ESETオンラインヘルプ

トピックを選択

IdPコネクターの設定例

以下の設定例では、次の設定を想定しています。

  • ESAインストールURL: https://esa.test.local:44322/
  • Path Name ESA IDプロバイダーコネクター(ESA IdPコネクター>)で設定: テスト

以下の設定例へのリンク: Open AM, Okta, Azure AD, AD FS, Shibboleth, Dropbox, Confluence

IDプロバイダー

OpenAM

ESA IdP Connector設定

  1. ESA WebコンソールでのIdPコネクターの設定に関する一般的な手順に従います。
  2. 元のIDプロバイダー > 元のIDプロバイダーの設定セクションでメタデータURLを設定します

<OpenAM_FQDN>は、OpenAMコンソールでホスティングされたIdPを作成するときに、指定したドメイン名に置き換える必要があります。

  1. ESA IdPコネクター設定の詳細設定で、Validate original Identity Provider certificateオプションとCheck original Identity Provider Certificate revocationオプションが選択されている場合、OpenAM署名証明書は、ESA IdP Connectorがインストールされているコンピューターで信頼されるように設定する必要があります(たとえば、[信頼できる人物]に追加するなど)。

OpenAM 設定

  1. OpenAMにログインします。
  2. Realmsでレルムを選択し、Create SAML v2 Providersを選択します。
  3. Register Remote Service Providerをクリックします。
  4. ESAから取得したメタデータURLを入力します。
    1. ESA Webコンソールで、Components > Identity Provider Connectorに移動し、設定されたIdPコネクターを選択して、Original Identity Provider > Configuration to the original Identity Provider > Metadata URLに移動します。例: https://esa.test.local:44322/test/metadata/ToIdentityProvider
  5. 信頼の輪で次の手順を実行します。
    1. 既存の項目に追加を選択します。
    2. ホスティングされたIDプロバイダーが属する既存の信頼の輪を選択します。
  6. フェデレーション > エンティティプロバイダーに移動して、使用するIDプロバイダーを選択して、名前とIDの形式に移動します。
  7. 名前とIDの値のマッピングに値を割り当てます(存在しない場合)。
  8. コマンドラインツールを使用して、ESA IdP Connector証明書をOpenAMにインポートします。

<openam_keystore.jks>の上のコードでは、<esa_signing_ceritificate>と<esa_decryption_ceritificate>を、その場所を参照する対応するパスに置き換える必要があります。


Okta

ESA IdP Connector設定

  1. ESA WebコンソールでのIdPコネクターの設定に関する一般的な手順に従います。
  2. Original Identity Provider > Configuration from the original Identity Providerセクションで、Metadata URLを設定が完了したときにOktaから取得するURLに設定します。
    1. 作成したOktaアプリケーションに管理者としてログインします。
    2. Sign Onタブを選択し、SettingsセクションでIdentity Provider metadataを右クリックして、そのリンクアドレス(リンクの場所)をコピーします。
  3. ESA IdPコネクター設定の詳細設定で、Validate original Identity Provider certificateオプションとCheck original Identity Provider Certificate revocationオプションが選択されている場合、Okta署名証明書は、ESA IdP Connectorがインストールされているコンピューターで信頼されるように設定する必要があります(たとえば、[信頼できる人物]に追加するなど)。

Oktaの設定

  1. Okta管理者アカウントにログインします。
  2. Applications > Applicationsに移動します。
  3. Add Applicationをクリックし、Create New Appをクリックします。
  4. PlatformとしてWebを選択し、Sign on methodとしてSAML 2.0を選択します。
  5. 作成をクリックします。
  6. アプリを設定するには、次の手順を実行します。
    1. Single sing on URLESA IdPコネクターの設定時にESA WebコンソールからURLを取得します。
      1. Original Identity Provider > Configuration to the Original Identity Provider > Sign-on URL例:
        https://esa.test.local:44322/test/Auth/LoginResponse
         
    2. Audience URI (SP Entity ID)ESA IdPコネクターの設定時に、ESA Webコンソールから対応する値を取得します。
      1. Original Identity Provider > Configuration to the Original Identity Provider > Identifier例:
        https://esa.test.local:44322/test/
    3. SAML Settingsで、Application usernameEmailを選択します。

Microsoft Entra ID

前提条件:

  • ESAコアIDプロバイダーコネクターがインストールされていること。
  • Azureアカウント。
  • 登録設定で[不明なユーザーを自動的に登録]を有効にする。

