product icon

ADFS 2.0 を使用したエンタープライズサインインの設定

組織は数千人のユーザーとユーザーの製品へのアクセスを簡単に管理して、シングルサインオン (SSO) も提供できます。SSO により、ユーザーはその他のエンタープライズアプリケーションや環境と同じ ID プロバイダーを使用して LogMeIn 製品にアクセスできます。これらの機能は、エンタープライズサインインと呼ばれます。

このドキュメントでは、LogMeIn 製品へのシングルサインオン認証をサポートするための Active Directory フェデレーションサービス (ADFS) の設定について説明します。ただし、展開する前に、必ずエンタープライズサインインの詳細を確認し、初期設定を完了しておく必要があります。

ADFS 2.0 は、Windows Server 2008 および 2008 R2 用のダウンロード可能なコンポーネントです。展開は簡単ですが、特定の文字列、証明書、URL などを必要とするいくつかの設定ステップがあります。ADFS 3.0 はエンタープライズサインインにも対応しています。ADFS 3.0 にはいくつかの改良点がありますが、その中でも最大のものは、Microsoft の Internet Information Services (IIS) サーバーを別途インストールする必要がなく、展開に含まれていることです。

注: すでに ADFS 2.0 を展開している場合は、 ステップ 4 (以下に記載) から開始してください。

ステップ 1:フェデレーション サービス証明書

各 ADFS の展開は、DNS 名で識別されます (「adfs.mydomain.com」など)。始める前に、このサブジェクト名に対して発行された証明書が必要です。この識別子は外部から見える名前なので、取引先に対して会社を表すのに適したものを選ぶようにしましょう。また、この名前をサーバーのホスト名としても使用しないでください。SPN (サービスプリンシパル名) の登録に支障をきたします。

証明書の生成には様々な方法があります。ドメインに認証局がある場合は、IIS 7 管理コンソールを使用するのが最も簡単です:
  1. Web サーバー (IIS) 管理スナップインを開きます。
  2. ナビゲーションツリーでサーバーノードを選択し、サーバー証明書オプションを選択します。
  3. ドメイン証明書の作成を選択します。
  4. フェデレーション サービス名を共通名で入力します (例:adfs.mydomain.com)。
  5. Active Directory の認証局を選択します。
  6. 証明書の「フレンドリ名」を入力します (任意の識別子で構いません)。

    注: IIS コンソールを使用して証明書を生成しなかった場合は、ADFS をインストールするサーバーの IIS サービスに証明書がバインドされていることを確認してから作業を進めてください。

ステップ 2:ドメインユーザー アカウントの作成

ADFS サーバーでは、サービスを実行するためにドメインユーザー アカウントを作成する必要があります (特定のグループは必要ありません)。

ステップ 3:最初の ADFS サーバーのインストール

  1. ADFS 2.0をダウンロードし、インストーラーを実行します。インストーラーは必ずドメイン管理者として実行するようにしてください。SPN やその他のコンテナが AD に作成されます。
  2. 「サーバーの役割」で「フェデレーションサーバー」 を選択します。
  3. セットアップウィザードの最後にこのウィザードが閉じたら、ADFS 2.0 管理スナップインを開始する をオンにします。
  4. ADFS 管理スナップインで、新しいフェデレーションサービスの作成 をクリックします。
  5. 新しいフェデレーションサーバーファームを選択します。
  6. 前のステップで作成した証明書を選択します。
  7. これまでのステップで作成したドメインユーザーを選択します。

ステップ 4:証明書利用者の構成

このステップでは、システムが受け入れる SAML トークンの種類を ADFS に伝えます。

信頼関係を以下のように設定します。
  1. ADFS 2.0 MMC では、ナビゲーションツリーから「信頼関係」 > [証明書利用者信頼] を選択します。
  2. 証明書利用者信頼の追加を選択し、[開始]を選択します。
  3. 「データソースの選択」で、「オンラインまたはローカルエリアネットワークで公開されている証明書利用者に関するデータのインポート」 を選択します。
  4. 選択したオプションの下のテキストボックスに、メタデータの URL https://authentication.logmeininc.com/saml/sp を貼り付けます。
  5. OK」をクリックして、ADFS 2.0 が理解できない一部のメタデータがスキップされることを了承します。
  6. 「表示名の指定」ページで、「LogMeInTrust」と入力し、「次へ」をクリックします。
  7. 「発行承認規則の選択」 画面で、別のオプションを希望しない限り、「すべてのユーザーに対してこの証明書利用者へのアクセスを許可する」 を選択します。
  8. 残りのプロンプトを進めて、こちら側の信頼関係の構築を完了します。

2 つの要求規則の編集の追加

  1. 新しいエンドポイントエントリをクリックして、右側の 「要求規則の編集」 をクリックします。
  2. 「発行変換規則」 タブを選択し、「規則の追加」を選択します。
  3. ドロップダウンメニューを使って、「LDAP 属性を要求として送信」 を選択し、「次へ」 をクリックします。
  4. 規則には次の設定を使用します:
    • 要求規則名 -AD のEメール
    • 属性ストア -Active Directory
    • LDAP 属性 -Eメールアドレス
    • 出力方向の要求の種類 -Eメールアドレス
  5. 「完了」 をクリックします。
  6. 再度、「規則の追加」 をクリックします。
  7. ドロップダウンメニューを使用して、「入力方向の要求を変換」 を選択し、「次へ」 をクリックします。
  8. 規則には次の設定を使用します:
    • 要求規則名 – 名前 ID
    • 入力方向の要求の種類 – E メールアドレス
    • 出力方向の要求の種類 – 名前 ID
    • 出力方向の名前 ID の形式 – E メール
  9. 「すべての要求値をパススルーする」 を選択します。
  10. 「完了」 をクリックします。

構成の完了

  • 「証明書利用者信頼」 フォルダーで新しい証明書利用者信頼を右クリックして、「プロパティ」 を選択します。
  • 「詳細」で SHA-1 を選択し、「OK」 をクリックします。
  • デフォルトで ADFS が暗号化アサーションを送信しないように、Windows Power Shell コマンド プロンプトを開いて、次のコマンドを実行します。
set-ADFSRelyingPartyTrust –TargetName"< relyingPartyTrustDisplayName >" –EncryptClaims $False

ステップ 5:信頼の構成

最後の構成ステップは、新しい ADFS サービスで生成された SAML トークンを受け入れることです。

  • 組織センター の「ID プロバイダー」セクションを使用して、必要な詳細を追加します。
  • ADFS 2.0 の場合、「自動」設定を選択し、以下の URL を入力してください。「サーバー」を ADFS サーバーの外部からアクセス可能なホスト名に置き換えます: https://server/FederationMetadata/2007-06/FederationMetadata.xml

ステップ 6:単一サーバー構成のテスト

この時点で、設定をテストできるようになっているはずです。ADFS サービス ID の DNS エントリを作成し、先ほど構成した ADFS サーバ、またはネットワークロードバランサを使用している場合はそのロードバランサを指すようにする必要があります。

  • ID プロバイダーが開始するサインオンをテストするには 、カスタム IdP の URL にアクセスしてください (例:https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx) . 「次のいずれかのサイトにサインインしてください」の下のコンボボックスに証明書利用者の ID が表示されます。
  • 証明書利用者が開始するサインオンをテストするにはシングルサインオンを使用してログインするには の手順を参照してください。