SSOの設定-ADFS (SAML 2.0)

SplashtopではSAML 2.0 ID プロバイダから作成された認証情報を使用したGatewayおよび Splashtop On-Prem
アプリ
 へのログインがサポートされるようになりました。次の手順に従って、AD FSで証明書利用者信頼を
作成してください。

フェデレーションメタデータを使用して、AD FSで
証明書利用者信頼を作成する

Microsoftのドキュメントに従って証明書利用者信頼を作成するには、このサポート記事をご確認ください。
https://docs.microsoft.comwindows-server/identity/ad-fs/operations/create-a-relying-party-trust

1.サーバーマネージャーで「ツール」をクリックし、「AD FSの管理」を選択します。

2 .「操作」で「証明書利用者信頼の追加」をクリックします。

「操作」ウインドウの「証明書利用者信頼の追加」オプションを含むAD FSダイアログボックスの別のスクリーンショット

3. 「ようこそ」ページで「要求に対応する」を選択し、「開始」をクリックします。

証明書利用者信頼の追加ウィザードの「ようこそ」ページの別のスクリーンショットで、「要求に対応する」オプションが選択されています。

4. 「データソースの選択」ページで「証明書利用者に関するデータをファイルからインポートする」を
クリックします。「フェデレーションメタデータファイル」を選択し、「次へ」をクリックします。

  • フェデレーションメタデータファイルGatewayから「SSO メソッドの追加」でサービスプロバイダの
    メタデータをダウンロードします。

5. 「表示名の指定」ページで「表示名」に名前を入力し、「メモ」にこの証明書利用者信頼の説明を入力して「次へ」をクリックします。

6. 「アクセス制御ポリシーの選択」でポリシーを選択し、「次へ」をクリックします。

7. 「信頼の追加の準備完了」ページで設定を確認し、「次へ」をクリックして証明書利用者信頼情報を
保存します。

8. 「完了」ページで、「閉じる」をクリックします。
この操作により、「要求規則の編集」ダイアログボックスが自動的に表示されます。

要求を追加する

1. 作成した証明書利用者信頼を選択し、「要求発行ポリシーの編集」をクリックします。

2. 「規則の追加」をクリックし、「LDAP 属性を要求として送信」を選択してから、「次へ」を選択します。

adfs3_ja.png

3.「属性ストア」から 「アクティブディレクトリ」を選択し、「電子メールアドレス」と 
ユーザープリンシパル名」を追加します。
電子メールアドレス:電子メールアドレス
ユーザープリンシパル名:名前 ID 

adfs4_ja.png

別の要求を追加する

1. 要求規則テンプレートを使用して別の規則を追加し、 「入力方向の要求を変換する」を選択します。
adfs5_ja.png

2. 名前IDを設定します。
入力方向の要求の種類:電子メールアドレス
出力方向の要求の種類:名前 ID
送信名ID形式:電子メール

adfs6_ja.png

GatewayからSSOメソッドを申請する

1. Gatewayにログインし「管理」⇒「チームの設定」⇒「認証」⇒「シングルサインオン」のタブに移動して「SSOメソッドの追加」をクリックします。IDPタイプ として 「ADFS」を選択します。

2.Gatewayに挿入する独自のログインURLと発行者が必要です。
例:


3. 以下の手順に従って、Gatewayに挿入する X.509 情報 を取得します。

「サービス」⇒「証明書」⇒右側の操作メニューの「証明書の表示」をクリックします。(証明書と共に IIS が既にインストールされている必要があります。)
「証明書」ウインドウで「詳細」をクリックし、「ファイルにコピー(下記画像4)」をクリックして、「Base-64 encoded X.509」を選択します。

adfs9_ja.png

エクスポートした証明書を右クリックし、情報をコピーしてGatewayの対応するフィールドに貼り付けます。
adfs10_ja.png

adfs11_ja.png

4. IDP情報を手動で入力するだけでなく、XMLを使用してAD FSフェデレーションメタデータをインポートすることもできます。

 
0人中0人がこの記事が役に立ったと言っています