本記事では、Active Directory Federation Services(ADFS)で新しいアプリケーションを作成し、SAML 2.0 を介して Axur プラットフォームのサービスと連携する手順を段階的に説明します。この記事では、シングルサインオン(SSO)が正しく、かつ期待通りに機能するために必要なすべての設定について解説します。
目次:
はじめに
ADFS がインストールされているサーバーおよび Active Directory Users and Computers の管理コンソールにアクセスするための必要な権限を持っていることを確認してください。
設定を行う際には、指定された箇所にコピーまたは入力するデータが正確であることを必ず確認してください。誤った情報の入力は、後でアプリケーションをテストする際に問題を引き起こす可能性があります。
グループ、ユーザー、および割り当て
AxurプラットフォームでのSSOアプリケーション作成に関するすべてのチュートリアルには、ユーザーとグループの概念があります。プロバイダーは、ユーザーの情報および所属するグループ(グループの作成はプロバイダー側で任意)を管理する場所だからです。このセクションでは、ADFSでのグループおよびユーザーの作成方法、さらにユーザーをグループに割り当てる方法について説明します。
グループの作成(任意)
このセクションは任意です。グループは、必要に応じてAxurプラットフォーム上で直接管理することも可能です。したがって、希望される場合は、「グループの作成(任意)」、「ユーザーへのグループ割り当て(任意)」、「ユーザーグループのマッピング(任意)」の各セクションをスキップしてもかまいません。
以下の画像は、Active Directoryでのグループ作成の手順を示しています。
新しいグループを追加する際も同様の手順を繰り返してください。Active Directoryで設定するグループ名(例:「Axur Viewer」)は、あくまで社内での管理用です。その後、ADFSのクレームマッピングで、これらのグループをAxurプラットフォームが期待する特定の値に関連付けます。わかりやすく説明的な名前を付けてください。
推奨されるAD名 | グループの説明 |
Axur Viewer | このグループのユーザーはAxurプラットフォームにアクセスでき、チケット情報、結果、および請求書のすべてを閲覧できますが、いかなる操作も行うことはできません。 |
Axur Analyst | このグループのユーザーはAxurプラットフォームにアクセスでき、すべての情報を閲覧できるだけでなく、請求対象外の操作(削除依頼を除く)を実行することができます。 |
Axur Expert | このグループのユーザーはAxurプラットフォームにアクセスでき、すべての情報を閲覧できるだけでなく、請求対象外の操作(削除依頼を除く)を実行することができます。 |
Axur Manager | このグループのユーザーはAxurプラットフォームにアクセスでき、すべての情報を閲覧できるだけでなく、請求対象外の操作(削除依頼を除く)を実行することができます。 |
Axur-Custom | このグループのユーザーはカスタマイズされた権限セットを持っています。作成時に管理者がそれらの権限を決定します。 |
ユーザーの作成
以下の画像は、Active Directoryでのユーザー作成手順を示しています。
ユーザー作成後、そのプロパティに移動し、メール欄が正しく入力されていることを必ず確認してください。このメールアドレスはクレームマッピングで使用されます。以下の画像をご参照ください。
ユーザーへのグループ割り当て(任意)
このセクションは任意です。グループはご希望に応じてAxurプラットフォーム内で管理することも可能です。したがって、希望される場合は、「グループの作成(任意)」、「ユーザーへのグループ割り当て(任意)」、「ユーザーグループのマッピング(任意)」の各セクションをスキップしても問題ありません。
Active Directoryで作成したグループをユーザーに割り当てるには、以下の画像の手順に従ってください。
グループ名を入力したら、「名前の確認」ボタンをクリックして、入力したグループがActive Directoryに存在するか確認してください。存在する場合、以下の例のように名前が下線付きで表示されます。
存在しない場合は、名前が見つからないことを示すダイアログボックスが表示されます。
名前が正しければ、「OK」をクリックしてください。
新しいアプリケーションの作成
ADFS管理コンソールにアクセスできる状態で、以下の画像の手順に従って、新しいアプリケーション(正式には「Relying Party Trust」)を作成してください。これは、AxurプラットフォームのアプリケーションをADFSに登録するものです。
以下は、手順の一つで必要となるAxurプラットフォームのメタデータURLです。これを使うことで、ADFSがサービスプロバイダーに関するさまざまな情報を自動的に設定できるようになります。
フィールド | 値 |
フェデレーション メタデータ アドレス(Axurプラットフォーム) |
|
アプリケーションの作成を完了するボタンをクリックした後は、次のセクションに進んでください。最後の画像で示されているオプションにチェックを入れる必要はありません。後でその設定を行います。
AxurプラットフォームのデータをADFSへ送信する
SSOを正しく機能させるためには、ADFSが通信相手を認識している必要があります。
AxurプラットフォームのSAMLエンドポイントや証明書などの情報は、前のセクション「新しいアプリケーションの作成」でメタデータをインポートした際に、すでにADFSにより読み込まれ、設定されています。
したがって、このステップはすでに完了しています。次のセクションに進んでください!
