SAMLサーバの設定

このセクションでは、IWSaaSで使用できるよう、Active Directoryフェデレーションサービス (AD FS) 2.0および3.0をSAMLサーバとして設定する方法について説明します。

  1. サービスプロバイダのメタデータをダウンロードします。
    1. [管理] > [ユーザと認証] > [Active Directory] に移動します。
    2. [オン] をクリックして、認証方式として [SAML] を選択します。
    3. [SAMLサービスプロバイダの設定] セクションで、[サービスプロバイダのメタデータを表示] をクリックします。
    4. XMLファイルをiwsspmetadata.xmlという名前で保存します。
  2. AD FSのインストール完了後、[スタート] > [すべてのプログラム] > [管理ツール] > [AD FS {バージョン番号} の管理] の順に選択します。
  3. AD FS管理コンソールで、[AD FS {バージョン番号}] > [信頼関係] の順に選択し、[証明書利用者信頼] を右クリックして [証明書利用者信頼の追加] を選択します。
  4. 証明書利用者信頼の追加ウィザードで、各画面の情報を入力します。
    1. 「データ ソースの選択」ステップで、[証明書利用者についてのデータをファイルからインポートする] を選択し、参照してiwsspmetadata.xmlを選択します。
    2. 「表示名の指定」ステップで、名前を適宜指定します (「IWSaaS」など)。
    3. 「発行承認規則の選択」ステップで、[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択し、[次へ] をクリックします。
    4. ウィザードで [次へ] をクリックして操作を続け、最後に [閉じる] をクリックします。

      [IWSaaS の要求規則の編集] ウィンドウが表示されます。

  5. [IWSaaS の要求規則の編集] ウィンドウの [発行変換規則] タブで、[規則の追加] をクリックします。
  6. 変換要求規則の追加ウィザードで、各画面の情報を入力します。
    1. 「規則の種類の選択」ステップで、 [要求規則テンプレート] に [LDAP 属性を要求として送信] を指定し、[次へ] をクリックします。
    2. 「要求規則の構成」ステップで、以下の操作を行います。
      1. [要求規則名] を指定し、[属性ストア][Active Directory] を指定します。

      2. [LDAP 属性][SAM-Account-Name] を選択し、[出力方向の要求の種類][sAMAccountName] を選択します (ドロップダウンメニューに [sAMAccountName] がない場合は、直接入力します)。

        注:

        [出力方向の要求の種類] の値は、SAML認証設定の [SAML IDプロバイダの設定] セクションの [ログイン名属性] フィールドと同じにする必要があります。

      3. [完了] をクリックし、新しい規則を追加します。

  7. [IWSaaS の要求規則の編集] ダイアログボックスで、[規則の追加] をクリックし、以下の設定で他の規則を追加します。
    • 要求規則テンプレート: カスタムの規則を使用して要求を送信

    • 要求規則名: 希望する任意の名称 "(「user-defined」など)"

    • カスタムの規則: カスタム規則の内容

      次のように入力します。

      c1:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
       && c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant"]
       => add(store = "_OpaqueIdStore", types = ("http://iwsaas/internal/sessionid"), query = "{0};{1};{2};{3};{4}",
       param = "useEntropy", param = c1.Value, param = c1.OriginalIssuer, param = "", param = c2.Value);
  8. [規則の追加] をクリックし、以下の設定で3つ目の規則を追加します。
    • 要求規則テンプレート: 入力方向の要求の変換

    • 要求規則名: 希望する任意の名称 "(「roamer」など)"

    • 受信要求の種類: 前の手順で追加した規則に指定した種類

      次のように入力します。

      http://iwsaas/internal/sessionid
    • 送信要求の種類: 名前ID

    • 送信時の名前IDの形式: 一時ID

  9. [適用] をクリックし、[OK] をクリックします。
  10. [AD FS {バージョン番号}] > [信頼関係] > [証明書利用者信頼] で、先に作成した証明書利用者信頼ファイルをダブルクリックします。
  11. [IWSaaS のプロパティ] ダイアログボックスで、[詳細設定] タブをクリックします。
  12. [セキュア ハッシュ アルゴリズム][SHA1] を指定し、[OK] をクリックします。
  13. [AD FS {バージョン番号}] > [サービス] > [証明書] の順に選択します。
  14. "トークン署名"の下の証明書を開きます。

    トークン署名証明書の選択については、https://technet.microsoft.com/en-us/library/dd145391.aspxを参照してください。

  15. [証明書] ダイアログボックスで、[詳細] タブの [ファイルにコピー] をクリックします。
  16. 証明書のエクスポートウィザードで、各画面の情報を入力します。
    1. [エクスポート ファイルの形式] ウィンドウで、[Base-64 encoded X.509 (.CER)] を選択し、[次へ] をクリックします。

    2. [エクスポートするファイル] ウィンドウで、使用する証明書ファイルを指定し、[次へ] をクリックします。

    3. 「エクスポートに成功しました」というメッセージが表示されたら、[OK] をクリックすると、トークン署名証明書がファイルに保存されます。

    4. [管理] > [ユーザと認証] > [Active Directory] > [SAML IDプロバイダの設定] > [SSLパブリック証明書] に移動し、証明書をアップロードします。

Windows 7でChromeを使用した場合、認証情報の入力を求められ、ユーザ認証が失敗することがあります。この問題を回避するには、Windows Server 2003、2003 R2、2008、または2008 R2を使用して以降の手順を実行します。

  1. [スタート] > [管理ツール]の順に選択し、[Internet Information Services (IIS) マネージャ] をクリックします。
  2. [(該当するサーバ)] > [Web サイト] > [既定の Web サイト] > [adfs] > [ls] の順に選択します。
  3. 中央のパネルで、[IIS] の下の [認証] アイコンをクリックします。
  4. [認証] パネルから、[Windows 認証] を選択し、右のパネルから [詳細設定] をクリックします。
  5. [詳細設定] ダイアログボックスで、[拡張保護][オフ] を選択し、[OK] をクリックします。
  6. 設定をテストします。

    SAML認証のテストを参照してください。

注:

SAML認証のエラーが引き続き発生する場合は、イベントログのコピーをサポート窓口に送信してください。

イベントログおよびイベントビューアについては、https://technet.microsoft.com/ja-jp/library/cc766042.aspxを参照してください。