Clear

ADFS用SAML 2.0を使用したシングルサインオン(SSO)の設定

シングルサインオン(SSO)は、ユーザーが単一のIDとパスワードでサインインできる認証方法です。ManageEngine Password Manager Proは、SAML 2.0を使ったSSOをサポートしており、シングルサインオン(SSO)用のフェデレーテッドアイデンティティ管理ソリューションと連携しやすくします。Password Manager Proは、サービスプロバイダー(SP)として機能し、 SAML 2.0を使用してアイデンティティプロバイダー(IdP)と連携します。連携では、基本的にSPの情報をIdPに入力したり、IdPの情報をSPに入力したりします。Password Manager ProをIdPと連携後、ユーザーはIdPにログインする必要があります。その後は、認証情報を再入力することなく、Password Manager Proに各IdPのGUIから自動でログインできます。

注記:Password Manager Proを使用すると、ユーザーはSPとしてセカンダリサーバーのSAML SSOを構成できるため、プライマリがダウンしているときにユーザーはセカンダリサーバーを使用してPassword Manager Proにログインできます。

SAMLを使用したSSOの設定は、以下のトピックを含む2段階プロセスです。

  1. ADFS 10.0を構成する手順
  2. Password Manager ProでSSOサービスを有効にする手順

1.ADFS 10.0を構成する手順

MicrosoftのActive Directory Federation Services(ADFS)は、Windowsで稼働し、SAML連携をサポートし、組織全体のシステムとアプリケーションにSSOサービスを提供します。Password Manager Proでも、同様の構成を実現できます。そのためには、まずADFSをPassword Manager Proと連携し、続いてSSOサービスを有効にします。Password Manager ProでのADFSを使用したSAMLの構成の全プロセスについて、以下の詳細をご確認ください。

詳細手順:

  1. Password Manager Proにログインして、[管理]> [SAMLシングルサインオン]の順に移動します。SAML SSOの設定画面で、 手順にあるサービスプロバイダーmetadata.xmlファイルをダウンロードします。
  2. [スタート]>[すべてのプログラム]>[管理ツール]の順に移動し、ADFS 10.0 Managementを開きます。
  3. 最初の手順では、Trust RelationshipsをADFS 10.0に追加し、Password Manager Proの情報を追加します。Trust Relationshipsで、Relying Party Trustsを右クリックし、Add Relying Party Trust(証明書利用者信頼の追加)をドロップダウンメニューから選択します。Add Relying Party Trust(証明書利用者信頼の追加)ウィザードが画面に表示されます。
    1. [スタート]をクリックし、左ペインの[データソースの選択]をクリックします。
    2. 2番目の[証明書利用者についてのデータをファイルからインポートする]を選択します。
    3. [参照]をクリックし、Password Manager Proから先にダウンロードしたmetadata.xmlファイルをインポートして、[次へ]をクリックします。
    4. 証明書利用者に、例えばPassword Manager Proなどの表示名を設定し、[次へ]をクリックします。
    5. アクセスコントロールポリシーを選択します。[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する]を選択し、[次へ]をクリックします。
    6. [信頼の追加の準備完了]は、[次へ]をクリックしてスキップし、[閉じる]をクリックします。
  4. これで、Password Manager Proが証明書利用者信頼の一覧に表示されます。そこを右クリックし、下の表示されるドロップダウンからプロパティを選択します。
  5. 開いたダイアログボックスで、[詳細]タブに切り替え、セキュアハッシュアルゴリズムとしてSHA 1を選択します。変更を適用して、[Ok]をクリックします。
  6. Password Manager Proをもう一度右クリックし、[クレーム保険証書を編集]を選択します。.
  7. 開いたダイアログボックスで、
    1. 発行変換ルール[ルールを適用]をクリックします。
    2. [受信クレームを変換][クレームルールテンプレート]として選択し、[次へ]をクリックします。
    3. [クレームルールを構成]で、
      1. 名前IDクレームルール名として入力します。
      2. [Windowsアカウント名]受信クレームタイプとして選択します。
      3. 名前ID送信クレームタイプとして選択します。
      4. 送信名ID形式として一時識別子を選択します。
    4. [終了]をクリックします。
  8. [適用]をクリックして、変更を保存し、[Ok]をクリックして、[クレームルールを編集]ウインドウを閉じます。

これで、Password Manager ProでADFSが正常に構成されました。以下の手順2で、Password Manager ProでSSOサービスを有効にする方法をご確認ください。

    注記:ADからPassword Manager Proにすでにユーザーがインポートされている場合、ログイン名は、DOMAIN\Loginnameの形式で保存されます。デフォルトでは、Windowsアカウント名を受信クレームタイプとして設定すると、この形式と一致します。ただし、ADユーザーのCSVファイルをインポートして、Password Manager Proのローカルアカウントを作成した場合、Password Manager Proに保存されているログイン名と一致する、別のクレームタイプを選択する必要があります。

2.Password Manager ProでSSOサービスを有効にする手順

  1. Password Manager Proを開き、[管理]>[認証]>[SAMLシングルサインオン]の順に移動します。
  2. この画面の手順②の最初のオプション[IdPメタデータファイルをアップロードしてください] を選択し、ADFSのFederation.xmlファイルを参照して開きます。

    3. 注記:

    1. XMLファイルは、ADFS 10.0コンソールからダウンロードできます。コンソールの左ナビゲーションペインで、[エンドポイント]をクリックし、メタデータリストまでスクロールダウンします。次に、このリストのフェデレーションメタデータタイプに入力したURLパスを探し、新しいブラウザタブでそのURLを開いて、メタデータXMLファイルをダウンロードします。
    2. SAML SSO認証の場合、デフォルトでは、アサーションコンシューマURLがサーバーのホスト名です。アサーションURLを更新するには、以下の手順に従います。
      1. [管理]>[セットアップ]>[メールサーバー設定]の順に進みます。
      2. アクセスURLに、該当のURLを入力し、[保存]をクリックします。これで、サービスプロバイダの情報アサーションコンシューマURLが更新されます。
  3. アップロードしたXMLファイルにも、手順3で必要な証明書の情報が入力されます。メタデータファイルをアップグレードした際に、情報が自動入力されない場合、手順2、3で、アイデンティティプロバイダーの情報の手動での入力をお試しください。次に、[保存]をクリックします。
  4. SAMLシングルログアウトを設定するには、<PMP_Installation_Directory\PMP\conf\system_properties.conf>に移動し、以下のシステムプロパティを既存のプロパティの下に追加します。
    • saml.logout.redirect.slo=true

    注記:

    1. SAML シングルログアウトは、ビルド12100以降でのみ適用できます。
    2. Password Manager ProでSAMLをすでに設定している場合は、metadata.xmlファイルを再アップロードし、シングルログアウトを設定します。
  5. これで、ADFS SSOサービスが、Password Manager Proで正常に設定されました。[有効化]をクリックして、サービスを有効化します。
  6. Password Manager Proからログアウトして、再度ログインし、設定をテストします。
       概要