ADFS 3.0 を使用したエンタープライズ サインインの設定
組織は数千人のユーザーとユーザーの製品へのアクセスを簡単に管理して、シングル サインオン (SSO) も提供できます。SSO により、ユーザーはその他のエンタープライズ アプリケーションや環境と同じ ID プロバイダーを使用して LogMeIn 製品にアクセスできます。これらの機能は、エンタープライズ サインインと呼ばれます。
このドキュメントでは、LogMeIn 製品へのシングル サインオン認証をサポートするための Active Directory フェデレーション サービス (ADFS) の設定について説明します。ただし、実装する前に、必ずエンタープライズ サインインの詳細を確認し、初期設定を完了しておく必要があります。
ADFS 3.0 は ADFS 2.0 の機能強化版です。これは、Windows Server 2012 R2 用にダウンロード可能なコンポーネントです。3.0 の大きなメリットは、Microsoft の Internet Information Services (IIS) Server を別途インストールする必要がなく、展開に含まれることです。機能強化によって、以前のバージョンに比べて、インストールと設定が多少変化しています。
この記事では、ADFS のインストールおよび設定方法と、エンタープライズ サインインを使用して SAML 信頼関係で ADFS をセットアップする方法について説明します。この信頼関係では、ADFS が ID プロバイダーで、LogMeIn がサービス プロバイダーになります。完了すると、LogMeIn が ADFS を使用し、ADFS が提供する SAML アサーションを通じて、GoToMeeting などの製品に対してユーザーを認証できるようになります。ユーザーは、サービス プロバイダー側または ID プロバイダー側から認証を開始できます。
この記事のトピック:
要件
ADFS 3.0 の前提条件は次のとおりです。
- クライアントに対して ADFS を認証するための公的に信頼された証明書。ADFS サービス名は証明書のサブジェクト名から推定されるため、証明書のサブジェクト名が正しく割り当てられていることが重要です。
- ADFS サーバーは Active Directory ドメインのメンバーであり、ADFS の構成にはドメイン管理者アカウントが必要です。
- DNS エントリは、そのクライアントが ADFS ホスト名を解決するために必要です。
要件の完全かつ詳細なリストについては、「 Microsoft ADFS 3.0 の概要」を参照してください。
インストール
- [管理ツール] | [サーバー マネージャー] | [役割と機能の追加] を選択し、ADFS 3.0 のインストールを開始します。
- [インストールの種類の選択] ページで、[役割ベースまたは機能ベースのインストール] を選択し、[次へ] をクリックします。
- [対象サーバーの選択] ページで、ADFS サービスをインストールするサーバーを選択し、[次へ] をクリックします。
- [サーバーの役割の選択] ページで、[Active Directory フェデレーション サービス (AD FS)] を選択し、[次へ] をクリックします。
- [機能の選択] で、インストールする必要がある追加の機能がない限り、デフォルトのままにして、[次へ] をクリックします。
- [Active Directory Domain Services] ページの情報を確認し、[次へ] をクリックします。
- [インストール オプションの確認] ページで、インストールを開始します。
設定
- [通知] で、[展開後の構成…] タスクが残っていることを警告する通知が表示されます。通知を開いてリンクをクリックし、ウィザードを開始します。
- [ようこそ] ページで、[フェデレーション サーバー ファームに最初のフェデレーション サーバーを作成します] を選択します (この ADFS サーバーを追加するファームが既に存在している場合を除きます)。
- [ADFS に接続します] ページで、この設定を実行するドメイン管理者アカウントを選択します。
- [サービスのプロパティの指定] で、前提条件で作成した SSL 証明書を指定します。[フェデレーション サービス名] と [フェデレーション サービスの表示名] を設定します。
- [サービス アカウントの指定] で、ADFS が使用するアカウントを選択します。
- [構成データベースの指定] で、使用するデータベースを選択します。
- [前提条件の確認] で情報を確認し、[構成] をクリックします。
信頼関係の構築
各利用者 (ADFS と LogMeIn) を相互に信頼するように構成する必要があります。そのため、信頼関係の設定は 2 段階のプロセスになっています。
手順 1: LogMeIn SAML を信頼するように ADFS を設定する
- [管理ツール] | [ADFS 管理] を開きます。
- [ADFS 管理] で [操作] ドロップダウン メニューを使用し、[証明書利用者信頼の追加] を選択します。これにより、証明書利用者信頼の追加ウィザードが開始されます。
- ウィザードの [データ ソースの選択] ページで、[オンラインまたはローカル ネットワークで公開されている証明書利用者についてのデータをインポートする] を選択し、選択したオプションの下にあるテキストボックスに、メタデータの URL を貼り付けます。
