IdPコネクターの設定例
以下の設定例では、次の設定を想定しています。
- ESAインストールURL: https://esa.test.local:44322/
- Path Name ESA IDプロバイダーコネクター(ESA IdPコネクター>)で設定: テスト
以下の設定例へのリンク: Open AM, Okta, Azure AD, AD FS, Shibboleth, Dropbox, Confluence
IDプロバイダー
OpenAM
ESA IdP Connector設定
- ESA WebコンソールでのIdPコネクターの設定に関する一般的な手順に従います。
- 元のIDプロバイダー > 元のIDプロバイダーの設定セクションでメタデータURLを設定します
https://<OpenAM_FQDN>/openam/saml2/jsp/exportmetadata.jsp?entityid=https://<OpenAM_FQDN>/openam&realm=/ |
<OpenAM_FQDN>は、OpenAMコンソールでホスティングされたIdPを作成するときに、指定したドメイン名に置き換える必要があります。
- ESA IdPコネクター設定の詳細設定で、Validate original Identity Provider certificateオプションとCheck original Identity Provider Certificate revocationオプションが選択されている場合、OpenAM署名証明書は、ESA IdP Connectorがインストールされているコンピューターで信頼されるように設定する必要があります(たとえば、[信頼できる人物]に追加するなど)。
OpenAM 設定
- OpenAMにログインします。
- Realmsでレルムを選択し、Create SAML v2 Providersを選択します。
- Register Remote Service Providerをクリックします。
- ESAから取得したメタデータURLを入力します。
- ESA Webコンソールで、Components > Identity Provider Connectorに移動し、設定されたIdPコネクターを選択して、Original Identity Provider > Configuration to the original Identity Provider > Metadata URLに移動します。例: https://esa.test.local:44322/test/metadata/ToIdentityProvider
- 信頼の輪で次の手順を実行します。
- 既存の項目に追加を選択します。
- ホスティングされたIDプロバイダーが属する既存の信頼の輪を選択します。
- フェデレーション > エンティティプロバイダーに移動して、使用するIDプロバイダーを選択して、名前とIDの形式に移動します。
- 名前とIDの値のマッピングに値を割り当てます(存在しない場合)。
- コマンドラインツールを使用して、ESA IdP Connector証明書をOpenAMにインポートします。
keytool -importcert -alias esa_signing -keystore <openam_keystore.jks> -file <esa_signing_certificate> keytool -importcert -alias esa_decryption -keystore <openam_keystore.jks> -file <esa_decryption_certificate> |
<openam_keystore.jks>の上のコードでは、<esa_signing_ceritificate>と<esa_decryption_ceritificate>を、その場所を参照する対応するパスに置き換える必要があります。
Okta
ESA IdP Connector設定
- ESA WebコンソールでのIdPコネクターの設定に関する一般的な手順に従います。
- Original Identity Provider > Configuration from the original Identity Providerセクションで、Metadata URLを設定が完了したときにOktaから取得するURLに設定します。
- 作成したOktaアプリケーションに管理者としてログインします。
- Sign Onタブを選択し、SettingsセクションでIdentity Provider metadataを右クリックして、そのリンクアドレス(リンクの場所)をコピーします。
- ESA IdPコネクター設定の詳細設定で、Validate original Identity Provider certificateオプションとCheck original Identity Provider Certificate revocationオプションが選択されている場合、Okta署名証明書は、ESA IdP Connectorがインストールされているコンピューターで信頼されるように設定する必要があります(たとえば、[信頼できる人物]に追加するなど)。
Oktaの設定
- Okta管理者アカウントにログインします。
- Applications > Applicationsに移動します。
- Add Applicationをクリックし、Create New Appをクリックします。
- PlatformとしてWebを選択し、Sign on methodとしてSAML 2.0を選択します。
- 作成をクリックします。
- アプリを設定するには、次の手順を実行します。
- Single sing on URL—ESA IdPコネクターの設定時にESA WebコンソールからURLを取得します。
- Original Identity Provider > Configuration to the Original Identity Provider > Sign-on URL例:
https://esa.test.local:44322/test/Auth/LoginResponse
- Original Identity Provider > Configuration to the Original Identity Provider > Sign-on URL例:
- Audience URI (SP Entity ID)—ESA IdPコネクターの設定時に、ESA Webコンソールから対応する値を取得します。
