intra-mart Accel Platform SAML認証セットアップガイド 第6版 2022-06-01

4.3. Active Directory Federation Services

Active Directory Federation Services をIdP としてSAML 認証を行うための設定例を説明します。

4.3.1. バージョン

以下のバージョンを前提として説明します。

  • Windows Server 2012 R2

4.3.2. 前提条件

  • Active Directory Federation Services の初期設定まで完了していること

4.3.3. 設定方法

4.3.3.1. Active Directory Federation Services のメタデータをダウンロード

Active Directory Federation Services のメタデータをダウンロードします。以下のURL からメタデータを表示できます。
  • https://<server name>/federationmetadata/2007-06/federationmetadata.xml

4.3.3.2. intra-mart Accel Platform にActive Directory Federation Services を登録

IdP 新規登録画面からActive Directory Federation Services を以下の設定で新規登録します。
記載のない項目はIdP の設定に応じて変更してください。
IdP 新規登録時の設定例
状態
有効
IdPメタデータ
Active Directory Federation Services からダウンロードしたメタデータの内容
ユーザコード取得方法
要素(NameID)から取得する
シングルサインオン
有効

注意

  • Active Directory Federation Services に登録する intra-mart Accel Platform のURL はSSL(https)である必要があります。
    IdP 登録時はシステム管理者にSSL(https)でログインして登録処理を行ってください。

4.3.3.3. intra-mart Accel Platform のメタデータをダウンロード

IdP新規登録後、IdP 一覧画面からメタデータをダウンロードします。

4.3.3.4. Active Directory Federation Services にメタデータをインポート

AD FS の「信頼関係」→「証明書利用者信頼」→「証明書利用者信頼の追加」から intra-mart Accel Platform のメタデータをインポートしてください。

4.3.3.5. 要求規則の編集

メタデータインポート後、規則の追加を行います。

要求規則の設定例
要求規則テンプレート
LDAP 属性を要求として送信
属性ストア
Active Directory
LDAP属性
User-Principal-Name
出力方向の要求の種類
名前ID

注意

  • 「出力方向の要求の種類」が「名前ID」となる規則を必ず含めてください。
    レスポンスの要素が不足して認証エラーとなります。

コラム

  • 「User-Principal-Name」は「ユーザ名@ドメイン名」となります。

4.3.3.6. intra-mart Accel Platform ユーザとActive Directory Federation Services ユーザをマッピング

テナント管理者でログインしてSAMLユーザマッピング(管理)画面から intra-mart Accel Platform のユーザコードとActive Directory Federation Services のユーザ名をマッピングしてください。

4.3.4. Active Directory Federation Services のユーザで intra-mart Accel Platform にログイン

上記設定が完了すると intra-mart Accel Platform の一般ユーザログイン画面にActive Directory Federation Services のログイン画面に遷移するボタンが表示されます。
ボタンを押下してActive Directory Federation Services のログイン画面でログインすると intra-mart Accel Platform にログインします。

4.3.5. 注意事項

4.3.5.1. 使用可能な署名アルゴリズム

2016年8月現在、intra-mart Accel Platform とActive Directory Federation Services 間のSAML認証で使用可能な署名アルゴリズムを各鍵長、各バインディングごとに表した一覧は以下になります。
Active Directory Federation Services
    HTTP-REDIRECTバインディング HTTP-POSTバインディング
SHA1withDSA
1024bit
2048bit以上
×
×
×
×
SHA1withRSA
1024bit
2048bit以上
SHA256withRSA
1024bit
2048bit以上

4.3.5.2. intra-mart Accel Platform のメタデータが変更された場合

IdPの設定を更新して intra-mart Accel Platform のメタデータに変更があった場合はActive Directory Federation Services でメタデータのインポートと要求規則の編集を再度実行する必要があります。

4.3.5.3. シングルログアウトについて

Active Directory Federation Services のシングルログアウトは署名が必須となります。
IdP登録時に署名処理に「署名する」を選択して証明書を登録してください。