https://authentication.logmeininc.com/saml/sp
- [次へ] をクリックします。
- [今すぐ多要素認証を構成しますか?] ページをスキップします。
- [発行承認規則の選択] 画面で、別のオプションを希望しない限り、[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択します。
- 残りのプロンプトを進めて、こちら側の信頼関係の構築を完了します。
- これで、2 つの要求規則が追加されました。
- 新しいエンドポイント エントリをクリックして、右側の [要求規則の編集] をクリックします。
- [発行変換規則] タブで、[規則の追加] をクリックします。
- ドロップダウン メニューで [LDAP 属性を要求として送信] を選択し、[次へ] をクリックします。
- 要求には次の設定を使用します。
| 要求規則名 | AD メール |
| 属性ストア | Active Directory |
| LDAP 属性 | メール アドレス |
| 出力方向の要求の種類 | メール アドレス |
- [完了] をクリックします。
- 再度、[規則の追加] をクリックします。
- ドロップダウン メニューで [入力方向の要求を変換] を選択し、[次へ] をクリックします。
- 次の設定を使用します。
| 要求規則名 | 名前 ID |
| 入力方向の要求の種類 | メール アドレス |
| 出力方向の要求の種類 | 名前 ID |
| 出力方向の名前 ID の形式 | メール |
- [すべての要求値をパス スルーする] を選択します。
- [完了] をクリックします。
- [証明書利用者信頼] フォルダーで新しい証明書利用者信頼を右クリックして、[プロパティ] を選択します。
- [詳細] で、[SHA-1] を選択し、[OK] をクリックします。
- デフォルトで ADFS が暗号化アサーションを送信しないように、Windows Power Shell コマンド プロンプトを開いて、次のコマンドを実行します。
set-ADFSRelyingPartyTrust –TargetName "
" –EncryptClaims $False
手順 2. ADFS を信頼するように LogMeIn を設定する
- 組織センターに移動して、ID プロバイダー Web フォームを使用します。
- ADFS はデフォルトでメタデータを標準 URL に公開します。https://
/federationmetadata/2007-06/federationmetadata.xml - この URL がインターネット上で一般公開されている場合、組織センターの [ID プロバイダー] タブで、[自動構成] オプションを選択し、テキストボックスに URL を貼り付けます。[保存] をクリックします。
- メタデータ URL が一般公開されていない場合、ADFS からシングルサインオン URL と証明書を収集し (署名の検証のため)、組織センターの [ID プロバイダー] タブで [手動構成] オプションを使用して送信します。
- 必要な項目を収集するには、次の手順を実行します。
- シングル サインオンのサービス URL を収集するには、[AD FS の管理] ウィンドウを開き、[エンドポイント] フォルダーを選択して、ADFS エンドポイントのリストを表示します。SAML 2.0/WS-Federation の種類のエンドポイントを探して、そのプロパティから URL を収集します。または、標準メタデータ URL にアクセスできる場合は、ブラウザーでその URL のコンテンツを表示し、XML コンテンツでシングル サインオン URL を探します。
- 署名を検証するための証明書を収集するには、AD FS の管理コンソールを開き、[証明書] フォルダーを選択して、証明書を表示します。[トークン署名証明書] を探して右クリックし、[証明書の表示] を選択します。[詳細] タブを選択し、[ファイルへコピー] オプションを選択します。証明書のエクスポート ウィザードを使用して、[Base-64 Encoded X.509 (.Cer)] を選択します。ファイルに名前を割り当てて、ファイルへの証明書のエクスポートを完了します。
- これらのフィールドを組織センターに入力し、[保存] をクリックします。
設定のテスト
ID プロバイダーが開始するサインオンをテストするには、次の URL にアクセスします。
https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx
[次のいずれかのサイトにサインインしてください] の下のコンボボックスに証明書利用者の ID が表示されます。
証明書利用者が開始するサインオンをテストするには、サインインする LogMeIn 製品の Web ログイン ページ (www.gotomeeting.com など) に移動し、サインイン ページで [会社 ID を使用] オプションをクリックします。
メール アドレスを入力します。ADFS サーバーにリダイレクトされ、ログインを求められます (または、統合 Windows 認証を使用している場合、自動的にログインする場合があります)。その後、目的の製品に直接転送されます。