AD FS を使用した設定

これらの手順は、Microsoft の Active Directory フェデレーションサービス(AD FS)2.0 を使用していることを前提としています。それ以降のバージョンを使用している場合は、 イントラネットフォーム認証 が有効になっていることを確認してください([認証ポリシー]>[プライマリ認証]>[イントラネットフォーム認証])。

AD FS の設定

  1. AD FS 管理コンソールにログインします。
  2. 左側のナビゲーションペインで、 [証明書利用者信頼]を選択します。右側のナビゲーションペインで、 [証明書利用者信頼の追加]をクリックします。
  3.  [開始]をクリックします。
  4. [データソースの選択]で、 [手動で証明書利用者についてのデータを入力する]を選択します。
  5. [表示名の指定]に、作成している証明書利用者の名前(およびメモ)を入力します(Lifesize Cloud  など)。
  6.  [AD FS 2.0 プロファイル]を選択します。
  7. [サービス]>[証明書]に移動します。
  8. [トークン署名証明書]を選択し、右クリックして[プロパティ]を開きます。証明書の詳細ペインで、[Base-64 CER ファイル]にエクスポートします。
  9. [Base-64 CER ファイル] をテキストエディタで開き、管理者コンソールのペインで中身を [X.509認証セクション] にペーストします。必ず、[-Begin-] と [-End-] セクションが含まれていることを確認してください。
  10.  Lifesize X.509 セキュリティ証明書をコピーし、 lifesize.crt というファイルに保存します。

    -----BEGIN CERTIFICATE-----
    MIIEHzCCAwegAwIBAgIJAOeNkbnxVVV/MA0GCSqGSIb3DQEBBQUAMIGlMQswCQYD
    VQQGEwJJTjELMAkGA1UECAwCS0ExEjAQBgNVBAcMCUJhbmdhbG9yZTERMA8GA1UE
    CgwITGlmZXNpemUxFzAVBgNVBAsMDkNvbW11bmljYXRpb25zMRowGAYDVQQDDBFs
    aWZlc2l6ZWNsb3VkLmNvbTEtMCsGCSqGSIb3DQEJARYecHJvZHVjdG1hbmFnZW1l
    bnRAbGlmZXNpemUuY29tMB4XDTE1MDcwNjEwMTIxNloXDTI1MDcwMzEwMTIxNlow
    gaUxCzAJBgNVBAYTAklOMQswCQYDVQQIDAJLQTESMBAGA1UEBwwJQmFuZ2Fsb3Jl
    MREwDwYDVQQKDAhMaWZlc2l6ZTEXMBUGA1UECwwOQ29tbXVuaWNhdGlvbnMxGjAY
    BgNVBAMMEWxpZmVzaXplY2xvdWQuY29tMS0wKwYJKoZIhvcNAQkBFh5wcm9kdWN0
    bWFuYWdlbWVudEBsaWZlc2l6ZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
    ggEKAoIBAQDN6r/qWOveMypCpRBksGEVkLAeDcC08lQ0yxB3s3hEmAU6I7ZCr6JU
    sS1ldHXRR7ZJhKk148LOa0p5/3kbyD5p4rpG03LEVPNi43P8SA6Uct7OEu3to/aV
    jQlkLyXw9f2bX5BhdqGV7ftr8n1O9GMZAUwjd7LfrEvGrOM8R/IH60/L1SMpCyx2
    yIJ4vQ80gSonPYXvc7AnmnFjGLkYSOzBfETpxzGkgr9jqotADRjF6oEerxBhKcjQ
    VHIjQvW1Dt4jEQT1ndOzLt0Kw/MzrbxkokQ2JhGuGUWX1o/OPDrQ5nflYN9rhJgO
    SiTsB1e4T9loeZTUjDPi3y2dVWDZXM8tAgMBAAGjUDBOMB0GA1UdDgQWBBSe51Gq
    i8w/xJp/QMlTiHlY/hqwXzAfBgNVHSMEGDAWgBSe51Gqi8w/xJp/QMlTiHlY/hqw
    XzAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQB6O0X7VS9dFaDQI30N
    Mgabvc3RRkn0QiIC42uX3NB9Lt75k/KWK5keOlTci339qZHatEii6ZkGp9eLrW/9
    7sCitBrM7RXRpYf7IVGTRLb6NYrKitM5wAxpFwj18/2DZi4ugg3DaFCAUz7jMi1L
    UMeu/X59ilFn5sx7wz+J/VJAHF2W17vdpBY6qXXAdv9BwO5ii4g5W0gWAcVQKL8k
    7kz7ZEx+Fpn3HT3vB09ZWrtIZlFttc/+B7C9kAvR69H73Exg1wHAuFfXeIwC3zTs
    sV7JXD2YJOCmC9Tp8mpXEAN9nEMFKBBmVVUCHQIn0tkt+LzJjFq0AkCNg542kTWg
    vWjt
    -----END CERTIFICATE-----

