概要
Active Directoryフェデレーションサービス(ADFS)は、組織が他のアプリでシングルサインオン(SSO)アクセスを使用できるようにするWindows Serverコンポーネントです。このガイドでは、SSOとWorkplaceを正しく統合するためにADFSで必要な設定について詳しく説明します。
WorkplaceでのSSO向けにADFSを設定する
必要条件
- SSOシステムが、Windows Serverバージョン2019または2016、Active Directoryドメインサービス(ADDS)、Active Directoryフェデレーションサービス(ADFS)v4またはv5を使用していること。
- Workplaceインスタンスでシステム管理者の役割を割り当てられていること。
- Workplaceの管理者ユーザーのメールアドレスが、対応するアクティブディレクトリの使用者のメールアドレスと同一であること。メールアドレスの大文字と小文字が一致しない場合は、この手順を正しく実行できません。
ADFSの設定に必要なパラメーターを収集する
次のWorkplaceのステップに従って、ADFSを設定するために必要なパラメーターを探します。
ADFSで証明書利用者信頼を作成する
ADFSが外部システムに対してフェデレーション認証(SSOなど)を許可する前に、証明書利用者信頼を設定する必要があります。この設定では、外部システムとともに、SSOに使用される特定のテクノロジーが特定されます。この手順により、Workplace用のSAML 2.0アサーションを生成する証明書利用者信頼が作成されます。
![](https://scontent-ord5-2.xx.fbcdn.net/v/t39.2365-6/62229395_2041671502795794_6737244266403201024_n.png?_nc_cat=103&ccb=1-7&_nc_sid=e280be&_nc_ohc=ueGbOD7-5-YQ7kNvgHTO19D&_nc_ht=scontent-ord5-2.xx&oh=00_AYCg7v269YHcfGbBUnYRY_9Yw18q93XGvlO4mcswrc598A&oe=66BEE989)
![](https://scontent-ord5-1.xx.fbcdn.net/v/t39.2365-6/62220832_831513307206701_5875249922143420416_n.png?_nc_cat=111&ccb=1-7&_nc_sid=e280be&_nc_ohc=MYTYuzKa8osQ7kNvgFIp7r8&_nc_ht=scontent-ord5-1.xx&oh=00_AYAAsldysTEc2XsxcJ3_68t_uFSabbtJROymgTZ0rgeEBQ&oe=66BED291)
![](https://scontent-ord5-1.xx.fbcdn.net/v/t39.2365-6/62244612_2859250320761210_8177329904350658560_n.png?_nc_cat=108&ccb=1-7&_nc_sid=e280be&_nc_ohc=Gr3qXzxQVR4Q7kNvgH5ifcl&_nc_ht=scontent-ord5-1.xx&oh=00_AYDGqxXVUnSaY1F0tO2AabFa6qDsuZXsQkQxMnSQtaOrRQ&oe=66BED75A)
DisplayName
をWorkplaceに設定します。[次へ]をクリックします。 ![](https://scontent-ord5-2.xx.fbcdn.net/v/t39.2365-6/62319204_410180612900758_2303565383761657856_n.png?_nc_cat=107&ccb=1-7&_nc_sid=e280be&_nc_ohc=y0RFImHj-SgQ7kNvgFmeR6q&_nc_ht=scontent-ord5-2.xx&oh=00_AYB4lcJSwQMlSRDamfVU6r2GC_SVhCuo9G7qbln_hCFqiw&oe=66BEF7F1)
![](https://scontent-ord5-2.xx.fbcdn.net/v/t39.2365-6/62367635_643463389458872_1378451895177183232_n.png?_nc_cat=103&ccb=1-7&_nc_sid=e280be&_nc_ohc=iTTdXsh5dTUQ7kNvgFRRilB&_nc_ht=scontent-ord5-2.xx&oh=00_AYCPJ857qc3mHtOfL-PDVS1E7Cxp5gLxpclCc5lfBO8EHA&oe=66BEF5F4)
![](https://scontent-ord5-2.xx.fbcdn.net/v/t39.2365-6/62346549_465315714226806_9068144960930316288_n.png?_nc_cat=103&ccb=1-7&_nc_sid=e280be&_nc_ohc=rR0JGfuzaioQ7kNvgFPCtjS&_nc_ht=scontent-ord5-2.xx&oh=00_AYClo6l4hsHkekVa4OUldVCpVUqonH52intUCNxEKKSC5Q&oe=66BEF04E)
RelyingPartyTrust Identifier
