ADFSをSAML IDプロバイダーとして構成する

MicrosoftのActive Directory Federation Services(ADFS)へのカスタムSAML接続を作成して、マッピングを構成する際の柔軟性を高めます。カスタム接続を作成するには、次の操作を行う必要があります。

  1. ADFSを構成します。

  2. Auth0がサービスプロバイダーとして機能するSAML接続を作成します。

  3. ADFSで証明者利用者信頼を編集します。

  4. 統合を有効にしてテストします。

ADFSを構成する

証明者利用者信頼を追加する

証明者利用者信頼を追加する方法については、https://docs.microsoft.comの「証明者利用者信頼を作成する」をお読みください。

フェデレーションメタデータを使用して作成する

フェデレーションメタデータを使用して要求対応の証明者利用者信頼を作成する(MSDN)」の手順に従ってください。ステップ4のフェデレーションメタデータアドレスに入力するURLは、次のいずれかの形式にする必要があります。

米国:https://{yourTenantName}.auth0.com/samlp/metadata?connection={connectionName}

EU:https://{yourTenantName}.eu.auth0.com/samlp/metadata?connection={connectionName}

AU:https://{yourTenantName}.au.auth0.com/samlp/metadata?connection={connectionName}

JP:https://{yourTenantName}.jp.auth0.com/samlp/metadata?connection=CONNECTION_NAME

カスタムドメイン:https://{yourTenantName}/samlp/metadata?connection={connectionName}

証明者利用者信頼の作成が完了したら、次のセクションに進みます

手動で作成する

  1. ADFSのインスタンスを起動し、[Add Relying Party Trust(証明者利用者信頼の追加)]ウィザードを開始します。

  2. [ようこそ]ページで、[Claims aware(要求に対応する)]を選択し、[開始]をクリックします。

  3. [Select Data Source(データソースの選択)]ページで[Enter data about relying party manually(証明書利用者についてのデータを手動で入力する)]を選択し、[Next(次へ)]をクリックします。

  4. [Specify Display Name(表示名の指定)]ページで、証明書利用者のわかりやすい名前(通常の形式はurn:auth0:{yourTenant}:{yourConnectionName})を入力し、[Notes(メモ)]に簡単な説明を入力します。{yourConnectionName}は一意の名前に置き換えます。これは後の手順でAuth0で接続を作成するときにも使用します。この時点で接続名が決まっていない場合は、後からいつでも編集できます。[次へ]をクリックします。

  5. [Configure Certificate(証明書の構成)]ページで[Next(次へ)]をクリックします(証明書の構成については後ほど説明します)。

  6. [Configure URL(URLの構成)]ページで、[Enable support for the SAML 2.0 WebSSO protocol(SAML 2.0 WebSSOプロトコルのサポートを有効にする)]チェックボックスを選択します。次に、ウィザードが[Relying party SAML 2.0 SSO service URL(証明書利用者SAML 2.0 SSOサービスURL)]を求めます。とりあえず、プレースホルダーURLを指定します。この手順は後でまた説明します。[次へ]をクリックします。

  7. [Configure Identifiers(識別子の構成)]ページで[Relying party trust identifier(証明者利用者信頼の識別子)]urn:auth0:{yourTenant}:{yourConnectionName}(またはウィザードの開始時に表示名として使用した値)であることを示します。[次へ]をクリックします。

  8. [Choose Access Control Policy(アクセス制御ポリシーの選択)]ページで[Permit everyone(すべてのユーザーを許可する)]を選択し、[Next(次へ)]をクリックします。

  9. [Ready to Add Trust(信頼の追加準備完了)]ページで入力した設定内容を確認し、[Next(次へ)]をクリックして情報を保存します。成功した場合は、[Finish(完了)]ページにその旨を示すメッセージが表示されます。

  10. [Configure claims issuance policy for this application(このアプリケーションの要求発行ポリシーを構成する)]チェックボックスが選択されていることを確認し、[Close(閉じる)]をクリックします。

要求発行ポリシーを編集する

[Add Relying Party Trust(証明者利用者信頼の追加)]ウィザードを閉じると、[Edit Claim Issuance Policy(要求発行ポリシーの編集)]ウィンドウが表示されます。

  1. [Add Rule...(規則の追加)]をクリックしてウィザードを起動します。

  2. [Claim rule template(要求規則テンプレート)][Send LDAP Attributes as Claims(LDAP属性を要求として送信)]を選択し、[Next(次へ)]をクリックします。

