> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.com/llms.txt
> Use this file to discover all available pages before exploring further.

# ADFSをSAML IDプロバイダーとして構成する

> Auth0でADFSに対してSAML接続を構成する方法を説明します。

MicrosoftのActive Directory Federation Services（ADFS）へのカスタム<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-1" href="/docs/ja-jp/glossary?term=security-assertion-markup-language" tip="Security Assertion Markup Language（SAML）: パスワードなしに二者間で認証情報を交換できる標準化プロトコル。" cta="用語集の表示">SAML</Tooltip>接続を作成して、マッピングを構成する際の柔軟性を高めます。カスタム接続を作成するには、次の操作を行う必要があります。

1. ADFSを構成します。
2. Auth0がサービスプロバイダーとして機能するSAML接続を作成します。
3. ADFSで証明者利用者信頼を編集します。
4. 統合を有効にしてテストします。

## ADFSを構成する

### 証明者利用者信頼を追加する

証明者利用者信頼を追加する方法については、[https://docs.microsoft.com](https://docs.microsoft.com)の「[証明者利用者信頼を作成する](https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/create-a-relying-party-trust)」をお読みください。

#### フェデレーションメタデータを使用して作成する

「[フェデレーションメタデータを使用して要求対応の証明者利用者信頼を作成する（MSDN）](https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/create-a-relying-party-trust#to-create-a-claims-aware-relying-party-trust-using-federation-metadata)」の手順に従ってください。ステップ4の **フェデレーションメタデータアドレス** に入力するURLは、次のいずれかの形式にする必要があります。

米国：`https://{yourTenantName}.auth0.com/samlp/metadata?connection={connectionName}`

EU：`https://{yourTenantName}.eu.auth0.com/samlp/metadata?connection={connectionName}`

AU:`https://{yourTenantName}.au.auth0.com/samlp/metadata?connection={connectionName}`

JP：`https://{yourTenantName}.jp.auth0.com/samlp/metadata?connection=CONNECTION_NAME`

カスタムドメイン：`https://{yourTenantName}/samlp/metadata?connection={connectionName}`

証明者利用者信頼の作成が完了したら、[次のセクションに進みます](#edit-claim-issuance-policy)。

#### 手動で作成する

1. ADFSのインスタンスを起動し、 **［Add Relying Party Trust（証明者利用者信頼の追加）］** ウィザードを開始します。
2. **［ようこそ］** ページで、 **［Claims aware（要求に対応する）］** を選択し、 **［開始］** をクリックします。
3. **［Select Data Source（データソースの選択）］** ページで **［Enter data about relying party manually（証明書利用者についてのデータを手動で入力する）］** を選択し、 **［Next（次へ）］** をクリックします。
4. **［Specify Display Name（表示名の指定）］** ページで、証明書利用者のわかりやすい名前（通常の形式は`urn:auth0:{yourTenant}:{yourConnectionName}`）を入力し、 **［Notes（メモ）］** に簡単な説明を入力します。`{yourConnectionName}`は一意の名前に置き換えます。これは後の手順でAuth0で接続を作成するときにも使用します。この時点で接続名が決まっていない場合は、後からいつでも編集できます。 **［次へ］** をクリックします。
5. **［Configure Certificate（証明書の構成）］** ページで **［Next（次へ）］** をクリックします（証明書の構成については後ほど説明します）。
6. **［Configure URL（URLの構成）］** ページで、 **［Enable support for the SAML 2.0 WebSSO protocol（SAML 2.0 WebSSOプロトコルのサポートを有効にする）］** チェックボックスを選択します。次に、ウィザードが **［Relying party SAML 2.0 SSO service URL（証明書利用者SAML 2.0 SSOサービスURL）］** を求めます。とりあえず、プレースホルダーURLを指定します。この手順は後でまた説明します。 **［次へ］** をクリックします。
7. **［Configure Identifiers（識別子の構成）］** ページで **［Relying party trust identifier（証明者利用者信頼の識別子）］** が`urn:auth0:{yourTenant}:{yourConnectionName}`（またはウィザードの開始時に表示名として使用した値）であることを示します。 **［次へ］** をクリックします。
8. **［Choose Access Control Policy（アクセス制御ポリシーの選択）］** ページで **［Permit everyone（すべてのユーザーを許可する）］** を選択し、 **［Next（次へ）］** をクリックします。
9. **［Ready to Add Trust（信頼の追加準備完了）］** ページで入力した設定内容を確認し、 **［Next（次へ）］** をクリックして情報を保存します。成功した場合は、 **［Finish（完了）］** ページにその旨を示すメッセージが表示されます。
10. **［Configure claims issuance policy for this application（このアプリケーションの要求発行ポリシーを構成する）］** チェックボックスが選択されていることを確認し、 **［Close（閉じる）］** をクリックします。

### 要求発行ポリシーを編集する

**［Add <Tooltip data-tooltip-id="react-containers-DefinitionTooltip-0" href="/docs/ja-jp/glossary?term=relying-party" tip="証明書利用者: ユーザーを認証するためにサードパーティーのIDプロバイダーに依存するエンティティ（サービスやアプリケーションなど）。" cta="用語集の表示">Relying Party</Tooltip> Trust（証明者利用者信頼の追加）］** ウィザードを閉じると、 **［Edit Claim Issuance Policy（要求発行ポリシーの編集）］** ウィンドウが表示されます。

