Active Directory Federated Services (AD FS)の設定

Windows プラットフォームで AD FS を設定するには、サービス管理に関する複雑な知識が必要です。Windows Server 2012 R2 では AD FS が機能しますが、その他のバージョンについてはテストしていません。

次の手順は例として挙げるものであり、状況によっては必要な作業が異なる可能性があることに注意してください。
  1. Windows Server で Microsoft 管理コンソール(mmc.exe)を開き、AD FS 管理ツール スナップインを追加します。[証明書利用者信頼の追加...]をクリックします。
     
    以前のサンプル アプリ

  2. [開始]をクリックします。
     
    [証明書利用者信頼の追加] > [ようこそ]

  3. [証明書利用者についてのデータを手動で入力する]ラジオ ボタンを選択して、[次へ]をクリックします。
     
    [証明書利用者信頼の追加] > [データ ソースの選択]

  4. アプリケーション名を入力して、[次へ]をクリックします。
     
    [証明書利用者信頼の追加] > [表示名の指定]

  5. [AD FS プロファイル]を選択して、[次へ]をクリックします。
     
    [証明書利用者信頼の追加] > [プロファイルの選択]

  6. 必要に応じて暗号化証明書を選択し、[次へ]をクリックします。
     
    [証明書利用者信頼の追加] > [証明書の構成]

  7. AD FS の要求を送信する必要がある URL を入力して、[次へ]をクリックします。
     
        https://YOUR SITE URL/saml/saml_login_response
     
    [証明書利用者信頼の追加] > [URL の構成]

  8. 証明書利用者信頼の識別子 の URL を入力して、[追加]をクリックします。
     
        https://YOUR SITE URL/saml/metadata
     
    [証明書利用者信頼の追加] > [識別子の構成] > 入力

  9. [次へ]をクリックします。 
    [証明書利用者信頼の追加] > [識別子の構成] > [追加]

  10. 必要に応じて、多要素認証(MFA)を構成して、[次へ]をクリックします。
     
    [証明書利用者信頼の追加] > 多要素認証

  11. 発行承認規則を構成して、[次へ]をクリックします。
     
    [証明書利用者信頼の追加] > 承認規則

  12. 新しい構成を確認して、[次へ]をクリックします。
     
    [証明書利用者信頼の追加] > 情報の確認

  13. 終了して、要求規則の編集に進みます。
     
    [証明書利用者信頼の追加] > [完了]

  14. 要求規則エディタで、[規則の追加…]をクリックします。
     
    [要求規則の編集] > 空

  15. [入力方向の要求を変換]を選択して、[次へ]をクリックします。
     
    [要求規則の編集] > [規則の追加] > [入力方向の要求を変換]

  16. 規則名(NameId など)を入力し、要求の種類として[Windows アカウント名]を選択し、出力方向の要求の種類を[名前 ID]に設定して、ID の形式として[一時 ID]を選択します。次に、[完了]をクリックします。
     
    [要求規則の編集] > 名前 ID の追加

  17. 要求規則エディタに戻って、[規則の追加…]をクリックします。
     
    [要求規則の編集] > 名前 ID

  18. [LDAP 属性を要求として送信]を選択して、[次へ]をクリックします。
     
    [要求規則の編集] > [規則の追加] > [LDAP 属性を要求として送信]

  19. 規則名(User Informations など)を入力し、属性ストアとして Active Directory を選択し、[名][姓]、および[電子メール アドレス]、[SAM-Account-Name]のそれぞれに対して firstnamelastnameemaillogin_id のマッピングを追加します。次に、[完了]をクリックします。 (重要: オートデスクでは login_id として Windows のログイン名を使用していますが、電子メールなどの別の一意な値を選択できます)

    Screen_Shot_2019-06-18_at_2.05.13_PM.png

  20. 要求規則エディタに戻って、最後にもう一度だけ[規則の追加…]をクリックします。
     
    [要求規則の編集] > ユーザ情報

  21. [カスタム規則を使用して要求を送信]を選択して、[次へ]をクリックします。
     
    [要求規則の編集] > [規則の追加] > [カスタム規則を使用して要求を送信]

  22. 規則名を入力して(access など)、カスタム規則を入力します。
        => issue(Type = "access", Value = "true");
     
    この例では、すべてのユーザに Shotgun へのアクセスが許可されます。通常は異なる規則が必要になります。
     
    次に、[完了]をクリックします。
     
    [要求規則の編集] > [アクセスの追加]

  23. これらの要求を行うと、Shotgun で必要となる最小限の情報が提供されます。[OK]をクリックします。
     
    [要求規則の編集] > アクセス

  24. これで Shotgun で SSO の設定をテストできるようになりました。groups 要求が省略されていることに注意してください。カスタム規則を設定するには、組織固有の情報が必要になります。
     
    最終的なサンプル アプリ

  25. Shotgun 管理者に SSO 設定を提供します。通常、これらは次のようになります。
        SAML 2.0 エンドポイント(HTTPS): https://YOUR_ADFS_SERVER/adfs/ls
        ID プロバイダ発行者: http://YOUR_ADFS_SERVER/adfs/services/trust
    環境によっては、URL に http または https が使用される可能性があることにご注意ください。SAML 認証テストのリンク([サイト基本設定](Site Preferences) -> [認証](Authentication)セクション)で、Shotgun の値と予測される値に不一致があるかどうかを確認できます。この不一致は簡単に修正できます。

    公開証明書用のフェデレーション メタデータは、次の URL からダウンロードできます。
        https://YOUR_ADFS_SERVER/FederationMetada/2007-06/FederationMetadata.xml
    XML ファイルから以下を抽出する必要があります。
        公開証明書: ds:Signature セクションの X509Certificate

 

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
フォローする