ユーザー属性のマッピング
ADFSをプロバイダーとして使用することで、すでにADFSで保存・管理されている認証情報を活用できます。ただし、これらの認証情報はプロバイダー独自の形式で保存されています。
一方、AxurプラットフォームとSAMLを通じて通信するには、ユーザーデータが標準化された形式で送信される必要があります。イメージとしては、Axurプラットフォームが常に同じ形式でユーザーのメールアドレス属性を受け取れるようにする必要がある、ということです。ADFSであれ他のプロバイダーであれ、データの保存方法は異なるため、マッピングによってこの違いを吸収するのです。
以下の画像に従って、マッピングの作成手順を進めてください。
ルール作成画面では、ユーザー属性のマッピングを追加します。以下の画像の手順に従って、お使いのマシンで設定を行ってください。各値は、指定されたとおり正確に入力されていることを確認してください。
ユーザーグループのマッピング(任意)
このセクションは任意です。グループは、必要に応じてAxurプラットフォーム内で管理することも可能です。そのため、ご希望であれば、「グループの作成(任意)」「ユーザーへのグループ割り当て(任意)」「ユーザーグループのマッピング(任意)」の各セクションをスキップしてもかまいません。
ユーザー属性と同様に、特定の条件に基づいてユーザーをまとめるグループも存在します。これらのグループは、Active Directoryの管理者によって作成され、前のセクションで説明したように、どのプロバイダーを使用していてもAxurプラットフォームに標準的な形式で送信されるよう、マッピングの設定が必要です。
このセクションでは、「グループの作成(任意)」で作成した各グループに対して、Axurプラットフォームに送信する際にどのようにADFSでグループ名をマッピングすべきかを設定していきます。以下の画像に従って、ADFSの設定画面でグループマッピングを作成してください。
次の画像では、対象のグループを検索する必要があります。グループの検索方法は、「ユーザーへのグループ割り当て」セクションで説明した手順と同様です。
「出力クレームの値」フィールドを入力する際は、以下の表に記載された値に従っていることを必ず確認してください。
希望する値 | グループ(「参照」ボタンで検索するもの) |
one-viewer | Axurビューワー |
one-practitioner | Axurアナリスト |
one-expert | Axurスペシャリスト |
one-manager | Axurマネージャー |
one-basic | Axurカスタム |
「グループの作成(任意)」セクションで作成した各Active Directoryグループに対して、上記のルールを遵守しながら新しいルールを追加してください。
ADFSプロバイダーからのデータ取得
私たちはADFSをアイデンティティプロバイダーとして使用しているため、Axurプラットフォームが通信相手を認識し、そのデータが安全で信頼できるものであることを確認するための情報を取得する必要があります。
以下の画像の手順に従って、ADFSのメタデータの場所を確認してください。
指定されたセクションで、メタデータファイルのパス(例:/FederationMetadata/2007-06/FederationMetadata.xml)を確認できます。完全なURLを作成するには、ADFSサービスのホスト名(ドメイン)を知っている必要があります。例えば、ADFSサービスが以下でアクセス可能な場合:
ADFSの完全なメタデータURLは次のようになります:
完全なメタデータURLを作成するには、ホスト名にパスを付け加えてください。URLを必ず確認し、クリックして実際にメタデータ情報にアクセスできることを確認しましょう。
このURLはAxurプラットフォームの設定で使用するので、保存しておいてください。
アプリケーションへのグループ/ユーザーの割り当て
このアプリケーションをActive Directory(AD)の全ユーザー向けに有効化しているため、特に個別の設定は必要ありません。グループを作成している場合は、マッピングによって自動的に対応されます。
また、アプリケーションの作成時に「全員を許可する」設定をしていれば、直接の割り当てについても問題なく対応できます。
よくあるエラー
サービスプロバイダー(SP)の情報(この場合はAxurプラットフォーム):該当セクションの情報が正しいか確認してください。
アイデンティティプロバイダー(IdP)の情報(この場合はADFS):コピーしたリンクが正しくメタデータファイルにアクセスできるか確認してください。
ユーザーおよびグループのマッピング情報(グループのマッピングをプロバイダー経由で作成した場合のみ):値が正しいかをチェックし、必要に応じて修正してください。
アプリケーションへのアクセス情報:グループまたはユーザーの割り当てが正しく行われているか確認してください。
以上でADFSプロバイダー側の設定は完了です。プラットフォームの設定ガイドに戻り、アプリケーションの作成を完了してください。
ご不明点があれば、いつでも [email protected] までお気軽にご連絡ください 😊