- Original Identity Provider > Configuration to the Original Identity Provider > Identifier例:
https://esa.test.local:44322/test/
- Original Identity Provider > Configuration to the Original Identity Provider > Identifier例:
- SAML Settingsで、Application usernameにEmailを選択します。
- Single sing on URL—ESA IdPコネクターの設定時にESA WebコンソールからURLを取得します。
Microsoft Entra ID
前提条件:
- ESAコアIDプロバイダーコネクターがインストールされていること。
- Azureアカウント。
- 登録設定で[不明なユーザーを自動的に登録]を有効にする。
Microsoft Entra ID 設定
- Azureポータルにログインします。
- Microsoft Entra ID > Enterprise applications > New Application > Create your own applicationに入力し、任意のアプリケーション名を入力します。
- Integrate any other application you don't find in the gallery (Non-gallery) > Createをクリックします。
- 左メニューのManageセクションで、Single sign-on > SAMLをクリックします。
- SAML CertificatesウィンドウでApp Federation Metadata Urlをコピーします。
- ESA/ESACを開き、Components > Identity Provider Connector > Create new identity provider configurationボタンを操作します。
- Configuration Nameを入力します。
- 2FA Settingsで両方のチェックボックスをオンにします。
- Original Identity ProviderでUse metadataをオンにします。
- Metadata URLで、手順5でコピーしたApp Federation Metadata Urlを貼り付けます。
- Azure > Microsoft Entra ID > Enterprise applications > Manage > Single sign-on > SAMLのBasic SAML ConfigurationウィンドウでEditをクリックします。
- ESA IdPコネクター設定から取得した情報に基づいて、次のフィールドを設定します。
- Identifier (Entity ID)—Original Identity Provider > Configuration to the Original Identity Provider > Identifierの値を使用します。例: https://esa.test.local:44322/test
- Reply URL (Assertion Consumer Service URL)—Original Identity Provider > Configuration to the Original Identity Provider > Sign-on response URLの値を使用します。例: https://esa.test.local:44322/test/Auth/LoginResponse
- Logout Url—Original Identity Provider > Configuration to the Original Identity Provider > Logout response URLの値を使用します。例: https://esa.test.local:44322/test/Auth/LogoutResponse
- Saveボタンをクリックします。
- SAML CertificateウィンドウでCertificate (Raw)の横のDownloadをクリックします。
- ESA IdPコネクター設定の詳細設定で、Validate original Identity Provider certificateオプションとCheck original Identity Provider Certificate revocationオプションが選択されている場合、Azure署名証明書は、ESA IdP Connectorがインストールされているコンピューターで信頼されるように設定する必要があります(たとえば、[信頼できる人物]に追加するなど)。
- Azure > Microsoft Entra ID > Enterprise applications > Manage > Users and groups > Add user/group > Users and groups > None Selected:
- 追加するユーザーを検索し、その横にあるチェックボックスをオンにします。Selectボタンをクリックします。Assignボタンをクリックします。
- Azure > Microsoft Entra ID > Enterprise applications > Manage > Single sign-on > SAML > Test single sign-onウィンドウでTestボタンをクリックします。ユーザーのログインを確認する新しいタブが表示されます。
AD FS
ESA IdP Connector設定
- ESA WebコンソールでのIdPコネクターの設定に関する一般的な手順に従います。
- Original Identity Provider > Configuration from the original Identity Providerセクションで、Metadata URLを設定します
https://AD FS_FQDN>/FederationMetadata/2007-06/FederationMetadata.xml |
<AD FS_FQDN>はAD FSサーバーのドメイン名に置き換える必要があります。