  11. [AD FS]>[証明書の設定]で、 [参照]ボタンを使用して証明書を見つけ、それをアップロードしてから [次へ]をクリックします。
  12. [URL の設定]で、[SAML 2.0 WebSSO プロトコルのサポートを使用]を選択し、次の URL を入力します

    https://login.lifesizecloud.com/ls/?acs

  13. [設定識別子]で、 [利用者信頼識別子] にこの URL を入力し、必ず閉じスラッシュ / を入れてください:

    https://login.lifesizecloud.com/ls/metadata/

  14.  [追加] をクリックし、表示リストに識別子を移動してから、 [次へ]をクリックします。
  15. [発行承認規則の選択]で、 [すべてのユーザーに対してこの証明書利用者へのアクセスを許可する]を選択してから、 [次へ]をクリックします。
  16. [信頼の追加準備完了]で設定を確認してから、 [次へ] をクリックし、AD FS 設定データベースに証明書利用者の信頼を追加します。

証明書利用者が作成および定義されます。次に、この証明書利用者が Active Directory と通信する方法を決定する要求規則を作成します。

 

要求規則の追加

  1.  [要求規則の編集] ウィンドウが開いていない場合は、作成した証明書利用者を右クリックし、([信頼関係]>[証明書利用者信頼]) [要求規則の編集] を選択します。
  2.  [発行変換規則] タブを選択してから、 [規則の追加]をクリックします。
  3. 要求規則テンプレートのドロップダウンメニューから [LDAP 属性を要求として送信] を選択し、 [次へ]をクリックします。
  4. [規則の設定] で、「AD からの電子メール属性を取得」といった目的を説明する名前を付けます。
  5. 属性ストアのドロップダウンメニューで [Active Directory] を選択します。
  6. ローカルの [LDAP 属性]を、一致する [出力方向の要求の種類] 値にマップします。 属性名や文 (、 メールアドレスなど) は、Lifesize Cloud のものと一致する必要があります。
  7.  [完了]をクリックします。
  8.  [要求規則の編集]で [発行変換規則] タブを選択してから 、[規則の追加]をクリックします。
  9. [要求規則テンプレートの選択] で[カスタム規則を使用して要求を送信] を 選択してから、 [次へ]をクリックします。
  10. 名前を割り当ててから、 [カスタム規則] フィールドにこの定義を入力します:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
    => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
    Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
    = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
    = "https://login.lifesizecloud.com/ls/metadata/");

  11.  [完了]をクリックしてから、 [OK] または [適用]をクリックして規則を保存します。
  12. メインの[AD FS]ウィンドウで、左のナビゲーションから[証明書利用者信頼]を選択します。
  13. 追加した[証明書利用者信頼]を右クリックし、[プロパティ]を選択します。
  14. [署名]タブを選択してから、[追加...]をクリックします。
  15. 保存しておいた証明書ファイル lifesize.crt を見つけ、AD FS にアップロードします。
  16. [詳細設定]タブを選択し、[セキュアハッシュアルゴリズム]を「SHA-1」に設定します。
  17. 完了したら [OK]をクリックします。

Lifesize アプリで SSO を設定、テスト、有効にする

Windows サーバーで AD FS を設定すると、XML ベースのメ​​タデータ ファイルが、以下の場所に自動的に作成されます。

https://Your_Domain_Name/FederationMetadata/2007-06/FederationMetadata.xml

このメタデータは、ユーザーが認証されると AD FS と Lifesize アプリ間で交換され、証明書信頼の基礎を形成します。

まず、Windows サーバーで FederationMetadata.xml を見つけます。標準 のテキストエディタでこれを開きます。

  1.  Lifesize 管理者コンソールにサインインします。
  2. プロファイル名をクリックし、[詳細設定]を選択します。
  3. [SSO の統合]>[SSO の設定]を開き、AD FS メタデータファイルの内容を使用して、 これらのフィールドを設定します。
    • ID プロバイダ発行者:メタデータファイル から <entityID> 属性をコピーし、このフィールドに URL を 貼り付けます。
      たとえば、<entityID>  属性は以下のように表示されます:

      <EntityDescriptor
      xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
      entityID="http://your_domain/adfs/services/
      trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">

      このフィールドのエントリは次のとおりです。

      http://your_domain/adfs/services/trust

    • ログイン URL:メタデータファイルから <SingleSignOnService Location>  をコピーし、 この フィールドに URL を貼り付けます。
      たとえば、<SingleSignOnService Location> 属性は以下のように表示されます:

      <SingleSignOnService Location="https://your_domain/adfs/ls/"
      Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>

      このフィールドのエントリは次のとおりです。

      https://your_domain/adfs/ls

    • 証明書:X.509 セキュリティ 証明書をメタデータファイルの<Signature> 定義から コピーし、このフィールドに貼り付けます。

    :   <KeyDescriptor>  定義に含まれている証明書を使用しないでください。

  4.  [SAML の属性マッピング]で、以下のマッピング属性についてメタデータファイルの URI 値を入力します:
    • :メタデータ ファイルは、 次のように名を記述する要求の種類が含まれます。

      <auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
      Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
      <auth:DisplayName>Given Name</auth:DisplayName> <auth:Description>The given name of the user</auth:Description></auth:ClaimType>

      [名]フィールドのエントリは以下のとおりです:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • :同じ 方法にしたがって、 姓の属性を見つけます。この例では、エントリは次のようになります:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    • 電子メール:同じ方法にしたがって、メールアドレスの属性を見つけます。この例では、エントリは次のようになります:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  5. [テスト]をクリックし、AD FS の ID プロバイダサーバーを 使用して設定を検証します。
  6. テストが成功したら、[SSO を使用]を選択してから[更新]をクリックします。
  7. [保存]をクリックします。