AD FS を使用してシングル サインオンを設定する

これらの手順は、 Microsoft の Active Directory フェデレーション サービス(AD FS)2.0 を使用していることを前提としています。それ以降のバージョンを使用している場合は、イントラネット フォーム認証が有効になっていることを確認してください([認証ポリシー] > [プライマリ認証] > [イントラネット フォーム認証])。

AD FS の設定

  1. AD FS 管理コンソールにログインします。
  2. 左側のナビゲーション ペインで、[証明書利用者信頼] を選択します。右側のナビゲーション ウィンドウで、[証明書利用者信頼の追加] をクリックします。
  3. [開始] をクリックします。
  4. [データソースの選択] で、[手動で証明書利用者についてのデータを入力する] を選択します。
  5. [表示名の指定] に、作成している証明書利用者の名前(およびメモ)を入力します(Lifesize Cloud  など)。
  6. [AD FS 2.0 プロファイル] を選択します。
  7. [サービス] > [証明書] に移動します。
  8. 右クリックして [トークン署名証明書] を選択し、[プロパティ] を開ます。証明書の詳細ペインで、[Base-64 CER ファイル] にエクスポートします。
  9. [Base-64 CER ファイル] をテキストエディタで開き、管理者コンソールのペインで中身を [X.509認証セクション] にペーストします。必ず、[-Begin-] と [-End-] セクションが含まれていることを確認してください。
  10.  Lifesize X.509 セキュリティ証明書をコピーし、lifesize.crt というファイルに保存します。

    -----BEGIN CERTIFICATE-----
    MIIEHzCCAwegAwIBAgIJAOeNkbnxVVV/MA0GCSqGSIb3DQEBBQUAMIGlMQswCQYD
    VQQGEwJJTjELMAkGA1UECAwCS0ExEjAQBgNVBAcMCUJhbmdhbG9yZTERMA8GA1UE
    CgwITGlmZXNpemUxFzAVBgNVBAsMDkNvbW11bmljYXRpb25zMRowGAYDVQQDDBFs
    aWZlc2l6ZWNsb3VkLmNvbTEtMCsGCSqGSIb3DQEJARYecHJvZHVjdG1hbmFnZW1l
    bnRAbGlmZXNpemUuY29tMB4XDTE1MDcwNjEwMTIxNloXDTI1MDcwMzEwMTIxNlow
    gaUxCzAJBgNVBAYTAklOMQswCQYDVQQIDAJLQTESMBAGA1UEBwwJQmFuZ2Fsb3Jl
    MREwDwYDVQQKDAhMaWZlc2l6ZTEXMBUGA1UECwwOQ29tbXVuaWNhdGlvbnMxGjAY
    BgNVBAMMEWxpZmVzaXplY2xvdWQuY29tMS0wKwYJKoZIhvcNAQkBFh5wcm9kdWN0
    bWFuYWdlbWVudEBsaWZlc2l6ZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
    ggEKAoIBAQDN6r/qWOveMypCpRBksGEVkLAeDcC08lQ0yxB3s3hEmAU6I7ZCr6JU
    sS1ldHXRR7ZJhKk148LOa0p5/3kbyD5p4rpG03LEVPNi43P8SA6Uct7OEu3to/aV
    jQlkLyXw9f2bX5BhdqGV7ftr8n1O9GMZAUwjd7LfrEvGrOM8R/IH60/L1SMpCyx2
    yIJ4vQ80gSonPYXvc7AnmnFjGLkYSOzBfETpxzGkgr9jqotADRjF6oEerxBhKcjQ
    VHIjQvW1Dt4jEQT1ndOzLt0Kw/MzrbxkokQ2JhGuGUWX1o/OPDrQ5nflYN9rhJgO
    SiTsB1e4T9loeZTUjDPi3y2dVWDZXM8tAgMBAAGjUDBOMB0GA1UdDgQWBBSe51Gq
    i8w/xJp/QMlTiHlY/hqwXzAfBgNVHSMEGDAWgBSe51Gqi8w/xJp/QMlTiHlY/hqw
    XzAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQB6O0X7VS9dFaDQI30N
    Mgabvc3RRkn0QiIC42uX3NB9Lt75k/KWK5keOlTci339qZHatEii6ZkGp9eLrW/9
    7sCitBrM7RXRpYf7IVGTRLb6NYrKitM5wAxpFwj18/2DZi4ugg3DaFCAUz7jMi1L
    UMeu/X59ilFn5sx7wz+J/VJAHF2W17vdpBY6qXXAdv9BwO5ii4g5W0gWAcVQKL8k
    7kz7ZEx+Fpn3HT3vB09ZWrtIZlFttc/+B7C9kAvR69H73Exg1wHAuFfXeIwC3zTs
    sV7JXD2YJOCmC9Tp8mpXEAN9nEMFKBBmVVUCHQIn0tkt+LzJjFq0AkCNg542kTWg
    vWjt
    -----END CERTIFICATE-----