Microsoft Entra ID 設定

  1. Azureポータルにログインします。
  2. Microsoft Entra ID > Enterprise applications > New Application > Create your own applicationに入力し、任意のアプリケーション名を入力します。
  3. Integrate any other application you don't find in the gallery (Non-gallery) > Createをクリックします。
  4. 左メニューのManageセクションで、Single sign-on > SAMLをクリックします。
    1. SAML CertificatesウィンドウでApp Federation Metadata Urlをコピーします。
  5. ESA/ESACを開き、Components > Identity Provider Connector > Create new identity provider configurationボタンを操作します。
    1. Configuration Nameを入力します。
    2. 2FA Settingsで両方のチェックボックスをオンにします。
    3. Original Identity ProviderでUse metadataをオンにします。
    4. Metadata URLで、手順5でコピーしたApp Federation Metadata Urlを貼り付けます。
  6. Azure > Microsoft Entra ID > Enterprise applications > Manage > Single sign-on > SAMLのBasic SAML ConfigurationウィンドウでEditをクリックします。
    1. ESA IdPコネクター設定から取得した情報に基づいて、次のフィールドを設定します。
    2. Identifier (Entity ID)—Original Identity Provider > Configuration to the Original Identity Provider > Identifierの値を使用します。例: https://esa.test.local:44322/test
    3. Reply URL (Assertion Consumer Service URL)—Original Identity Provider > Configuration to the Original Identity Provider > Sign-on response URLの値を使用します。例: https://esa.test.local:44322/test/Auth/LoginResponse
    4. Logout Url—Original Identity Provider > Configuration to the Original Identity Provider > Logout response URLの値を使用します。例: https://esa.test.local:44322/test/Auth/LogoutResponse
    5. Saveボタンをクリックします。
    6. SAML CertificateウィンドウでCertificate (Raw)の横のDownloadをクリックします。
  7. ESA IdPコネクター設定の詳細設定で、Validate original Identity Provider certificateオプションとCheck original Identity Provider Certificate revocationオプションが選択されている場合、Azure署名証明書は、ESA IdP Connectorがインストールされているコンピューターで信頼されるように設定する必要があります(たとえば、[信頼できる人物]に追加するなど)。
  8. Azure > Microsoft Entra ID > Enterprise applications > Manage > Users and groups > Add user/group > Users and groups > None Selected:
    1. 追加するユーザーを検索し、その横にあるチェックボックスをオンにします。Selectボタンをクリックします。Assignボタンをクリックします。
    2. Azure > Microsoft Entra ID > Enterprise applications > Manage > Single sign-on > SAML > Test single sign-onウィンドウでTestボタンをクリックします。ユーザーのログインを確認する新しいタブが表示されます。

AD FS

ESA IdP Connector設定

  1. ESA WebコンソールでのIdPコネクターの設定に関する一般的な手順に従います。
  2. Original Identity Provider > Configuration from the original Identity Providerセクションで、Metadata URLを設定します

<AD FS_FQDN>はAD FSサーバーのドメイン名に置き換える必要があります。

  1. ESA IdPコネクター設定の詳細設定で、Validate original Identity Provider certificateオプションとCheck original Identity Provider Certificate revocationオプションが選択されている場合、AD FS署名証明書は、ESA IdP Connectorがインストールされているコンピューターで信頼されるように設定する必要があります(たとえば、[信頼できる人物]に追加するなど)。

AD FSの設定

  1. AD FS Managementを開きます。
  2. Trust Relationships > Relying Party Trusts > Add relying Party Trustをクリックします。
  3. Claims Awareを選択し、[開始]をクリックします。
  4. Import data about the relying party published online or on a local networkを選択し、ESA IdP Connectorで提供されたメタデータURLをFederation metadata address (host name URL)フィールドに入力します。
    1. Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL
  5. 設定を完了します。
  6. FinishページでCloseをクリックすると、Edit Claim Rulesダイアログボックスが自動的に開きます。
  7. Issuance Transform Rulesタブを選択し、Add Ruleをクリックします。
  8. Claim rule templateからSend LDAP Attributes as Claimsを選択し、Nextをクリックします。
  9. Attribute storeからActive Directoryを選択します。
  10. LDAP AttributeではUser-Principal-Nameを、Outgoing ClaimではName IDを選択します。
  11. Finishをクリックし、Edit Claim RulesダイアログボックスでOKをクリックします。
  12. PowerShellを使用して次の設定を適用します。

上記のコードで、<relying_party_name>を前の手順で設定したRelying Party Trustの名前に置き換えます。

  1. ESA IdP ConnectorのセクションOriginal Identity Provider > Configuration from the original Identity Providerから証明書をダウンロードし、Windows証明書ストアにインポートして信頼させます。

Shibboleth

ESA IdP Connector設定

  1. ESA WebコンソールでのIdPコネクターの設定に関する一般的な手順に従います。
  2. Original Identity Provider > Configuration from the original Identity Providerセクションで、Metadata URLを設定します

ESA IdP ConnectorがShibbolethと同じコンピューターにインストールされている場合。それ以外の場合は、Shibbolethのidp-metadata.xmlファイルをESA IdP Connectorがインストールされているコンピューターにコピーし、そのパスを参照します。

  1. ESA IdPコネクター設定の詳細設定で、Validate original Identity Provider certificateオプションとCheck original Identity Provider Certificate revocationオプションが選択されている場合、(C:\Program Files (x86)\Shibboleth\IdP\credentials\idp-signing.crtにある)Shibboleth署名証明書は、ESA IdP Connectorがインストールされているコンピューターで信頼されるように設定する必要があります(たとえば、[信頼できる人物]に追加するなど)。

