ビュー:
Active Directoryフェデレーションサービス (AD FS) 認証は、同期エージェントとAD FSサーバを使用して、ユーザの同期と認証を行います。同期エージェントはActive Directory同期を提供します。この認証方式は、極めて高いセキュリティが提供されるソリューションを希望する場合で、AD FSサーバを所有しているときに使用できます。Active Directoryのアカウントとパスワードは、TMWSaaSを経由しません。
複数のドメインがある場合、各ドメインで同じ認証方式 (直接、AD FS、エージェント、Okta、Azure AD、Google) を使用します。同じ認証方式でも設定はドメインごとに変えることができます。

手順

  1. [管理][ユーザと認証][ディレクトリサービス] に移動します。
  2. [ディレクトリサービス] 画面の上部領域で [ここ] をクリックします。
  3. 表示される画面で、[AD FS] を選択して、[保存] をクリックします。
    同期エージェントをまだインストールしていない場合、[同期エージェントのダウンロード] をクリックして、イントラネットにインストールします。詳細については、同期エージェントの設定を参照してください。
  4. 設定するドメインに対応する [ADとの連携][無効] の横にある verifyownership.bmp をクリックします。
  5. 表示される [ADとの連携設定の編集] 画面で、次のパラメータを設定します。
    項目
    設定
    ドメイン名
    このフィールドは変更できません。
    認証方式
    このフィールドは変更できません。
    ADとの連携の有効化
    必要に応じて [オン] または [オフ] をクリックします。
    同期されていないユーザを許可する
    組織のADユーザのデータがTMWSaaSと同期されていない場合にTMWSaaSを介したWebサイトへのアクセスを許可するかどうかに応じて、[オン] または [オフ] をクリックします。
    注意
    注意
    この設定は、TMWSaaSゲートウェイで [ユーザ認証][透過認証] に設定されている場合のみ有効になります。
    前回の同期
    Active Directoryユーザおよびグループの前回の同期が行われた日時。
  6. [AD FS IDプロバイダの設定] セクションを設定します。
    項目
    設定
    AD FSサービスURL
    URLを入力します。URLはAD FS IDプロバイダのXMLメタデータから取得できます。
    例: https://<adfs_domain_name>/adfs/ls/
    ログオン名属性
    TMWSaaSで、Active Directoryユーザをuserid@domainという形式に変換する際に使用する属性を入力します。
    useridの値は、Active Directory同期設定に指定された [ユーザ名属性] を使用してActive Directoryから同期されます。[ログオン名属性] は、Active Directory同期設定の [ユーザ名属性] (初期値の [sAMAccountName]) と同じ値にする必要があります。
    公開鍵証明書
    [選択] をクリックし、デジタル署名の検証に使用するAD FS IDプロバイダの公開鍵証明書を選択し、[アップロード] をクリックします。
  7. [AD FSサービスプロバイダの設定] セクションを設定します。
    項目
    設定
    署名済みSAML要求が必要
    AD FSサービスプロバイダがSAML要求の署名を必要とする場合はオンにします。
    サービスプロバイダ情報
    リンクをクリックしてサービスプロバイダのデータを表示します。
    サービスプロバイダメタデータは、AD FSサーバを設定する際に使用します。
    ADFS設定スクリプト
    リンクをクリックしてAD FSの自動設定パッケージをダウンロードします。
    AD FSを簡単に設定できるように、TMWSaaSではPowerShellスクリプトを提供しており、TMWSaaSで使用するAD FSサーバを自動的に設定できます。詳細については、AD FSの自動設定を参照してください。
  8. [保存] をクリックします。
関連情報