メインコンテンツまでスキップ

logoCorrectSize.png

Workday Adaptive Planning Knowledge Center

SAML SSO MS-AD FS 3.0

Microsoft Active Directory Federation Services 3.0 (MS AD FS 3.0)のインスタンスからSAML SSOトークンを受け入れるようAdaptive Planningを設定する手順を示します。SAMLの用語では、MS AD FSのインスタンスはIDプロバイダであり、Adaptive Planningはサービスプロバイダです。次のステップを完了すると、MS AD FS 3.0インスタンスからAdaptive PlanningへのIDプロバイダ起動SSOログインを設定できます。

前提条件

  • 以下のコンピューター:
    • Windows Server 2008 R2またはRelayStateパラメータが有効になっている。詳細については「MS AD FS 3.0 RelayState 」を参照してください。
    • ドメインに含まれています
  • 管理権限を持つAdaptive Planning科目
  • インスタンスでSAMLがプロビジョニングされたことを示すAdaptive Planningからの確認E メール
  • 認証機関によって検証されたトークン署名証明書

MS AD FSトークン署名証明書をエクスポートするには、次の手順に従います。

  1. [MS AD FS 管理コンソール] > [サービス] [証明書] に移動します。
  2. 証明書リストの[トークンの署名] を右クリックし、[証明書を表示] をクリックします。

    AD-FS_View_Certificate_3.0.png
  3. [詳細] タブに移動し、[ファイルにコピー...] をクリックします。

  4. [証明書エクスポート ウィザード] が表示されたら、[次へ] をクリックします。

  5. [DER コード化されたバイナリ X.509 (.cer)] を選択し、[次へ] をクリックします。

  6. ファイルを保存するディレクトリを選択し、名前を付け、 [次へ] をクリックします。

  7. [完了] をクリックします。

本書では、MS AD FSウェブサイトを参照するため、テキストでADFS_HOST をプレースホルダーとして使用しています。それを各自のMS AD FS 3.0のウェブサイト アドレスに置き換えてください。スクリーンショットがテスト サーバーのアドレスを表示します。

MS AD FS 3.0 RelayState

このステップに従うことによっての IDプロバイダ起動の SSO

  1. ADFS 3.0は、次のファイルをノートパッドで開きます
    %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config

  2. 次のように、[ microsoft.identityServer.web ]セクションに[ useRelayStateForIdpInitiatedSignOn ]の列を追加し、変更を保存します。 

    <microsoft.identityServer.web>   

    ...    

    <useRelayStateForIdpInitiatedSignOn enabled="true" />

     </microsoft.identityServer.web>

  3. そのファイルを保存します。

  4. Active Directory Federation Services(adfssrv)サービスを再起動します。

[証明書利用者] としてのAdaptive Planningの設定

証明書利用者は、クレームに依存するWebアプリケーションまたはWebサービスで、STS(セキュリティトークンサービス)によって発行されたトークンから抽出されます。Adaptive Planningは証明書利用者で、MS AD FS 3.0インスタンスはSTSです。

  1. MS AD FS 3.0管理コンソールへナビゲートします。

  2. [MS AD FS 3.0] をクリックし、[関係を信頼] を展開します。

  3. [証明書利用者信頼] を右クリックし、[証明書利用者信頼を追加] をクリックします。

  4. データ ソースを選択ページで、[証明書利用者のデータを手動で入力­] を選択し、[次へ] をクリックします。

    SAML_ADFS3_02_Select_Data_Source_3.0.png
  5. 表示名に適切な名前を指定し(例:AdaptivePlanning)、必要に応じてノートを入力し、[次へ] をクリックします。

  6. [AD FS プロファイル] を選択します。

  7. 証明設定ステップは飛ばします。

  8. Adaptive Planning SSO URLを設定します(プランニングの [SAML設定」画面から取得します)。

  9. [ID を設定] ページで、Planning の SAML の設定画面から取得した URL を ID として入力し、[追加] をクリックします。

  10. 次ページの[ 全てのユーザーにこの信頼できる団体へのアクセス権を許可]を選択し(もしこのアプリケーションを後に特定ユーザーに割り当てたいのであれば、[ 拒否]を選択してください)、[次へ]をクリックします。

