SplashtopではSAML 2.0 ID プロバイダから作成された認証情報を使用したGatewayおよび Splashtop On-Prem
アプリ へのログインがサポートされるようになりました。次の手順に従って、AD FSで証明書利用者信頼を
作成してください。
フェデレーションメタデータを使用して、AD FSで
証明書利用者信頼を作成する
Microsoftのドキュメントに従って証明書利用者信頼を作成するには、このサポート記事をご確認ください。
https://docs.microsoft.comwindows-server/identity/ad-fs/operations/create-a-relying-party-trust
1.サーバーマネージャーで「ツール」をクリックし、「AD FSの管理」を選択します。
2 .「操作」で「証明書利用者信頼の追加」をクリックします。
3. 「ようこそ」ページで「要求に対応する」を選択し、「開始」をクリックします。
4. 「データソースの選択」ページで「証明書利用者に関するデータをファイルからインポートする」を
クリックします。「フェデレーションメタデータファイル」を選択し、「次へ」をクリックします。
-
フェデレーションメタデータファイル:Gatewayから「SSO メソッドの追加」でサービスプロバイダの
メタデータをダウンロードします。
5. 「表示名の指定」ページで「表示名」に名前を入力し、「メモ」にこの証明書利用者信頼の説明を入力して「次へ」をクリックします。
6. 「アクセス制御ポリシーの選択」でポリシーを選択し、「次へ」をクリックします。
7. 「信頼の追加の準備完了」ページで設定を確認し、「次へ」をクリックして証明書利用者信頼情報を
保存します。
8. 「完了」ページで、「閉じる」をクリックします。
この操作により、「要求規則の編集」ダイアログボックスが自動的に表示されます。
要求を追加する
1. 作成した証明書利用者信頼を選択し、「要求発行ポリシーの編集」をクリックします。
2. 「規則の追加」をクリックし、「LDAP 属性を要求として送信」を選択してから、「次へ」を選択します。
3.「属性ストア」から 「アクティブディレクトリ」を選択し、「電子メールアドレス」と
「ユーザープリンシパル名」を追加します。
電子メールアドレス:電子メールアドレス
ユーザープリンシパル名:名前 ID
別の要求を追加する
1. 要求規則テンプレートを使用して別の規則を追加し、 「入力方向の要求を変換する」を選択します。
2. 名前IDを設定します。
入力方向の要求の種類:電子メールアドレス
出力方向の要求の種類:名前 ID
送信名ID形式:電子メール
GatewayからSSOメソッドを申請する
1. Gatewayにログインし「管理」⇒「チームの設定」⇒「認証」⇒「シングルサインオン」のタブに移動して「SSOメソッドの追加」をクリックします。IDPタイプ として 「ADFS」を選択します。
2.Gatewayに挿入する独自のログインURLと発行者が必要です。
例:
3. 以下の手順に従って、Gatewayに挿入する X.509 情報 を取得します。
「サービス」⇒「証明書」⇒右側の操作メニューの「証明書の表示」をクリックします。(証明書と共に IIS が既にインストールされている必要があります。)
「証明書」ウインドウで「詳細」をクリックし、「ファイルにコピー(下記画像4)」をクリックして、「Base-64 encoded X.509」を選択します。
エクスポートした証明書を右クリックし、情報をコピーしてGatewayの対応するフィールドに貼り付けます。
4. IDP情報を手動で入力するだけでなく、XMLを使用してAD FSフェデレーションメタデータをインポートすることもできます。