]に入力し、[追加]、[次へ]の順にクリックします。 ![](https://scontent-ord5-2.xx.fbcdn.net/v/t39.2365-6/62223817_607621749721517_4977296363629838336_n.png?_nc_cat=102&ccb=1-7&_nc_sid=e280be&_nc_ohc=SklpktU3dS4Q7kNvgH8xp7r&_nc_ht=scontent-ord5-2.xx&oh=00_AYBpDQ6lUo95azkLnLRXqnLxSwsbm9Nc_7D3giST6cSEBA&oe=66BEC67D)
![](https://scontent-ord5-2.xx.fbcdn.net/v/t39.2365-6/62324322_2231088680315031_5795450396151382016_n.png?_nc_cat=107&ccb=1-7&_nc_sid=e280be&_nc_ohc=Kb0hVc0AUNcQ7kNvgFjZxo3&_nc_ht=scontent-ord5-2.xx&oh=00_AYB9WAwLgnUWdR7pI1vAOoxx-MITPDknk93ET9ZVBr_fGQ&oe=66BEEFDF)
![](https://scontent-ord5-1.xx.fbcdn.net/v/t39.2365-6/62177613_430639410825435_975743469307822080_n.png?_nc_cat=111&ccb=1-7&_nc_sid=e280be&_nc_ohc=0hhIxkSjrwgQ7kNvgGV4oaU&_nc_ht=scontent-ord5-1.xx&oh=00_AYCd8u8xsL9uqOlWrNVzbGbt_ovd7WBfDR9BeBOmmRK9IA&oe=66BEE092)
![](https://scontent-ord5-1.xx.fbcdn.net/v/t39.2365-6/62261812_419266652258685_8776791108467294208_n.png?_nc_cat=111&ccb=1-7&_nc_sid=e280be&_nc_ohc=mqpTvMkbuHsQ7kNvgHEPJmE&_nc_ht=scontent-ord5-1.xx&oh=00_AYAuPkkAsqmqdbEXXDeWt1giqp6ENdo5LCgnUEqoRGBUgw&oe=66BED0FE)
要求規則を作成する
利用者が認証されたら、ADFS要求規則によってSAML応答でWorkplaceに送信されるデータ属性(およびそれらの属性のフォーマット)が指定されます。Workplaceでは利用者のメールアドレスを含む名前ID要素が必要であるため、次の例では2つの規則を含む設定を示しています。
- 最初の規則では、利用者のユーザープリンシパル名がActive Directoryから抽出されます(利用者のWindowsアカウント名など)。
- 2つ目の規則では、ユーザープリンシパル名が名前IDとメールのフォーマットに変換されます。
要求規則の作成準備をする
ADFSを設定し、WorkplaceのSSOを設定する2つの要求規則を作成します。
![](https://scontent-ord5-1.xx.fbcdn.net/v/t39.2365-6/62447976_2297562497128386_7847139986934595584_n.png?_nc_cat=101&ccb=1-7&_nc_sid=e280be&_nc_ohc=JmDaRupsVTQQ7kNvgEAi8zz&_nc_ht=scontent-ord5-1.xx&oh=00_AYDQfdiumRLcTR26sQ8J2in45n6Ql5hr8MShwhCFn8lLyw&oe=66BECCEB)
最初の規則を作成する
利用者が認証されたときにActive Directoryからメールアドレスフィールドを取得する、最初のルールを作成します。
![](https://scontent-ord5-1.xx.fbcdn.net/v/t39.2365-6/62346920_1422990001174176_1231333395385024512_n.png?_nc_cat=101&ccb=1-7&_nc_sid=e280be&_nc_ohc=KqUUROzah7IQ7kNvgHiwrLI&_nc_ht=scontent-ord5-1.xx&oh=00_AYCWwI3IMLG4LkMrB2ZF-oR9pKV-l_Ilh7nVnzuJj2kbBQ&oe=66BEE41F)
![](https://scontent-ord5-1.xx.fbcdn.net/v/t39.2365-6/62227756_1248555171984422_5276619489255882752_n.png?_nc_cat=109&ccb=1-7&_nc_sid=e280be&_nc_ohc=UUtuD5qTSTMQ7kNvgFzM92x&_nc_ht=scontent-ord5-1.xx&oh=00_AYA-gL6-XnB_okUxlhXX7ZyhF7INuwHDKzDTYbd3El7PoQ&oe=66BEF53A)
2つ目の規則を作成する
メールアドレスをSAML応答のName Id
アサーションにマッピングするための、2つ目の規則を作成します。
