※「HRBC」は「PORTERS」の旧名称です。画像内の「HRBC」は「PORTERS」と読み替えてください。
- 注意事項
- 事前設定
- サービスプリンシパル名の設定
- 証明書利用者信頼の設定
- 要求規則の設定
- ユーザー情報の設定
- WIA SupportedUserAgentsの設定
- Microsoft Entra ID(旧:Azure Active Directory)の設定(一部)
注意事項
下記はWindows Server 2012 R2上のActive Directory Federation Service 3.0(ADFS 3.0)をIdentity Providerとして使用する際の設定例です。
本設定例の説明は、各種用語などの関連知識を持っていることを前提としています。
尚、ご利用の認証システムによって、本設定例とは設定画面や手順が異なる場合があります。
実際の設定方法や手順は、ご利用の認証システムのヘルプをご確認ください。
- HENNGE(外部サイトに遷移します)
- CloudGateUNO(外部サイトに遷移します )
- GMOトラスト・ログイン(外部サイトに遷移します )
なお、ご利用の認証システムの詳細につきましては、ポーターズ株式会社では確認ならびにサポートはできませんので、予めご了承ください。
事前設定
本事例は、以下の環境を想定した設定例です。
Active Directory(AD)設定
- コンピュータ名
- dc
- ルートドメイン名
- example.local
- その他インストールオプション
- デフォルト
- ADインストール後の初期データ設定
- AD追加ユーザー
- example\adfsadmin … ADFSサービスアカウント
- example\adfsuser … SSOでのログインを実行するユーザー
- AD追加ユーザー
ADFS設定
- コンピューター名(※ADとADFSを同一コンピューターにインストールします)
- dc
- ドメイン名
- local
- サービスアカウント
- example\adfsadmin
- その他インストールオプション
- デフォルト
サービスプリンシパル名の設定
Windows認証に基づくSSOをADFSで提供するために、ADにサービスプリンシパル名の設定が必要です。
この設定が不足している状態で、Windows認証を試みますと401エラーが発生しSSOが機能しません。
コマンドプロンプトまたはPower Shellにて、下記のコマンドを実行してください。
setspn -a http/dc.example.local example\adfsadmin
setspn -a http/dc example\adfsadmin
証明書利用者信頼の設定
下記の通り設定してください。
- 証明書利用者の識別子
- saml.porterscloud.com
- エンドポイント
- バインディング … POST
- 証明書利用者SAML2.0 SSOサービスURL (Access Consumer Service URL)
※担当者よりお知らせしております。
以下は、標準ウィザードを利用した設定例です。ツールを開きます。
AD FS>信頼関係から証明書利用者信頼の追加を行います。
「証明書利用者についてのデータを手動で入力する」を選択し、次へ進みます。
表示名を入力し、次へ進みます。
「AD FSプロファイル」を選択し、次へ進みます。
次へ進みます。
「SAML 2.0 WebSSO プロトコルのサポートを有効にする」を選択し、ポーターズ株式会社の担当者よりお知らせしたURLを設定して次へ進みます。
証明書利用者信頼の識別子に「saml.porterscloud.com」を追加し、次へ進みます。
「現時点ではこの証明書利用者信頼に多要素認証を構成しない」を選択したまま、次へ進みます。
「すべてのユーザーに対してこの証明書利用者へのアクセスを許可する」を選択したまま、次へ進みます。
画面の説明に従って次へ進み、設定を完了します。
要求規則の設定
作成した証明書利用者信頼に対して、要求規則を設定します。
- 要求規則テンプレート
- LDAP属性を要求として送信
- 属性ストア
- Active Directory
- LDAP属性の出力方向の要求の種類への関連付け
- LDAP属性 … E-Mail-Addresses
- 出力方向の要求の種類 … 名前ID
PORTERSでは、ユーザーのメールアドレスを、ログインする際のユーザーIDとして使用しています。
PORTERS SSOで認証する場合、PORTERS内のユーザーID(メールアドレス)とIdentity Provider内のメールアドレスとを比較します。
Identity Providerにおいて認証に成功すると、その結果がレスポンスとしてPORTERSに送信されます。
この際のレスポンスは、ユーザーのメールアドレスを”NameID”の値として含む必要があります。
”NameID”の値とPORTERS内のユーザーID(メールアドレス)とが一致すると、PORTERS業務画面へのログインが成功します。
以下は、[ADFSの管理]にて標準ウィザードを利用した設定例です。
作成した証明書利用者信頼の表示名を右クリックし、要求規則の編集を開きます。
発行変換規則タブで、規則の追加ボタンをクリックします。
要求規則テンプレートを入力し、次へ進みます。
要求規則名などの必要事項を入力し、規則の追加設定を完了します。
LDAP属性の出力方向の要求の種類への関連付け
- LDAP属性 … E-Mail-Addresses
- 出力方向の要求の種類 … 名前ID
OKをクリックし、要求規則の編集を完了します。
ユーザー情報の設定
PORTERSのユーザーIDとして登録されているメールアドレスを、ADのユーザー情報に設定します。
以下は、adfsuserというユーザーにメールアドレスを設定する例です。
WIA SupportedUserAgentsの設定
PowerShellを起動後、下記コマンドにてWIASupportedUserAgentsを確認します。
必要に応じて、Windows認証によるSSOを許可するWebブラウザーのUser Agentを設定してください。
この設定に含まれないWebブラウザーではWindows認証が機能しません。
$FormatEnumerationLimit=-1
Get-ADFSProperties | Select-Object WIASupportedUserAgents | Format-Table -autosize -wrap
以下は、ChromeでのWindows認証を許可するコマンド例です。
$old=(Get-AdfsProperties).WIASupportedUserAgents
$new=$old+"Mozilla/5.0"
Set-ADFSProperties -WIASupportedUserAgents $new
前述のコマンドにてSet-ADFSPropertiesの実行結果を確認します。
Microsoft Entra ID(旧:Azure Active Directory)の設定(一部)
識別子 (エンティティ ID):saml.porterscloud.com
応答 URL:(Assertion Consumer Service (ACS) URL)ポーターズからメールでお伝えしているURL。
サインオン URL、リレー状態、ログアウトURL、ソース属性などのパラメータは設定する必要はありません。