- ESA IdPコネクター設定の詳細設定で、Validate original Identity Provider certificateオプションとCheck original Identity Provider Certificate revocationオプションが選択されている場合、AD FS署名証明書は、ESA IdP Connectorがインストールされているコンピューターで信頼されるように設定する必要があります(たとえば、[信頼できる人物]に追加するなど)。
AD FSの設定
- AD FS Managementを開きます。
- Trust Relationships > Relying Party Trusts > Add relying Party Trustをクリックします。
- Claims Awareを選択し、[開始]をクリックします。
- Import data about the relying party published online or on a local networkを選択し、ESA IdP Connectorで提供されたメタデータURLをFederation metadata address (host name URL)フィールドに入力します。
- Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL
- 設定を完了します。
- FinishページでCloseをクリックすると、Edit Claim Rulesダイアログボックスが自動的に開きます。
- Issuance Transform Rulesタブを選択し、Add Ruleをクリックします。
- Claim rule templateからSend LDAP Attributes as Claimsを選択し、Nextをクリックします。
- Attribute storeからActive Directoryを選択します。
- LDAP AttributeではUser-Principal-Nameを、Outgoing ClaimではName IDを選択します。
- Finishをクリックし、Edit Claim RulesダイアログボックスでOKをクリックします。
- PowerShellを使用して次の設定を適用します。
Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -SigningCertificateRevocationCheck "none" Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -EncryptionCertificateRevocationCheck "none" |
上記のコードで、<relying_party_name>を前の手順で設定したRelying Party Trustの名前に置き換えます。
- ESA IdP ConnectorのセクションOriginal Identity Provider > Configuration from the original Identity Providerから証明書をダウンロードし、Windows証明書ストアにインポートして信頼させます。
Shibboleth
ESA IdP Connector設定
- ESA WebコンソールでのIdPコネクターの設定に関する一般的な手順に従います。
- Original Identity Provider > Configuration from the original Identity Providerセクションで、Metadata URLを設定します
file://C:\Program Files (x86)\Shibboleth\IdP\metadata\idp-metadata.xml |
ESA IdP ConnectorがShibbolethと同じコンピューターにインストールされている場合。それ以外の場合は、Shibbolethのidp-metadata.xmlファイルをESA IdP Connectorがインストールされているコンピューターにコピーし、そのパスを参照します。
- ESA IdPコネクター設定の詳細設定で、Validate original Identity Provider certificateオプションとCheck original Identity Provider Certificate revocationオプションが選択されている場合、(C:\Program Files (x86)\Shibboleth\IdP\credentials\idp-signing.crtにある)Shibboleth署名証明書は、ESA IdP Connectorがインストールされているコンピューターで信頼されるように設定する必要があります(たとえば、[信頼できる人物]に追加するなど)。
Shibbolethの設定
- ESA IdP Connectorに記載されているURLからESA IdP Connectorメタデータファイルをダウンロードします。
- Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL
- それをShibbolethがインストールされているコンピューターに保存し、C:\Program Files (x86)\Shibboleth\IdP\conf\metadata-providers.xmlの場所を参照します。
<MetadataProvider id="sp-metadata" xsi:type="FilesystemMetadataProvider" metadataFile="<metadata_xml_file_from_esa>"/> |
上記のコードでは、<metadata_xml_file_from_esa>はダウンロードしたESA IdP Connectorメタデータファイルのパスを示しています。
- Shibbolethに、ユーザーを識別するデータをNameIDパラメーターの値として電子メール形式で送信させます。たとえば、mail LDAP属性は、次のようになります。
- C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.xmlのshibboleth.SAML2NameIDGeneratorsを定義します。
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:omitQualifiers="true" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'mail'} }" /> |
- C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.propertiesに追加します。
