HRBC Single Sign-On 認証システム設定例

注意事項

Windows Server 2012 R2上のActive Directory Federation Service 3.0(ADFS 3.0)をIdentity Providerとして使用する際の設定例です。

本設定例の説明は、各種用語などの関連知識を持っていることを前提としています。

 

尚、ご利用の認証システムによって、本設定例とは設定画面や手順が異なる場合があります。

実際の設定方法や手順は、ご利用の認証システムをご確認ください。

ご利用の認証システムの詳細につきましては、ポーターズでは確認ならびにサポートはできませんので、予めご了承ください。

 

事前設定

本事例は、以下の環境を想定した設定例です。

 Active Directory(AD)設定

  • コンピュータ名
    • dc
  • ルートドメイン名
    • example.local
  • その他インストールオプション
    • デフォルト
  • ADインストール後の初期データ設定
    • AD追加ユーザー
      • example\adfsadmin … ADFSサービスアカウント
      • example\adfsuser … SSOでのログインを実行するユーザー

 ADFS設定

  • コンピューター名(※ADとADFSを同一コンピューターにインストールします)
    • dc
  • ドメイン名
    • local
  • サービスアカウント
    • example\adfsadmin
  • その他インストールオプション
    • デフォルト

 

サービスプリンシパル名の設定

Windows認証に基づくSSOをADFSで提供するために、ADにサービスプリンシパル名の設定が必要です。

この設定が不足している状態で、Windows認証を試みますと401エラーが発生しSSOが機能しません。

 

コマンドプロンプトまたはPower Shellにて、下記のコマンドを実行してください。

setspn -a http/dc.example.local example\adfsadmin

setspn -a http/dc example\adfsadmin

sso_adfs_1.png

 

証明書利用者信頼の設定

下記の通り設定してください。 

  • 証明書利用者の識別子
    • saml.porterscloud.com
  • エンドポイント
    • バインディング … POST
    • 証明書利用者SAML2.0 SSOサービスURL (HRBC Access Consumer Service URL)
      ※担当者よりお知らせしております。

 

以下は、標準ウィザードを利用した設定例です。ツールを開きます。

sso_adfs_2.png

 

AD FS>信頼関係から証明書利用者信頼の追加を行います。

sso_adfs_3.png

 

「証明書利用者についてのデータを手動で入力する」を選択し、次へ進みます。

sso_adfs_4.png

 

表示名を入力し、次へ進みます。

sso_adfs_5.png

 

「AD FSプロファイル」を選択し、次へ進みます。

sso_adfs_6.png

 

次へ進みます。

sso_adfs_7.png

 

「SAML 2.0 WebSSO プロトコルのサポートを有効にする」を選択し、ポーターズ担当者よりお知らせしたURLを設定して次へ進みます。

sso_adfs_8.png

 

証明書利用者信頼の識別子に「saml.porterscloud.com」を追加し、次へ進みます。

sso_adfs_9.png

 

「現時点ではこの証明書利用者信頼に多要素認証を構成しない」を選択したまま、次へ進みます。

sso_adfs_10.png

 

「すべてのユーザーに対してこの証明書利用者へのアクセスを許可する」を選択したまま、次へ進みます。

sso_adfs_11.png

 

画面の説明に従って次へ進み、設定を完了します。

sso_adfs_12.png

 

要求規則の設定

作成した証明書利用者信頼に対して、要求規則を設定します。

  • 要求規則テンプレート
    • LDAP属性を要求として送信
  • 属性ストア
    • Active Directory
  • LDAP属性の出力方向の要求の種類への関連付け
    • LDAP属性 … E-Mail-Addresses
    • 出力方向の要求の種類 … 名前ID

 

HRBCでは、ユーザーのメールアドレスを、ログインする際のユーザーIDとして使用しています。

HRBC SSOで認証する場合、HRBC内のユーザーID(メールアドレス)とIdentity Provider内のメールアドレスとを比較します。

Identity Providerにおいて認証に成功すると、その結果がレスポンスとしてHRBCに送信されます。

この際のレスポンスは、ユーザーのメールアドレスを”NameID”の値として含む必要があります。 

”NameID”の値とHRBC内のユーザーID(メールアドレス)とが一致すると、HRBC業務画面へのログインが成功します。

 

以下は、[ADFSの管理]にて標準ウィザードを利用した設定例です。

作成した証明書利用者信頼の表示名を右クリックし、要求規則の編集を開きます。

sso_adfs_13.png

 

発行変換規則タブで、規則の追加ボタンをクリックします。

sso_adfs_14.png

 

要求規則テンプレートを入力し、次へ進みます。

sso_adfs_15.png

 

要求規則名などの必要事項を入力し、規則の追加設定を完了します。

LDAP属性の出力方向の要求の種類への関連付け

  • LDAP属性 … E-Mail-Addresses
  • 出力方向の要求の種類 … 名前ID

sso_adfs_16.png

 

OKをクリックし、要求規則の編集を完了します。

sso_adfs_17.png

 

ユーザー情報の設定

HRBCのユーザーIDとして登録されているメールアドレスを、ADのユーザー情報に設定します。

以下は、adfsuserというユーザーにメールアドレスを設定する例です。

sso_adfs_18.png

 

WIA SupportedUserAgentsの設定

PowerShellを起動後、下記コマンドにてWIASupportedUserAgentsを確認します。

必要に応じて、Windows認証によるSSOを許可するWebブラウザーのUser Agentを設定してください。 

この設定に含まれないWebブラウザーではWindows認証が機能しません。

$FormatEnumerationLimit=-1

Get-ADFSProperties | Select-Object WIASupportedUserAgents | Format-Table -autosize -wrap

sso_adfs_19.png

 

以下は、ChromeでのWindows認証を許可するコマンド例です。

$old=(Get-AdfsProperties).WIASupportedUserAgents

$new=$old+"Mozilla/5.0"

Set-ADFSProperties -WIASupportedUserAgents $new

sso_adfs_20.png

 

前述のコマンドにてSet-ADFSPropertiesの実行結果を確認します。

sso_adfs_21.png

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています