] に[ユーザ ID] を選択してください。

    8. SAML 属性SAML 名前 ID 形式: これらのどれか1つを入力する必要があります。サンプル クレーム#1のみを設定したのであれば、[SAML 特性 ]のフィールドをサンプル クレーム#1からの出力クレーム タイプで入力し、[SAML 名前 ID ]]フィールドは空白にしておいてください。
      両方のサンプル クレーム ルールを設定したのであれば、[SAML特性 ]フィールドは飛ばし、[SAML名前ID ]フィールドをサンプルクレーム ルール#2(Eメール)からの出力名前ID フォーマットで入力します。

    9. SAML の有効化] [無効 ]を選択します(これがデフォルトの値です)。設定をテスト後、この画面に戻り他のユーザーのために SAML を有効にします。

  4. [保存] をクリックします。
    [Adaptive Planning管理概要] ページがロードされます。

  5. 設定が正常に保存されたのを確認するために、[SAML SSO の設定管理 ]ページに戻ります。特に、発行元と ID プロバイダ証明書の有効性は確認します。

  6. ページの下部の[Adaptive Planning SSO URL] を検索し、ストリング値全体をコピーします。次のセクションでこの値が必要になるので、保存してください。例:

https://login.adaptiveplanning.com:443/samlsso/VkdHUKVFTkNPQURGU0MzNA--

AD FSの証明書利用者の設定の完了

このセクションでは、「Adaptive Planning 証明書利用者として設定」で開始した AD FS の証明書利用者の設定を完了します。

  1. AD FS 2.0管理コンソールに戻ります。

  2. [証明書利用者信頼] リストの [AdaptivePlanning] を右クリックし、[プロパティ] を選択します。

  3. エンド ポイント ]タブをクリックしてから[追加]をクリックします。

  4. [エンドポイント タイプ] を [SAML アサーション コンシューマ] に設定します。

  5. バインディング ]を[POST]に設定します。

  6. Adaptive Planning でMS AD FS を ID プロバイダとして設定」のステップ 6 でコピーしたAdaptive Planning SSO URL の値を [URL] フィールドに貼り付けます。

  7. OK ]をクリックし、プロパティ ダイアログの[適用 ]をクリックします。

設定をテストします。

AD FS 2.0からAdaptive PlanningへのSAML SSOログインをテストする必要があります。

  1. AD FSおよび Adaptive Planningでユーザーを選択します。€‚ Adaptive Planning ユーザーには [SAML管理者] 権限が必要です。

  2. ユーザーのE メール アドレス(またはクレーム ルールNo.1で選択されたLDAP属性)をAD FSに入力します。

  3. Adaptive Planningから、[管理 > ユーザー] ページのユーザーの [SAML Federation ID] フィールドにE メールアドレス(おそらく同じ値)を入力し、[送信] をクリックします。

  4. Active Directoryドメインの一部を成すコンピューターにそのAD FSユーザーをログインします。

  5. そのコンピュータのWebブラウザ内でhttps://login.adaptiveinsights.com/appに移動します。

  6. 設定がすべて正しければ、Adaptive Planning ウェルカムページへリダイレクトされます。ユーザー名を入力しますが、ログインページのパスワードフィールドは空白のままにします。[送信] をクリックします。

正常に設定をテストした後、ユーザーのSAML SSOを有効にします。「Adaptive Planning ですべてのユーザに対して SAML SSO を有効にする」を参照してください。

SAML SSO を使用して Excel Interface for Planning および Office Connect にログインする

SAML SSO を正常に設定して、テストが完了すると、Excel Interface for PlanningおよびOfficeConnectのユーザはログインフォームにユーザ名を入力するだけでログインできるようになります。パスワードの入力は不要です。

 

  • この記事は役に立ちましたか?