クリア

シングルサインオン認証

NTLM認証

ADManager PlusではNTLMv2 SSO認証を提供するためにJespaが使用されます。
ビルド7171以降ではNTLMv2 SSO認証を有効にする前に、Jespa JARファイルをダウンロードし、ADManager Plusのlibディレクトリに加える必要があります。 手順は以下のとおりです。

  1. 最新のJespa JARファイルをダウンロードします。
  2. ダウンロードしたZIPファイルを解凍します。
  3. JARファイルを以下のディレクトリに移動します。
    ADManager Plusインストールフォルダー\lib
  4. ADManager Plusを再起動します。

注記
ビルド7161以前を実行中で、かつ、NTLMv2 SSOを有効化している場合、NTLM認証の使用を続けるにあたり変更は必要ありません。

ADmanager Plusへのシングルサインオンをドメインに基づき有効にする手順は、以下のとおりです。

  1. [委任]タブをクリックします。
  2. 左ペインで、[設定]配下の[ログイン設定]をクリックします。
  3. [シングルサインオン]タブをクリックします。
  4. [Active Directoryのシングルサインオンを有効化]にチェックします。
  5. [選択したドメイン]のドロップダウンボックスからシングルサインオンを有効化したいドメインを選択します。
  6. [設定を保存]をクリックします。

既存のシングルサインオン設定を変更する手順は、以下のとおりです。

  1. [委任]タブをクリックします。
  2. 左ペインで、[設定]配下の[ログイン設定]をクリックします。
  3. [シングルサインオン]タブをクリックします。
  4. 設定を変えたいドメインについて、「ステータス」列の編集アイコンをクリックします。
  5. 「コンピューター名」と「パスワード」を各フィールドに入力します。
  6. 追加したいコンピューターがドメインにまだない場合、「ドメインにこのコンピューターアカウントを作成する」チェックボックスをクリックし、入力した認証情報に対応するコンピューターを作成します。
  7. メッセージ「コンピューターアカウント作成のエラー」が現れた場合、DNSサーバーとDNSのサイトを手動で入力します。
  8. [保存]をクリックします。

DNSサーバーのIPアドレスを確認する手順は以下のとおりです。

  1. 選択したドメインが有するマシンからコマンドプロンプトを開きます。
  2. 「ipconfig/all」と入力し、エンターを押します。
  3. DNSサーバー下に表示された最初のIPアドレスを確認します。

DNSのサイトを確認する手順は以下のとおりです。

  1. Active Directoryで「Active Directoryサイトとサービス」を開きます。
  2. サイトを展開し、選択したドメインのドメインコントローラーが表示されたサイトを確認します。
  3. DNSのサイトのサイト名を確認します。

SSOに関するトラブルシューティング

信頼済みサイトではNTLM認証をシームレスに実行できます。 シングルサインオンが失敗した場合、ADManager PlusのURLがお使いのブラウザーの信頼済みサイトに追加されていないことが原因として最も考えられます。 信頼済みサイトのリストにADManager PlusのURLを追加してください。手順は以下のとおりです。

注記

変更を実行するために、URLを信頼済みサイトのリストに加えた後すべてのブラウザーを閉じることが推奨されます。

Google Chrome
  1. Google Chromeを起動します。
  2. [Google Chromeの設定](アドレスバー右端の3点マーク)をクリックします。
  3. [設定]をクリックします。
  4. 下部にスクロールし、[詳細設定]をクリックします。
  5. [システム]配下で[プロキシ設定を開く]をクリックします。
  6. 開いた「インターネットのプロパティ」ダイアログボックスで、「セキュリティ」タブ→「認証済みサイト」→「サイト」の順にクリックします。
  7. ADManager PlusのURLを信頼済みサイトのリストに追加します。
  8. [閉じる]→[OK]の順にクリックします。
  9. すべてのブラウザーを閉じてから、再度ブラウザーを開きます。
Mozilla Firefox
  1. Firefoxのブラウザーを開きます。
  2. アドレスバーに「about:config」と入力します。
  3. 警告ウィンドウで[危険性を承知の上で使用する]をクリックします。
  4. 検索フィールドに「network.automatic-ntlm-auth.trusted-uris」と入力します。
  5. 選択肢「network.automatic-ntlm-auth.trusted-uris」をダブルクリックします。
  6. プロンプトボックスにADManager PlusのURLを入力します。すでにサイトが登録されている場合、コンマを入力してから、ADManager PlusのURLを入力します。
  7. [保存]をクリックします。
  8. すべてのブラウザーを閉じてから、再度ブラウザーを開きます。