idp.nameid.saml2.default = urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress |
Keycloak
ESA IdP Connector設定
- ESA WebコンソールでのIdPコネクターの設定に関する一般的な手順に従います。
- Original Identity Provider > Configuration from the original Identity Providerセクションで、Metadata URLを設定します
https://<keycloak>/auth/realms/<realm>/protocol/saml/descriptor |
上記のURLでは、<keycloak>をKeycloakインスタンスのドメイン名(およびポート)に置き換え、<realm>を対応するレルム名に置き換えます。
- ESA IdPコネクター設定の詳細設定で、Validate original Identity Provider certificateオプションとCheck original Identity Provider Certificate revocationオプションが選択されている場合、Keycloak署名証明書は、ESA IdP Connectorがインストールされているコンピューターで信頼されるように設定する必要があります(たとえば、[信頼できる人物]に追加するなど)。
Keycloakの設定
- ESA WebコンソールからESA IdP ConnectorメタデータをXMLファイルとしてダウンロードします。
- ブラウザーで、Components > Identity Provider Connector > 設定されたIdPコネクターを選択 > Original Identity Provider > Configuration to the Original Identity Provider > Metadata URLにあるメタデータURLを開きます。
- CTRL + Sを押し、使用可能な場合はファイルの種類で[XML]を選択し、保存をクリックします。
- Keycloak管理コンソールにログインします。
- Clients > Createをクリックします。
- Importの横にあるSelect fileをクリックし、手順1でダウンロードしたメタデータ.xmlファイルを参照します。
- Client ProtocolからSAMLを選択します。
- 残りのフィールドに入力し、Saveをクリックします。
- 作成したクライアントのSettingsタブでSign Assertionsをオフにします。
- Name ID Formatからemailを選択します。
サービスプロバイダー
Dropbox
ESA IdP Connector設定
- ESA WebコンソールでのIdPコネクターの設定に関する一般的な手順に従います。
- サービスプロバイダーを追加するときは、Configuration from the Service ProviderセクションでConfigure manuallyを選択します。
- 発行元にhttp://Dropboxと入力します。
- Single Sign-on Destinationをhttps://www.dropbox.com/saml_loginに設定します。
- Sign-on URL、Logout URLをテキストファイルにコピーし、後でサービスプロバイダーを設定するときに使用するためにSinging Certificateをエクスポートします。
- Advanced Security SettingsでCheck signature of requests from the Service Providerをオフにします。
Dropboxの設定
- Dropboxに管理者としてログインします。
- 設定 > シングルサインオンに移動します。
- Sign-in URLフィールドに、設定済みのESA IdP ConnectorからコピーしたサインオンURLを入力します。
- Sign-out URLフィールドに、設定済みのESA IdP ConnectorからコピーしたログアウトURLを入力します。
- X.509証明書の場合は、以前にエクスポートした署名証明書を設定済みのESA IdP Connectorからインポートします。
Confluence
ESA IdP Connector設定
- ESA WebコンソールでのIdPコネクターの設定に関する一般的な手順に従います。
- サービスプロバイダーを追加するときは、Configuration from the Service ProviderセクションでConfigure manuallyを選択します。
- Issuerについては、Confluence管理コンソールのSAML Authentication > Audience URL (Entity ID)にあるURLアドレスをコピーして貼り付けます。
- Single Sign-on Destinationについては、Confluence管理コンソールのSAML Authentication > Assertion Consumer Service URLにある URL アドレスをコピーして貼り付けます。
- Identifier、Sign-on URLをテキストファイルにコピーし、後でサービスプロバイダーを設定するときに使用するためにSinging Certificateをエクスポートします。
- Advanced Security SettingsでCheck signature of requests from the Service Providerをオフにします。
Confluenceの設定
- Confluenceに管理者としてログインします。
- SAML Authenticationをクリックします。
- SAML SSO 2.0 settingsセクションで、次の手順を実行します。
- Single sing-on Issuerフィールドに、ESA IdP ConnectorからコピーしたIDを入力します。
- Identity provider single sign-on URLフィールドに、ESA IdP ConnectorからコピーしたサインオンURLを入力します。
- ESA IdP Connectorからエクスポートした署名証明書の内容をコピーしてX.509 Certificateフィールドに貼り付けます。