![](https://scontent-ord5-1.xx.fbcdn.net/v/t39.2365-6/62388837_2290477951035089_7632790873704497152_n.png?_nc_cat=111&ccb=1-7&_nc_sid=e280be&_nc_ohc=zSJTwShYR6QQ7kNvgGaGyWx&_nc_ht=scontent-ord5-1.xx&oh=00_AYCtBy8oMFLDQ2NE7ahWqp-hFDWkmMeAfmKkUaF9B5BvtQ&oe=66BEF772)
![](https://scontent-ord5-2.xx.fbcdn.net/v/t39.2365-6/62244619_473873959830476_8815199600836083712_n.png?_nc_cat=107&ccb=1-7&_nc_sid=e280be&_nc_ohc=DM15E0a2_K4Q7kNvgGwZRBa&_nc_ht=scontent-ord5-2.xx&oh=00_AYC7B4kDG_1dqEdJgYiG9sPKebm6mjQCzU11zZdmT_c-ww&oe=66BEF340)
![](https://scontent-ord5-2.xx.fbcdn.net/v/t39.2365-6/62309791_2208189192628391_8036894794577870848_n.png?_nc_cat=110&ccb=1-7&_nc_sid=e280be&_nc_ohc=eVq-_arXrNUQ7kNvgGZaNNZ&_nc_ht=scontent-ord5-2.xx&oh=00_AYCxKoRsi7jiTtX7Vclenxn0rRTdNH9kRKUltOho2TXYiQ&oe=66BEC16C)
Workplaceの設定に必要なADFSパラメーターを収集する
設定を完了するには、Workplaceで設定しなければならないいくつかのパラメーターを取得する必要があります。
https://:{your-fully-qualified-:active-directory-domain}:/FederationMetadata/:2007-06/:FederationMetadata.xml
EntityDescriptor
要素のentityID
属性内にあります。Binding type
がurn::oasis::names::tc::SAML:2.0::bindings::HTTP-POST
に設定されたAssertionConsumerService
要素のLocation
属性内にあります。証明書をX.509フォーマットに変換する
アイデンティティプロバイダーの設定が終わったら、次の手順を実行します。
![](https://scontent-ord5-2.xx.fbcdn.net/v/t39.2365-6/62392186_348010485862926_265693389964443648_n.png?_nc_cat=105&ccb=1-7&_nc_sid=e280be&_nc_ohc=HKs--p0Y3LoQ7kNvgGCRzEu&_nc_ht=scontent-ord5-2.xx&oh=00_AYATD8L1aNTIVXQEFN0UlfLh7awJfFg-PDixeJDSCUYwog&oe=66BEE08C)
![](https://scontent-ord5-2.xx.fbcdn.net/v/t39.2365-6/62219573_463396644424496_9062736175470477312_n.png?_nc_cat=100&ccb=1-7&_nc_sid=e280be&_nc_ohc=IvfajF0_nX0Q7kNvgHZ4M5-&_nc_ht=scontent-ord5-2.xx&oh=00_AYDo_HRCx9oooFp4CgBde5ovSJdHDXUc05UhJyTQy7WH9Q&oe=66BEF20F)
.CER
)]を選択します。 ![](https://scontent-ord5-2.xx.fbcdn.net/v/t39.2365-6/62296914_2917242548316431_1246945494131802112_n.png?_nc_cat=105&ccb=1-7&_nc_sid=e280be&_nc_ohc=KeCF25eNAEQQ7kNvgGe5C2b&_nc_ht=scontent-ord5-2.xx&oh=00_AYAl_spOM7a63m5vLhuQe8AXXMbz5KyeCk7FpHyGKl0Jew&oe=66BEEC38)
![](https://scontent-ord5-2.xx.fbcdn.net/v/t39.2365-6/62325639_2450692261648357_1832847894516858880_n.png?_nc_cat=110&ccb=1-7&_nc_sid=e280be&_nc_ohc=5cnSaUlC9JoQ7kNvgEzB2RH&_nc_ht=scontent-ord5-2.xx&oh=00_AYDR5HM4VUG57bFu4c0H8SjGKMZkT7U7-Tkfmj_bfZNiMg&oe=66BEE5E3)
Workplace SSO設定を完了する
Workplace SSO設定を完了するには、SAML URL、SAML発行元URL、エクスポートした証明書ファイルが必要です。「シングルサインオン(SSO)」のガイドに従ってください。