SAML認証

SAML認証について

上記の一般的なIdPを用いて、シングルサインオンを設定しADManager Plusにアクセスすることができます。

ADManager Plusへのシングルサインオンを設定する手順

手順1:IdPでADManager Plusをカスタムアプリケーションとして追加

手順2:ADManager PlusでIdPを設定

Oktaを使用した設定

手順1:OktaでADManager Plusを設定

  1. Oktaポータルにログインします。
  2. 「Apps」タブ配下で「Add」→「Create New App」の順にクリックします。
  3. 「Platform」を選択し、「Web」とします。
  4. 「Sign on method」を選択し、「SAML 2.0」として「Create」をクリックします。
  5. 「General Settings」で、接続名を入力し(例:ADManager Plus - MFA)、アプリケーションのロゴをアップロードします。
  6. 「Configure SAML」セクションで、「Single Sign URL」と「Audience URI」に値を入力します(ADManager Plusにログイン後、[委任]→[設定]→[ログイン設定」→[シングルサインオン]→「SAML認証」→[Okta]→「ACS/受信者URL]と移動すると「Audience URI」を取得できます)。
  7. 「Finish」をクリックします。
  8. 「Sign on」タブへ移動し、メタデータファイルをダウンロードします。

手順2:ADManager PlusでOktaを設定

  1. ADManager Plusにログインします。
  2. [委任]タブをクリックします。
  3. [設定]→[ログイン設定]→[シングルサインオン]の順にクリックします。
  4. 「Active Directoryのシングルサインオンを有効化」をクリックします。
  5. 「SAML認証」を有効化します。
  6. ドロップダウンから「Okta」を選択します。
  7. 手順1で得たメタデータファイルをアップロードします。
  8. ユーザーがADManager Plusにログインする方法をSAMLシングルサインオンに限定する場合、「SAMLログインを強制」オプションを有効化します。
  9. [保存]をクリックし、設定を完了します。

OneLoginを使用した設定

手順1:OneLoginでADManager Plusを設定

  1. OneLoginポータルにログインします。
  2. 「Apps」タブをクリックし、「Add Apps」を選択します。
  3. アプリケーションのカテゴリーとして「SAML Test Connector」を選択します。
  4. 表示名を設定し、アプリケーション用のロゴをアップロードします。
  5. 「Configuration」タブ配下で、Recipient URI、Audience URI、ACS URLを入力します(ADManager Plusポータルの[委任]→[設定]→[ログイン設定」→[シングルサインオン]→「SAML認証」→[OneLogin]→「ACS/受信者URL」と移動すると、これらのURL/URIを取得できます)。
  6. 画面上部の「More Action」をクリックし、続いて[SAML Metadata]をクリックしてメタデータファイルをダウンロードします。
  7. [Save]をクリックしOneLoginでの設定を完了します。

手順2:ADManager PlusでOneLoginを設定

  1. ADManager Plusにログインします。
  2. [委任]タブをクリックします。
  3. [設定]→[ログイン設定」→[シングルサインオン]とクリックします。
  4. 「SAML認証」をクリックします。
  5. ドロップダウンから「OneLogin」を選択します。
  6. 手順1で得たメタデータファイルをアップロードします。
  7. ユーザーがADManager Plusにログインする方法をSAMLシングルサインオンに限定する場合、「SAMLログインを強制」オプションを有効化します。
  8. [保存]をクリックし、設定を完了します。