  3. [Claim rule name(要求規則名)]に「LDAP Attributes(LDAP属性)」などの値を入力します(任意の値を指定できます)。

  4. [Attribute Store(属性ストア)]として[Active Directory]を選択します。

  5. LDAP属性を次の出力方向の要求の種類にマッピングします。

    LDAP属性 送信クレーム
    E-Mail-Addresses(メールアドレス) メールアドレス
    Display-Name(表示名) Name
    User-Principal-Name(ユーザープリンシパル名) 名前ID
    Given-Name(名)
    Surname(姓)

    正しいセッション処理を確実に行うには、出力方向の要求のName IDが常に存在している必要があります。最もよく使用される要求であるため、上記の要求すべて(特にE-Mail Address)を追加することを強くお勧めします。必要に応じて、他の要求マッピングを追加できます。

  6. [Finish(終了)]をクリックします。

  7. [Edit Claim Issuance Policy(要求発行ポリシーの編集)]ウィンドウで[Apply(適用)]をクリックします。これで、このウィンドウを終了できます。

署名証明書をエクスポートする

最後に、ADFSコンソールから署名証明書をエクスポートして、Auth0にアップロードする必要があります。

  1. 左側のナビゲーションペインを使用して、[ADFS]>[Service(サービス)]>[Certificates(証明書)]に移動します。[Token-signing(トークン署名)]証明書を選択し、右クリックして[証明書の表示]を選択します。

  2. [詳細]タブで、[ファイルにコピー...]をクリックします。これで[証明書のエクスポートウィザード]が起動します。[次へ]をクリックします。

  3. 使用する形式として、[Base-64 encoded X.509 (.CER)]を選択します。[次へ]をクリックします。

  4. 証明書をエクスポートする場所を指定します。[次へ]をクリックします。

  5. 証明書の設定が正しいことを確認し、[完了]をクリックします。

Auth0をサービスプロバイダーとしてSAML接続を作成する

  1. Auth0がサービスプロバイダーとして機能するSAML接続を作成するチュートリアルに従います。プロンプトが表示されたら、ADFSからエクスポートした署名証明書をアップロードします。

    サインインURLとサインアウトURLは通常、https://your.adfs.server/adfs/lsの形式です。

  2. [Save(保存)]をクリックします。ADFSで新しい証明者利用者信頼を作成する手順が記載されたページが表示され、Auth0アカウント/接続に必要な正確な値が表示されます。これらの値をメモしてください。以下に例を示します。

    パラメーター 値の例
    Post-back URL(ポストバックURL) カスタムドメインが設定されている場合、https://<YOUR CUSTOM DOMAIN>/login/callback?connection=YOUR_CONNECTION_NAME
    カスタムドメインを使用しない場合、https://{yourDomain}/login/callback?connection=YOUR_CONNECTION_NAME
    Entity ID(エンティティID) urn:auth0:{yourTenant}:YOUR_CONNECTION_NAME

証明者利用者信頼を編集する

  1. ADFSコンソールで、左側のナビゲーションペインを使用して[ADFS]>[証明者利用者信頼]に移動します。先ほど作成した証明書利用者信頼を選択し、[Property(プロパティ)](右側のナビゲーションペイン)をクリックします。

  2. [Identifiers(識別子)]タブを選択し、前の画面の[Entity ID(エンティティID)値を[Relying Party Identifier(証明者利用者の識別子)]に入力します。[Add(追加)]をクリックして識別子をリストに追加します。

  3. [Endpoints(エンドポイント)]タブを選択し、前に指定したプレースホルダーURLを選択します。[Edit...(編集)]をクリックします。

  4. [Trusted URL(信頼済みURL)][Post-back URL(ポストバック値)]を入力します。

  5. 最後に、[Aapply(適用)]をクリックして[Properties(プロパティ)]ウィンドウを終了します。

署名要求を有効にする(任意)

任意で、ADFSサーバーへのSAML要求に署名できます。

  1. Auth0 Dashboardで、SAML-P IDプロバイダーの[Settings(設定)]ページに移動します。

  2. [Sign Requests(署名要求)]を有効にします。

  3. [Sign Requests(署名要求)]トグルのすぐ下に、証明書をダウンロードするためのリンクがあります。

  4. ADFSに戻り、証明者利用者プロパティダイアログの[Signatures(署名)]タブを使用して、ダウンロードした証明書を読み込みます。

統合を有効にしてテストする

統合をテストする前に、以下の手順を完了していることを確認してください。

  • 新しい接続をテストするために使用できるユーザーを1人、IDプロバイダーに作成します。

  • 少なくとも1つのアプリケーションに対して接続を有効にします。

  1. [Authentication(認証)]>[Enterprise(エンタープライズ)]>[SAML]に移動します。

  2. テストする接続を選択し、省略記号(...)をクリックしてから[Try(試す)]をクリックします。Microsoftのサインイン画面が表示されます。サインインして[Next(次へ)]をクリックします。

もっと詳しく