1. **［Add Rule...（規則の追加）］** をクリックしてウィザードを起動します。
2. **［Claim rule template（要求規則テンプレート）］** で **［Send LDAP Attributes as Claims（LDAP属性を要求として送信）］** を選択し、 **［Next（次へ）］** をクリックします。
3. **［Claim rule name（要求規則名）］** に「LDAP Attributes（LDAP属性）」などの値を入力します（任意の値を指定できます）。
4. **［Attribute Store（属性ストア）］** として **［Active Directory］** を選択します。
5. LDAP属性を次の出力方向の要求の種類にマッピングします。

   | LDAP属性                           | 送信クレーム  |
   | -------------------------------- | ------- |
   | E-Mail-Addresses（メールアドレス）        | メールアドレス |
   | Display-Name（表示名）                | Name    |
   | User-Principal-Name（ユーザープリンシパル名） | 名前ID    |
   | Given-Name（名）                    | 名       |
   | Surname（姓）                       | 姓       |

   正しいセッション処理を確実に行うには、出力方向の要求の`Name ID`が常に存在している必要があります。最もよく使用される要求であるため、上記の要求すべて（特に`E-Mail Address`）を追加することを強くお勧めします。必要に応じて、他の要求マッピングを追加できます。
6. ［Finish（終了）］をクリックします。
7. **［Edit Claim Issuance Policy（要求発行ポリシーの編集）］** ウィンドウで **［Apply（適用）］** をクリックします。これで、このウィンドウを終了できます。

### 署名証明書をエクスポートする

最後に、ADFSコンソールから署名証明書をエクスポートして、Auth0にアップロードする必要があります。

1. 左側のナビゲーションペインを使用して、 **［ADFS］>［Service（サービス）］>［Certificates（証明書）］** に移動します。 **［Token-signing（トークン署名）］** 証明書を選択し、右クリックして **［証明書の表示］** を選択します。
2. **［詳細］** タブで、 **［ファイルにコピー...］** をクリックします。これで **［証明書のエクスポートウィザード］** が起動します。 **［次へ］** をクリックします。
3. 使用する形式として、 **［Base-64 encoded X.509 (.CER)］** を選択します。 **［次へ］** をクリックします。
4. 証明書をエクスポートする場所を指定します。 **［次へ］** をクリックします。
5. 証明書の設定が正しいことを確認し、 **［完了］** をクリックします。

## Auth0をサービスプロバイダーとしてSAML接続を作成する

1. [Auth0がサービスプロバイダーとして機能する](/docs/ja-jp/authenticate/protocols/saml/saml-sso-integrations/configure-auth0-saml-service-provider)SAML接続を作成するチュートリアルに従います。プロンプトが表示されたら、ADFSからエクスポートした署名証明書をアップロードします。

   サインインURLとサインアウトURLは通常、`https://your.adfs.server/adfs/ls`の形式です。
2. **［Save（保存）］** をクリックします。ADFSで新しい証明者利用者信頼を作成する手順が記載されたページが表示され、Auth0アカウント/接続に必要な正確な値が表示されます。これらの値をメモしてください。以下に例を示します。

   | パラメーター                   | 値の例                                                                                                    |
   | ------------------------ | ------------------------------------------------------------------------------------------------------ |
   | Post-back URL（ポストバックURL） | カスタムドメインが設定されている場合、`https://&lt;YOUR CUSTOM DOMAIN&gt;/login/callback?connection=YOUR_CONNECTION_NAME` |
   |                          | カスタムドメインを使用しない場合、`https://{yourDomain}/login/callback?connection=YOUR_CONNECTION_NAME`                 |
   | Entity ID（エンティティID）      | `urn:auth0:{yourTenant}:YOUR_CONNECTION_NAME`                                                          |

## 証明者利用者信頼を編集する

1. ADFSコンソールで、左側のナビゲーションペインを使用して **［ADFS］>［証明者利用者信頼］** に移動します。先ほど作成した証明書利用者信頼を選択し、 **［Property（プロパティ）］** （右側のナビゲーションペイン）をクリックします。
2. **［Identifiers（識別子）］** タブを選択し、前の画面の **［Entity ID（エンティティID）** 値を **［Relying Party Identifier（証明者利用者の識別子）］** に入力します。 **［Add（追加）］** をクリックして識別子をリストに追加します。
3. **［Endpoints（エンドポイント）］** タブを選択し、前に指定したプレースホルダーURLを選択します。 **［Edit...（編集）］** をクリックします。
4. **［Trusted　URL（信頼済みURL）］** に **［Post-back URL（ポストバック値）］** を入力します。
5. 最後に、 **［Aapply（適用）］** をクリックして［Properties（プロパティ）］ウィンドウを終了します。

## 署名要求を有効にする（任意）

任意で、ADFSサーバーへのSAML要求に署名できます。

1. Auth0 Dashboardで、SAML-P IDプロバイダーの **［Settings（設定）］** ページに移動します。
2. **［Sign Requests（署名要求）］** を有効にします。
3. **［Sign Requests（署名要求）］** トグルのすぐ下に、証明書をダウンロードするためのリンクがあります。
4. ADFSに戻り、証明者利用者プロパティダイアログの **［Signatures（署名）］** タブを使用して、ダウンロードした証明書を読み込みます。

## 統合を有効にしてテストする

統合をテストする前に、以下の手順を完了していることを確認してください。

* 新しい接続をテストするために使用できるユーザーを1人、IDプロバイダーに作成します。
* 少なくとも1つのアプリケーションに対して接続を有効にします。

1. [［Authentication（認証）］>［Enterprise（エンタープライズ）］>［SAML］](https://manage.auth0.com/#/connections/enterprise/samlp)に移動します。
2. テストする接続を選択し、省略記号（...）をクリックしてから **［Try（試す）］** をクリックします。Microsoftのサインイン画面が表示されます。サインインして **［Next（次へ）］** をクリックします。

## もっと詳しく

* [SAML構成のトラブルシューティング](/docs/ja-jp/troubleshoot/authentication-issues/troubleshoot-saml-configurations)