  11. [AD FS] > [証明書の設定] で、[参照] ボタンを使用して証明書を見つけ、それをアップロードしてから、[次へ] をクリックします。
  12. [URL の設定] で、[SAML 2.0 WebSSO プロトコルのサポートを使用] を選択し、次の URL を入力します。

    https://login.lifesizecloud.com/ls/?acs

  13. [設定識別子] で、[利用者信頼識別子] にこの URL を入力します。  クロージング スラッシュ /: を含めていることを確認してください。

    https://login.lifesizecloud.com/ls/metadata/

  14. [追加] をクリックし、表示リストに識別子を移動してから、[次へ] をクリックします。
  15. [発行承認規則の選択] で、[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択してから、[次へ] をクリックします。
  16. [信頼の追加準備完了] で設定を確認してから、[次へ] をクリックし、AD FS 設定データベースに証明書利用者の信頼を追加します。

証明書利用者が作成および定義されます。 次に、この証明書利用者が Active Directory と通信する方法を決定する要求規則を作成します。

 

要求規則の追加

  1. [要求規則の編集] ウィンドウが開いていない場合は、作成した証明書利用者を右クリックし([信頼関係] > [証明書利用者信頼][要求規則の編集] を選択します。
  2. [発行変換規則] タブを選択してから、[規則の追加] をクリックします。
  3. [要求規則テンプレート] のドロップダウンメニューから、[LDAP 属性を要求として送信] を選択し、[次へ] をクリックします。
  4. [規則の設定] で、「AD からの電子メール属性を取得」 といった目的を説明する名前を付けます。
  5. 属性ストアのドロップダウンメニューで、[Active Directory] を選択します。
  6. ローカル の  [LDAP 属性] を、一致する  [出力方向の要求の種類] 値にマップします。 属性名や文 (、 メールアドレスなど) は、Lifesize Cloud のものと一致する必要があります。
  7. [完了] をクリックします。
  8. [要求規則の編集]  で、 [発行変換規則] タブを選択してから、 [規則の追加] をクリックします。
  9. [要求規則テンプレートの選択]  で、[カスタム規則を要求として送信]  を選択してから、[次へ] をクリックします。
  10. 名前を割り当ててから、[カスタム規則] フィールドにこの定義を入力します。

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
    => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
    Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
    = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
    = "https://login.lifesizecloud.com/ls/metadata/");

  11. [完了] をクリックしてから、[OK] または [適用] をクリックしてルールを保存します。
  12. メインの [AD FS] ウィンドウで、[証明書利用者信頼] を、左のナビゲーションから選択します。
  13. 追加した [証明書利用者信頼] を右クリックし、[プロパティ] を選択します。
  14. [署名] タブを選択してから、[追加...] をクリックします。
  15. 以前保存した lifesize.crt という証明書ファイルを見つけ、 AD FS にアップロードします。
  16. [詳細設定] タブを選択し、[セキュア ハッシュ アルゴリズム] を「SHA-1」に設定します。
  17. 完了したら、[OK] をクリックします。

Lifesize Cloud での SSO を設定、テスト、有効にする

Windows サーバーで AD FS を設定すると、XML ベースのメ​​タデータ ファイルが、以下の場所に自動的に作成されます。

https://Your_Domain_Name/FederationMetadata/2007-06/FederationMetadata.xml

このメタデータは、ユーザーが認証されると AD FS と Lifesize Cloud 間で交換され、証明書信頼の基礎を形成します。

まず、Windows サーバーで、 FederationMetadata.xml を見つけます。標準の テキストエディタで これを開きます。

  1. Lifesize Cloud Web コンソール にサインインします。
  2. プロファイル名をクリックし、[高度な設定] を選択します。
  3.  [SSO の統合] > [SSO の設定] を開き、AD FS メタデータファイルの内容を使用して、 これらのフィールドを設定します。
    • ID プロバイダ発行者:メタデータファイル から <entityID> 属性をコピーし、このフィールドに URL を 貼り付けます。
      たとえば、<entityID>  属性は、次のようになります。

      <EntityDescriptor
      xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
      entityID="http://your_domain/adfs/services/
      trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">

      このフィールドのエントリは次のとおりです。

      http://your_domain/adfs/services/trust

    • ログイン URL:メタデータファイルから <SingleSignOnService Location>  をコピーし、 この フィールドに URL を貼り付けます。
      たとえば、<SingleSignOnService Location> 属性は、次のようになります。

      <SingleSignOnService Location="https://your_domain/adfs/ls/"
      Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>

      このフィールドのエントリは次のとおりです。

      https://your_domain/adfs/ls

    • 証明書:X.509 セキュリティ 証明書を、メタデータ ファイルの<Signature> 定義から コピーしてから、それをこのフィールドに貼り付けます。

    :   <KeyDescriptor>  定義に含まれている証明書を使用しないでください。

  4.  [SAML の属性マッピング] で、次のマッピング属性について、メタデータ ファイルから URI 値を入力します。
    • :メタデータ ファイルは、 次のように名を記述する要求の種類が含まれます。

      <auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
      Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
      <auth:DisplayName>Given Name</auth:DisplayName> <auth:Description>The given name of the user</auth:Description></auth:ClaimType>

      [名] フィールドのエントリは次のとおりです。

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • :同じ 方法にしたがって、 姓の属性を見つけます。この例では、エントリは次のようになります。

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    • 電子メール:同じ方法にしたがって、メールアドレスの属性を見つけます。この例では、エントリは次のようになります。

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  5. [テスト] をクリックし、AD FS の ID プロバイダ サーバーを 使用して設定を検証します。
  6. テストが成功したら、 [SSO を使用] を選択してから、[更新] をクリックします。
  7. [保存] をクリックします。