  11. [信頼を追加する準備完了] ページで、[次へ] をクリックします。

  12. [完了] ページの、[ウィザードが終了したら、この証明書利用者信頼のクレームルールを編集ダイアログを開く] を消去し、[終了] をクリックします。

クレーム ルールの設定

いくつかのサンプルのクレームルールを作成します。SAML認証の要件を満たすためにクレームルールを変更することを選択できます。

サンプルのクレームルール#1

このクレーム ルールでは、ユーザーの[Eメールアドレス]の値は特性ステートメントとして SAML 応答で送られます。その特性が個々に識別できる限り、SAML トークンでどの LDAP 特性も使用できます。同じように、[出力クレーム タイプ]では、名前のリストまたはタイプから1つ選択してください。

  1. [証明書利用者信頼] リストの中の、[Adaptive Planning] エントリを右クリックし、[クレーム ルールを編集] を選択します。

  2. 発行変換ルール]タブの[ルールを追加]をクリックします。

  3. クレーム ルール]テンプレート ドロップダウンから、[LDAP特性をクレームとして送信 ]を選択します。

  4. [次へ] をクリックします。

  5. [クレームとして E メール] のような名前をつけます。

  6. 特性 ストア ]フィールドを[アクティブ ディレクトリー,]に、[ LDAP 特性 ]を[複数 Eメール アドレス]に、[出力クレーム タイプ ]を[Eメール アドレス]に設定します。

  7. [完了] をクリックします。

    AD-FS_Edit_Rule_3.0.png
  8. SAML 属性: クレーム ルール #1 のみ設定しているのであれば、クレーム ルール #1 から出力クレーム タイプを入力してください。
    1. 出力クレーム タイプを探すには、ADFS 管理コンソールに移動してください。

    2. >クレーム 説明サービスをクリックします

    3. 使用しているクレーム タイプを右クリックし、プロパティをクリックします。

    4. 「クレーム タイプ」の値をコピーし、SAML 特性名に貼り付けます。このようになります
      "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"または入力した可能性がある短い名前です。AD-FS_Edit_Claim_Rules_3.0.png

サンプルのクレームルール#2

このクレーム ルールでは、クレーム ルールNo.1で設定されたEメール アドレスを [名前ID] の件名として送信します。

  1. [ルールを追加] をクリックします。

  2. クレーム ルール テンプレートが使用するものとして、[ 入来クレームの変換]を選択します。

  3. 名前をつけてください。この例では、[E メールアドレスから名前 ID] を使用しています。

  4. 入来クレーム タイプは、[ Eメール アドレス]である必要があります(またはサンプル クレーム ルール#1で使用した出力クレーム タイプと一致する必要があります)。

  5. 出力クレーム タイプ ]を[ 名前ID ]に、[出力名前ID ]の形式をEメール]に設定してください。

  6. [全クレーム値をパス スルー] を選択します。

  7. [完了] をクリックします。

このルールは、urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressの形式で、ユーザの [E メールアドレス] 値を件名の [名前 ID] として送信します。

AD-FS_Edit_Rule_-_email_to_nameID_3.0.png

Adaptive PlanningでMS AD FSをIDプロバイダーとして設定

このセクションでは、MS AD FS 3.0インストールからSAML/SSOトークンを受け入れるようにAdaptive Planning インスタンスを設定します。このセクションのステップでは、上記で説明されたサンプル クレーム ルールを使用します。もし別のルールを作成したら、それに従って手順を変更する必要があります。

  1. 「ユーザー管理権限」を持つユーザーとして Adaptive Planning インスタンスにログインしてください。

  2. [管理] >[SAML SSO設定] に移動します。

  3. 次の設定を入力してください

  1. IDプロバイダ名: ここに MS AD FS 3.0 のサーバー名を入力します。

  2. ID プロバイダ エンティティ ID: FS ServerのMS AD FS 3.0管理コンソールに表示されている値を入力します。
    これを探すには、[サービス,]を右クリックし、[Federation Services プロパティを編集]をクリックして、[Federation Service ID]フィールドの値をコピーします。

    AD-FS_Federation_Service_Properties_3.0.png
  3.  ID プロバイダ シングル サインオン URL次のような URL を入力します (これは MS AD FS 側からAdaptive Planningに直接ログインするためのURLです):
    https://ADFS_HOST/adfs/ls

  4.  カスタム ログアウト URL] オプション。ユーザーがAdaptive Planningから [ログアウト] をクリックしたときに読み込むURLを入力します。
    URL を指定しない場合、Adaptive Planningログイン ページが使用されます。