Shibbolethの設定

  1. ESA IdP Connectorに記載されているURLからESA IdP Connectorメタデータファイルをダウンロードします。
    1. Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL
    2. それをShibbolethがインストールされているコンピューターに保存し、C:\Program Files (x86)\Shibboleth\IdP\conf\metadata-providers.xmlの場所を参照します。

上記のコードでは、<metadata_xml_file_from_esa>はダウンロードしたESA IdP Connectorメタデータファイルのパスを示しています。

  1. Shibbolethに、ユーザーを識別するデータをNameIDパラメーターの値として電子メール形式で送信させます。たとえば、mail LDAP属性は、次のようになります。
    1. C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.xmlのshibboleth.SAML2NameIDGeneratorsを定義します。
    1. C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.propertiesに追加します。

Keycloak

ESA IdP Connector設定

  1. ESA WebコンソールでのIdPコネクターの設定に関する一般的な手順に従います。
  2. Original Identity Provider > Configuration from the original Identity Providerセクションで、Metadata URLを設定します

上記のURLでは、<keycloak>をKeycloakインスタンスのドメイン名(およびポート)に置き換え、<realm>を対応するレルム名に置き換えます。

  1. ESA IdPコネクター設定の詳細設定で、Validate original Identity Provider certificateオプションとCheck original Identity Provider Certificate revocationオプションが選択されている場合、Keycloak署名証明書は、ESA IdP Connectorがインストールされているコンピューターで信頼されるように設定する必要があります(たとえば、[信頼できる人物]に追加するなど)。

Keycloakの設定

  1. ESA WebコンソールからESA IdP ConnectorメタデータをXMLファイルとしてダウンロードします。
    1. ブラウザーで、Components > Identity Provider Connector > 設定されたIdPコネクターを選択 > Original Identity Provider > Configuration to the Original Identity Provider > Metadata URLにあるメタデータURLを開きます。
    2. CTRL + Sを押し、使用可能な場合はファイルの種類で[XML]を選択し、保存をクリックします。
  2. Keycloak管理コンソールにログインします。
  3. Clients > Createをクリックします。
  4. Importの横にあるSelect fileをクリックし、手順1でダウンロードしたメタデータ.xmlファイルを参照します。
  5. Client ProtocolからSAMLを選択します。
  6. 残りのフィールドに入力し、Saveをクリックします。
  7. 作成したクライアントのSettingsタブでSign Assertionsをオフにします。
  8. Name ID Formatからemailを選択します。

サービスプロバイダー

Dropbox

ESA IdP Connector設定

  1. ESA WebコンソールでのIdPコネクターの設定に関する一般的な手順に従います。
  2. サービスプロバイダーを追加するときは、Configuration from the Service ProviderセクションでConfigure manuallyを選択します。
  3. 発行元にhttp://Dropboxと入力します。
  4. Single Sign-on Destinationをhttps://www.dropbox.com/saml_loginに設定します。
  5. Sign-on URL、Logout URLをテキストファイルにコピーし、後でサービスプロバイダーを設定するときに使用するためにSinging Certificateをエクスポートします。
  6. Advanced Security SettingsでCheck signature of requests from the Service Providerをオフにします。

Dropboxの設定

  1. Dropboxに管理者としてログインします。
  2. 設定 > シングルサインオンに移動します。
  3. Sign-in URLフィールドに、設定済みのESA IdP ConnectorからコピーしたサインオンURLを入力します。
  4. Sign-out URLフィールドに、設定済みのESA IdP ConnectorからコピーしたログアウトURLを入力します。
  5. X.509証明書の場合は、以前にエクスポートした署名証明書を設定済みのESA IdP Connectorからインポートします。

Confluence

ESA IdP Connector設定

  1. ESA WebコンソールでのIdPコネクターの設定に関する一般的な手順に従います。
  2. サービスプロバイダーを追加するときは、Configuration from the Service ProviderセクションでConfigure manuallyを選択します。
  3. Issuerについては、Confluence管理コンソールのSAML Authentication > Audience URL (Entity ID)にあるURLアドレスをコピーして貼り付けます。
  4. Single Sign-on Destinationについては、Confluence管理コンソールのSAML Authentication > Assertion Consumer Service URLにある URL アドレスをコピーして貼り付けます。
  5. Identifier、Sign-on URLをテキストファイルにコピーし、後でサービスプロバイダーを設定するときに使用するためにSinging Certificateをエクスポートします。
  6. Advanced Security SettingsでCheck signature of requests from the Service Providerをオフにします。

Confluenceの設定

  1. Confluenceに管理者としてログインします。
  2. SAML Authenticationをクリックします。
  3. SAML SSO 2.0 settingsセクションで、次の手順を実行します。
    1. Single sing-on Issuerフィールドに、ESA IdP ConnectorからコピーしたIDを入力します。
    2. Identity provider single sign-on URLフィールドに、ESA IdP ConnectorからコピーしたサインオンURLを入力します。
    3. ESA IdP Connectorからエクスポートした署名証明書の内容をコピーしてX.509 Certificateフィールドに貼り付けます。