Ping Identityを使用した設定

手順1:Ping IdentityでADManager Plusを設定

  1. Ping Identityポータルにログインします。
  2. 「Applications」→「My Applications」→「Add Application」→「New SAML Application」の順にクリックします。
  3. アプリケーション名、詳細、カテゴリー、ロゴを入力し、次の手順に進みます。
  4. メタデータファイルをアップロードし、ADManager Plusの詳細情報の設定を自動化することができます(ADManager Plusで[委任]→[設定]→[ログイン設定]→[シングルサインオン]→「SAML」認証→「pingidentity」→[SPメタデータをダウンロード」の順に移動するとメタデータファイルをダウンロードできます)。 もしくは、ACS URLとエンティティIDを入力することも可能です([委任]→[設定]→[ログイン設定]→[シングルサインオン]→「SAML」認証→「pingidentity」と移動し、ACS URLとエンティティIDを取得できます)。
  5. 「Save&Public」をクリックします。
  6. 設定完了後にメタデータファイルをダウンロードします。

手順2:ADManager PlusでPing Identityを設定

  1. ADManager Plusにログインします。
  2. [委任]タブをクリックします。
  3. [設定]→[ログイン設定」→[シングルサインオン]とクリックします。
  4. 「SAML認証」をクリックします。
  5. ドロップダウンから「pingidentity」を選択します。
  6. 手順1で得たメタデータファイルをアップロードします。
  7. ユーザーがADManager Plusにログインする方法をSAMLシングルサインオンに限定する場合、「SAMLログインを強制」オプションを有効化します。
  8. [保存]をクリックし、設定を完了します。

カスタムIdPを使用した設定

任意のカスタムIdPを設定しADManager Plusへのシングルサインオンを有効化することができます。 そのためには、お好みのIdPで上記の手順に従いADManager Plusを設定してください。

ADManager PlusでカスタムIdPを設定

  • ADManager Plusにログインします。
  • [委任]タブをクリックします。
  • [設定]→[ログイン設定」→[シングルサインオン]とクリックします。
  • 「SAML認証」をクリックします。
  • ドロップダウンから「Custom SAML」を選択します。
  • カスタムIdPのメタデータファイルをアップロードします。
  • ユーザーがADManager Plusにログインする方法をSAMLシングルサインオンに限定する場合、「SAMLログインを強制」オプションを有効化します。
  • [保存]をクリックし、設定を完了します。

Active Directory Federation Services (ADFS)を使用した設定

前提条件

ADManager Plusのユーザー認証方法としてADFSを設定するには以下の要素が必要です。

  • ADFSサーバーのインストール:Microsoftの記事でADFSのインストールと設定の詳細方法を確認してください。
  • お使いのADFSのログインページにサインするためのSSL証明書と、そのSSL証明書のフィンガープリント

設定手順

イントラネットベースの使用でも、エクストラネットベースの使用でも、ADFS認証でADManager Plusにアクセスするユーザーに対してはフォームベース認証のみを設定します。 ADFSのサーバーマネージャーの[Authentication Policies]→[Plimary Authentication]→[Global Settings]よりこの設定を確認できます。

要求規則と証明書利用者信頼

設定において、証明書利用者信頼を追加し、要求規則を作成する必要があります。 証明書利用者信頼は作成すると、要求(認証に必要な個人情報のこと。クレームとも言います。)に基づいた認証を行うアプリケーション間接続が確立します。 認証接続が確立場合、ADFSは証明書利用者(ADManager Plus)を信頼し、生成された要求を確認してユーザーを認証します。 要求は、条件を設定して作成された要求規則から作成されます。 要求とは、エンティティを特定し、アクセスを確立するために使用される属性です。例えば、Active DirectoryのuserPrincipalNameが該当します。