  5. ID プロバイダ 証明書「前提条件」で説明されている証明書ファイルを選択します。

  6. SAML ユーザー ID タイプ:] ユーザーのフェデレーションIDを選択します。
    ユーザの E メールアドレスを使用するというクレーム ルールを設定してあり、そのアドレスがユーザのプロファイルのログイン フィールドと同じなら、[SAML ユーザ ID] に[ユーザのAdaptive Planning ユーザ名] を選択できます。

  7. SAML ユーザー ID のロケーション証明書利用者のクレーム ルールで、サンプル クレーム #1 のみを設定したのであれば、[属性のユーザ ID] を選択します。
    サンプル クレーム ルール #2 を設定したのであれば、[件名の名前 ID­] に[ユーザ ID] を選択してください。

  8. SAML 属性SAML 名前 ID 形式: これらのどれか1つを入力する必要があります。サンプル クレーム#1のみを設定したのであれば、[SAML 特性 ]のフィールドをサンプル クレーム#1からの出力クレーム タイプで入力し、[SAML 名前 ID ]]フィールドは空白にしておいてください。
    両方のサンプル クレーム ルールを設定したのであれば、[SAML特性 ] フィールドをスキップし、[SAML名前ID ] フィールドにサンプル クレームルールNo.2(Eメール)からの出力名前IDフォーマットで入力します。

  9. SAML の有効化:無効 ]を選択します(これがデフォルトの値です)。設定をテスト後、この画面に戻り他のユーザーのために SAML を有効にします。

  1. [保存] をクリックします。
    [管理概要] が表示されます。
  2. 設定が正常に保存されたのを確認するために、[SAML SSO の設定管理] ページに戻ります。IDプロバイダー証明書の発行者と有効性を確認します。
  3. ページの下部の [Adaptive PlanningSSO URL]を検索し、文字列値全体をコピーします。次のセクションでこの値が必要になるので、保存してください。

MS AD FSの信頼できる団体の設定完了

このセクションでは、「証明書利用者としてのAdaptive Planningの設定」 で開始したMS AD FS証明書利用者の設定を完了します

  1. MS AD FS 3.0管理コンソールに戻ります。

  2. [証明書利用者信頼] リストの [AdaptivePlanning] を右クリックし、[プロパティ] を選択します。

  3. [エンドポイント] タブをクリックしてから [追加] をクリックします。

  4. エンド ポイント タイプ ]を[SAML 前提条件コンシューマ]に設定します。

  5. [バインディング] を [POST] に設定します。

  6. Adaptive Planning SSO URLの値を [URL] フィールドに貼り付けます。ステップ「Adaptive PlanningでMS AD FSをIDプロバイダとして設定」でURLをコピーしたことに注意してください。

    Edit_Endpoint_3.0.png
  7. OK ]を   クリックし、プロパティダイアログの[適用 ]をクリックします。

設定のテスト

MS AD FS 3.0からAdaptive PlanningへのSAML/SSOログインをテストします。

  1. MS AD FS 側とAdaptive Planning側のユーザを選択します。Adaptive Planningユーザーには [SAML管理者] 権限が必要です。

  2. ユーザーのEメール アドレス(またはクレーム ルールNo.1で選択されたLDAP属性)をMS AD FSに入力します。

  3. Adaptive Planningから、[管理 > ユーザーの編集] ページでユーザーの [SAMLフェデレーションID] フィールドにE メールアドレス(おそらく同じ値)を入力します。

  4. Active Directoryドメインの一部を成すコンピューターにそのAD FSユーザーをログインします。

  5. そのコンピュータのWebブラウザ内で、https://login.adaptiveinsights.com/appにアクセスします。

  6. 設定がすべて正しければ、Adaptive Planningウェルカムページへリダイレクトされます。ログインページでは、ユーザー名は入力しますが、パスワードフィールドは空白のままにします。[送信] をクリックします。

正常に設定をテストした後、ユーザーの SAML SSO を有効にできます。「Adaptive Planningですべてのユーザに対してSAML SSOを有効にする」を参照してください。 

SAML SSO を使用して Excel Interface for Planning および Office Connect にログインする

SAML SSO を正常に設定して、テストが完了すると、Excel Interface for PlanningおよびOfficeConnectのユーザはログインフォームにユーザ名を入力するだけでログインできるようになります。パスワードの入力は不要です。

  • この記事は役に立ちましたか?