Active Directoryフェデレーションサービス認証

Active Directoryフェデレーションサービス (AD FS) 認証は、同期エージェントとAD FSサーバを使用して、ユーザの同期と認証を行います。同期エージェントはActive Directory同期を提供します。この認証方式は、極めて高いセキュリティが提供されるソリューションを希望する場合で、AD FSサーバを所有しているときに使用できます。Active Directoryのアカウントとパスワードは、TMWSaaSを経由しません。

複数のドメインがある場合、各ドメインで同じ認証方式 (直接、AD FS、エージェント、Okta、Azure AD、Google) を使用します。同じ認証方式でも設定はドメインごとに変えることができます。

  1. [管理] > [ユーザと認証] > [ディレクトリサービス] に移動します。
  2. [ディレクトリサービス] 画面の上部領域で [ここ] をクリックします。
  3. 表示される画面で、[AD FS] を選択して、[保存] をクリックします。

    同期エージェントをまだインストールしていない場合、[同期エージェントのダウンロード] をクリックして、イントラネットにインストールします。詳細については、同期エージェントの設定を参照してください。

  4. 設定するドメインに対応する [ADとの連携][無効] の横にある をクリックします。
  5. 表示される [ADとの連携設定の編集] 画面で、次のパラメータを設定します。

    項目

    設定

    ドメイン名

    このフィールドは変更できません。

    認証方式

    このフィールドは変更できません。

    ADとの連携の有効化

    必要に応じて [オン] または [オフ] をクリックします。

    同期されていないユーザを許可する

    組織のADユーザのデータがTMWSaaSと同期されていない場合にTMWSaaSを介したWebサイトへのアクセスを許可するかどうかに応じて、[オン] または [オフ] をクリックします。

    注:

    この設定は、TMWSaaSゲートウェイで [ユーザ認証][透過認証] に設定されている場合のみ有効になります。

    前回の同期

    Active Directoryユーザおよびグループの前回の同期が行われた日時。
  6. [AD FS IDプロバイダの設定] セクションを設定します。

    項目

    設定

    AD FSサービスURL

    URLを入力します。URLはAD FS IDプロバイダのXMLメタデータから取得できます。

    例: https://<adfs_domain_name>/adfs/ls/

    ログオン名属性

    TMWSaaSで、Active Directoryユーザをuserid@domainという形式に変換する際に使用する属性を入力します。

    useridの値は、Active Directory同期設定に指定された [ユーザ名属性] を使用してActive Directoryから同期されます。[ログオン名属性] は、Active Directory同期設定の [ユーザ名属性] (初期値の [sAMAccountName]) と同じ値にする必要があります。

    公開鍵証明書

    [選択] をクリックし、デジタル署名の検証に使用するAD FS IDプロバイダの公開鍵証明書を選択し、[アップロード] をクリックします。
  7. [AD FSサービスプロバイダの設定] セクションを設定します。

    項目

    設定

    署名済みSAML要求が必要

    AD FSサービスプロバイダがSAML要求の署名を必要とする場合はオンにします。

    サービスプロバイダ情報

    リンクをクリックしてサービスプロバイダのデータを表示します。

    サービスプロバイダメタデータは、AD FSサーバを設定する際に使用します。

    ADFS設定スクリプト

    リンクをクリックしてAD FSの自動設定パッケージをダウンロードします。

    AD FSを簡単に設定できるように、TMWSaaSではPowerShellスクリプトを提供しており、TMWSaaSで使用するAD FSサーバを自動的に設定できます。詳細については、AD FSの自動設定を参照してください。
  8. [保存] をクリックします。
親トピック: ディレクトリサービス