証明書利用者の信頼を追加

手順

  1. 証明書利用者信頼(RPT)を利用し、ADFSとADManager Plus間の接続を確立します。ADFSで「Relying Party Trusts」フォルダーを選択します。
  2. スライドバー(「Action」)から「Add Relying Party Trust」を選択します。証明書利用者信頼の追加ウィザード(「Add Relying Party Trust Wizard」)が開きます。
  3. 「Start」をクリックします。
  4. 「Select Data Source」ページが開きます。「enter data about the party manually」をクリックします。
  5. 「Next」をクリックします。
  6. 「Specify Display Name」ページが開きます。任意の表示名を入力します。
  7. 必要であれば「note」フィールドにメモを追加します。
  8. 「Next」をクリックします。
  9. 「Choose Profile」ページが開きます。「ADFS profile」をクリックします。
  10. 「Next」をクリックします。
  11. 表示される「Configure Certificate」画面では、デフォルト設定が既に適用されています。「Next」をクリックします。
  12. 「Configure URL」画面で、「Enable Support for the SAML 2.0 WebSSO protocol」のチェックボックスにチェックを入れます。
  13. 「Relying party SAML 2.0 SSO service URL」として、お使いのADManager PlusサーバーのACS URLを入力します。URLの最後にスラッシュを入れないよう注意します。
    例: https://admp.com/samlLogin/fdc0aa2a6d1801c525635ee0a71eb34196906b0f

    注記:ACS URL/受信者URLを取得するには

    1. 管理者としてADManager PlusのWebコンソールにログインします。
    2. [委任]タブ→[設定]→[ログイン設定]→[シングルサインオン]→「SAML認証」の順にクリックします。
    3. 「ACS/受信者URL」をコピーします。

  14. 次の画面で、「Relying party trust identifiers」オプションに対して、以下のURLを入力します。
    https://admp.com/samlLogin/fdc0aa2a6d1801c525635ee0a71eb34196906b0f
  15. 次の画面で、証明書利用者信頼に対して多要素認証を設定することを選択します。
  16. 「Next」をクリックします。
  17. 「Choose Issuance Authorization Rules」ページが開きます。証明書利用者にすべてのユーザーがアクセスすることを許可するか、限られたユーザーにアクセスを許可するかを選択します。
  18. 「Next」をクリックします。
  19. 続いて現れる2つのページでは、設定した内容の概要が表示されます。そして、「Finish」ページで「Close」をクリックしウィザードを終了させます。 「Open the Edit Claim Rules dialog for this relying party trust」をウィザードを閉じる際に選択した場合、要求規則の編集画面が自動的に開きます。

要求規則を作成

証明書利用者信頼を作成後、その証明書利用者信頼の作成完了後にデフォルトで開く要求規則エディターを使用し、要求規則を作成できます。

手順

  1. 「Add Rule」をクリックします。
  2. 表示される要求規則テンプレートの一覧から、「Send LDAP Attributes as Claims」を選択します。
  3. 「Next」をクリックします。
  4. 要求規則の名前を次の画面で入力します。
  5. 同じ画面で、「Attribute Store」として「Active Directory」を選択します。
  6. 「LDAP Attribute」列で「userPrincipalName」を選択します。
  7. 「Outgoing Claim Type」列で「Name ID」を選択します。
  8. 「Finish」をクリックします。

    注記
    複数のLDAP属性(LDAP Attribute)を選択し、適切な要求の発信タイプにマップすることもできます。例えば、「Given Name」、「Surname」、「Phone Number」といったLDAP属性を追加できます。

  9. 「Finish」をクリックした後、作成された要求規則を確認します。

ADFSの設定を終えた後、IdPメタデータリンクをクリックし、メタデータファイルをダウンロードします。
例:https://server_name/FederationMetadata/2007-06/FederationMetadata.xml
ADManager PlusでSAML認証を設定するときにダウンロードしたメタデータファイルが必要になります。そのため、このメタデータファイルを安全に保管してください。

トラブルシューティング

  • IdPの設定後に以下のエラーメッセージが現れた場合、ACS/受信者URLを再入力し、再び試してください。
    「Sorry, the page you requested was not found.Please check the URL for proper spelling and capitalization. If you're having trouble locating a destination, try from our home page. (訳:要求されたページが見つかりません。正しいスペル、大文字/小文字の別でURLが記述されているかを確認してください。ディスティネーションを見つけることが困難な場合は、ホームページから試してください。)」
  • ADManager PlusにIdPポータルからアクセスする際にエラーが起こる場合は、デフォルトの「relay state」フィールドを設定していることを確認してください。

