SAMLサーバの設定

このセクションでは、IWSaaSで使用できるよう、Active Directoryフェデレーションサービス (AD FS) 2.0および3.0をSAMLサーバとして設定する方法について説明します。

  1. サービスプロバイダのメタデータをダウンロードします。
    1. [管理] > [ユーザと認証] > [Active Directory] に移動します。
    2. [オン] をクリックして、認証方式として [SAML] を選択します。
    3. [SAMLサービスプロバイダの設定] セクションで、[サービスプロバイダのメタデータを表示] をクリックします。
    4. XMLファイルをiwsspmetadata.xmlという名前で保存します。
  2. AD FSのインストール完了後、[スタート] > [すべてのプログラム] > [管理ツール] > [AD FS {バージョン番号} の管理] の順に選択します。
  3. AD FS管理コンソールで、[AD FS {バージョン番号}] > [信頼関係] の順に選択し、[証明書利用者信頼] を右クリックして [証明書利用者信頼の追加] を選択します。
  4. 証明書利用者信頼の追加ウィザードで、各画面の情報を入力します。
    • 「データ ソースの選択」ステップで、[証明書利用者についてのデータをファイルからインポートする] を選択し、参照してiwsspmetadata.xmlを選択します。
    • 「表示名の指定」ステップで、名前を適宜指定します (「IWSaaS」など)。
    • 「発行承認規則の選択」ステップで、[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択し、[次へ] をクリックします。
    • ウィザードで [次へ] をクリックして操作を続け、最後に [閉じる] をクリックします。

      [IWSaaS の要求規則の編集] ウィンドウが表示されます。

  5. [IWSaaS の要求規則の編集] ウィンドウの [発行変換規則] タブで、[規則の追加] をクリックします。
  6. 変換要求規則の追加ウィザードで、各画面の情報を入力します。
    • 「規則の種類の選択」ステップで、 [要求規則テンプレート] に [LDAP 属性を要求として送信] を指定し、[次へ] をクリックします。
    • 「要求規則の構成」ステップで、以下の操作を行います。
      • [要求規則名] を指定し、[属性ストア] に [Active Directory] を指定します。
      • [LDAP 属性] に [SAM-Account-Name] を選択し、[出力方向の要求の種類] に [sAMAccountName] を選択します。
        注: [出力方向の要求の種類] の値は、SAML認証設定の [SAML IDプロバイダの設定] セクションの [ログイン名属性] フィールドと同じにする必要があります。
      • [完了] をクリックし、新しい規則を追加します。
  7. [IWSaaS の要求規則の編集] ダイアログボックスで、[規則の追加] をクリックし、以下の設定で他の規則を追加します。
    • 要求規則テンプレート: カスタムの規則を使用して要求を送信
    • 要求規則名: 希望する任意の名称 (「user-defined」など)
    • カスタムの規則: カスタム規則の内容
    c1:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
     && c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant"]
     => add(store = "_OpaqueIdStore", types = ("http://iwsaas/internal/sessionid"), query = "{0};{1};{2};{3};
    {4}", param = "useEntropy", param = c1.Value, param = c1.OriginalIssuer, param = "", param = c2.Value);
  8. [規則の追加] をクリックし、以下の設定で3つ目の規則を追加します。
    • 要求規則テンプレート: 入力方向の要求の変換
    • 要求規則名: 希望する任意の名称 (「roamer」など)
    • 受信要求の種類: http://iwsaas/internal/sessionid
    • 送信要求の種類: 名前ID
    • 送信時の名前IDの形式: 一時ID
  9. [適用] をクリックし、[OK] をクリックします。
  10. [AD FS {バージョン番号}] > [信頼関係] > [証明書利用者信頼] で、先に作成した証明書利用者信頼ファイルをダブルクリックします。
  11. [IWSaaS のプロパティ] ダイアログボックスで、[詳細設定] タブをクリックします。
  12. [セキュア ハッシュ アルゴリズム][SHA1] を指定し、[OK] をクリックします。
  13. [AD FS {バージョン番号}] > [サービス] > [証明書] の順に選択します。
  14. [トークン署名] の下の証明書を開きます。
  15. [証明書] ダイアログボックスで、[詳細] タブの [ファイルにコピー] をクリックします。
  16. 証明書のエクスポートウィザードで、各画面の情報を入力します。
    • [エクスポート ファイルの形式] ウィンドウで、[Base-64 encoded X.509 (.CER)] を選択し、[次へ] をクリックします。
    • [エクスポートするファイル] ウィンドウで、使用する証明書ファイルを指定し、[次へ] をクリックします。
    • 「エクスポートに成功しました」というメッセージが表示されたら、[OK] をクリックすると、トークン署名証明書がファイルに保存されます。

以降の手順は、Windows 7でChromeを使用する場合に実行します。この手順を実行すると、ユーザ名とパスワードの入力でメッセージが表示されてユーザ認証が失敗する問題を解決できます。

  1. [スタート] > [管理ツール] の順に選択し、[Internet Information Services (IIS) マネージャ] をクリックします。
  2. [(該当するサーバ)] > [Web サイト] > [既定の Web サイト] > [adfs] > [ls] の順に選択します。
  3. 中央のパネルで、[IIS] の下の [認証] アイコンをクリックします。
  4. [認証] パネルから、[Windows 認証] を選択し、右のパネルから [詳細設定] をクリックします。
  5. [詳細設定] ダイアログボックスで、[拡張保護][オフ] を選択し、[OK] をクリックします。
注:

SAML認証のエラーが引き続き発生する場合は、イベントログのコピーをサポート窓口に送信してください。

イベントログおよびイベントビューアについては、https://technet.microsoft.com/ja-jp/library/cc766042.aspxを参照してください。