Microsoft Entra ID(旧Azure AD)を使用した設定

手順1:Microsoft Entra IDでADManager Plusを設定

  1. Microsoft Entra IDポータルにログインします。
  2. 「Microsoft Entra ID」を選択します。
  3. 左ペインで「エンタープライズアプリケーション」を選択します。
  4. 「エンタープライズアプリケーション」の「すべてのアプリケーション」画面上部にある「新しいアプリケーション」をクリックします。
  5. ADManager Plusを初めて設定するため、「独自のアプリケーション」をクリックします。
  6. アプリケーションの名前(ADManager Plus)を入力し、「作成」をクリックします。すると、「エンタープライズアプリケーション」の「すべてのアプリケーション」画面で「ADManager Plus」が一覧に追加されます。
  7. 「すべてのアプリケーション」画面で一覧に表示されている「ADManager Plus」アプリケーションをクリックします。
  8. アプリケーション画面の左ペインで、「管理」配下の「シングル サインオン」を選択します。
  9. シングルサインオンのセットアップページで、「メタデータファイルをアップロードします」をクリックし、メタデータファイルをアップロードします。 ADManager Plusにログイン後、[委任]→[設定]→[ログイン設定]→[シングルサインオン]→「SAML認証」→「Custom SAML」→[SPメタデータをダウンロード]の順にクリックするとメタデータファイルをダウンロードできます。
  10. Microsoft Entra IDで、「SAML 署名証明書」セクションに移動し、メタデータファイルをダウンロードします。後でADManager PlusでMicrosoft Entra IDを設定するときに、ダウンロードしたメタデータファイルを使用します。

手順2:ユーザー/グループの割り当て

  1. Microsoft Entra IDポータルにログインします。
  2. 「Microsoft Entra ID」を選択します。
  3. 左ペインで「エンタープライズアプリケーション」を選択します。
  4. 「すべてのアプリケーション」を選択します。
  5. アプリケーションの一覧から「ADManager Plus」を選択します。
  6. ADManager Plusのアプリケーションページの左ペインで「ユーザーとグループ」を選択します。
  7. 「ユーザーの追加」をクリックします。
  8. 「割り当ての追加」画面で、「ユーザーとグループ」セクションを選択し、任意にユーザー/グループを選択します。
  9. 「割り当て」をクリックします。

ADManager PlusでMicrosoft Entra IDを設定

  1. ADManager Plusにログインします。
  2. [委任]タブをクリックします。
  3. 左ペインの[設定]より、[ログイン設定]を選択します。
  4. 「シングルサインオン]を選択します。
  5. 「Active Directoryのシングルサインオンを有効化」にチェックします。
  6. 「SAML認証」をクリックします。
  7. IdPとして「Custom SAML」を選択します。
  8. 「SAML設定モード」配下で「メタデータファイルのアップロード」を選択します。
  9. [ファイルをブラウズ]をクリックし、メタデータファイルをアップロードします。 Microsoft Entra IDポータルにログインし、「エンタープライズアプリケーション」の「すべてのアプリケーション」→[ADManager Plus」→[管理]→[シングルサインオン]→[SAML 署名証明書]とクリックし、最後にフェデレーションメタデータファイルをダウンロードすると、該当のメタデータファイルを取得できます。
  10. サービスプロバイダーの詳細を入力し、メタデータファイルをダウンロードします。
  11. 「保存」をクリックします。

「SAMLログインを強制」オプション利用時の注意

オペレーターが「管理者として振る舞う」オプションを無効にされている場合、および、オペレーターが「SAMLログインを強制」を有効にする以前にログインしていない場合には、オペレーターの詳細情報がADManager Plusに保存されません。 オペレーターの詳細情報がADManager Plusに保存されない場合、オペレーターは識別されず、ADManager Plusにログインできなくなります。

       概要