Skip to main content

AD FS と DigiCert​​®​​ account でユーザーを認証する

このガイドでは、AD FS(Active Directory Federation Service)を既存の DigiCert サービスと統合するために必要な手順をすべて説明し、Active Directory ユーザーが DigiCert​​®​​ Trust Assistant にアクセスする際にシングルサインオン体験を得られるようにします。

はじめに

AD FS(Active Directory Federation Service)は、Active Directory ドメイン内のユーザーが、そのドメイン外のアプリケーションにプロキシサービスを通じてアクセスする必要がある場合に認証を管理します。DigiCert ONE と AD FS 間で SAML 認証を有効にすることで、Active Directory ユーザーは、DigiCert​​®​​ Trust Assistant を使用してシングルサインオン体験を得ることができます。

統合プロセスの一環として、Account Managerで SAML 設定を構成し、AD FS で依拠当事者のトラストを作成する必要があります。また、DigiCert のメタデータをそのトラストに転送し、そのトラストのメタデータを DigiCert に転送する必要があります。このプロセスを完了するには、AD FS と DigiCert​​®​​ Trust Assistant を統合するためのチェックリスト の使用をお勧めします。

AD FS と DigiCert​​®​​ Trust Assistant を統合するためのチェックリスト

次のチェックリストを使用して、AD FS(Active Directory Federation Service)と DigiCert​​®​​ Trust Assistant を統合します。記載された順序でタスクを実行します。

1. チェックリスト

タスク

セクション

ユーザーとその環境が統合の要件を満たしていることを確認するする。

前提条件

DigiCert® Account Manager で SAML 認証を有効にする

DigiCert® Account Manager で SAML 認証を有効にする

AD FS で DigiCert​​®​​ の依拠当事者トラストを追加する

依拠当事者トラストを追加する

AD FS で、Active Directory の属性と一致するルールを依拠当事者のクレームに追加する

依拠当事者トラストにルールを追加する

AD FS で、トラストがリクエストとアサーションの両方に SAML 署名を使用していることを確認する

依拠当事者トラストで SAML リクエスト署名を有効にする

AD FS メタデータを保存し、Account Manager にアップロードする

SAML 認証を設定する


前提条件

AD FS(Active Directory Federation Service)を DigiCert​​®​​ account と統合するには、ユーザーまたはその作業環境が次の要件を満たしている必要があります。

  • 環境が管理対象の Windows ドメインであること。

  • AD FS がドメインにインストールされていること。

  • AD FS を設定する権限があること。

DigiCert® Account Manager で SAML 認証を有効にする

SAML(Security Assertion Markup Language)を使用したシングルサインオン(SSO)を使用して、IDP(ID プロバイダ)を DigiCert ONE に連携します。Account Manager. で SAML 認証の設定を構成します。Active Directory Federation Service の設定に必要なメタデータもダウンロードします。

詳細な手順については、「SAML を使用したシングルサインオンの設定」を参照してください。

依拠当事者トラストを追加する

AD FS(Active Directory Federation Service)管理のスナップインで、Federation Service と DigiCert® ONE 間のトラストを表す依拠当事者トラストを追加します。

注記

プロセスのこの部分では、DigiCert® Account Manager で SAML 認証を有効にするでダウンロードしたDigiCert​​®​​ メタデータが必要です。

  1. AD FS をインストールした Windows サーバーに管理者としてサインインします。

    サインインアカウントには、AD FS 設定を構成する権限が必要です。

  2. [サーバー管理]から、[AD FS]>[ツール]>[AD FS 管理]を開きます。

  3. [依拠当事者トラスト]>[依拠当事者トラストの追加]を選択します。

  4. [依拠当事者トラストの追加]ウィザードで、[クレームズアウェア]を選択します。

  5. [開始]を選択します。

  6. データソースを指定するには、次の手順を実行します。

    1. [依拠当事者に関するデータをファイルからインポートする]を選択します。

    2. Federation メタデータファイルの場所については、事前にエクスポートした DigiCert​​®​​ メタデータファイルを参照してください。

    3. [次へ]を選択します。

  7. [表示名の指定]では、依拠当事者の名前を入力し、[次へ]を選択します。

  8. [アクセス制御ポリシーの選択]では、トラストに使用するポリシーを選び、[次へ]を選択します。

  9. [トラスト追加準備完了]ページで、構成の設定を確認し、[次へ]を選択します。

  10. [アプリケーションのクレーム発行ポリシーを設定する]チェックボックスを選択します。

  11. [閉じる]を選択します。

依拠当事者トラストにルールを追加する

統合プロセスでは、Active Directory の属性を依拠当事者(この場合は DigiCert​​®​​ アプリケーション)のクレームと一致させる必要があります。属性をマッピングして送信するには、事前に作成した依拠当事者トラストに 2 つのルールを追加します。

  1. AD FS 管理コンソールを開きます。

  2. [依拠当事者トラスト]を選んでから、設定するトラストを選択します。

  3. [クレーム発行ポリシーの編集]を選択します。

  4. LDAP 属性を依拠当事者のクレームにマッピングするルールを設定するには、[ルールの追加]を選択します。

  5. [クレーム変換ルールの追加]ウィザードのルールタイプで、[LDAP 属性をクレームとして送信]を選択してから、[次へ]を選択します。

  6. ルール属性を設定するには、次の手順を実行します。

    1. ルールの名前を入力します。

    2. [属性ストア]で、[Active Directory]を選択します。

    3. 次の表に示すとおり、LDAP 属性を送信クレームタイプにマッピングします。

      LDAP 属性

      送信クレームタイプ

      メールアドレス

      [メールアドレス]を選択

      [名]を選択

      [姓]を選択

  7. (オプション)SAML 応答で公開したい ID プロバイダの LDAP 属性を追加します。

    たとえば、各ユーザーのグループメンバーシップを含めるには、LDAP 属性Is-Member-of-DL を送信クレームタイプ Group にマッピングします。この設定により、次の SAML 応答が求められます。

    ...
  <AttributeStatement>
   <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">
    <AttributeValue>user1@test.digicert.com</AttributeValue>
   </Attribute>
   <Attribute Name="firstName">
    <AttributeValue>Demo</AttributeValue>
   </Attribute>
   <Attribute Name="lastName">
    <AttributeValue>User1</AttributeValue>
   </Attribute>
   <Attribute Name="http://schemas.xmlsoap.org/claims/Group">
    <AttributeValue>CN=DigiCert Test Users,CN=Users,DC=test,DC=digicert,DC=com</AttributeValue>
    <AttributeValue>CN=Remote Management Users,CN=Builtin,DC=test,DC=digicert,DC=com</AttributeValue>
    <AttributeValue>CN=Remote Desktop Users,CN=Builtin,DC=test,DC=digicert,DC=com</AttributeValue>
   </Attribute>
  </AttributeStatement>
...

  8. [終了]を選択します。

  9. マッピングされた LDAP 属性を依拠当事者トラストに送信するルールを設定するには、[ルールの追加]を選択します。

  10. [クレーム変換ルールの追加]ウィザードのルールタイプで、[受信クレームの変換]を選択してから、[次へ]を選択します。

  11. ルールの名前を入力します。

  12. [受信クレームタイプ][メールアドレス]を選択します。

  13. [送信クレームタイプ][Name ID] を選択します。

  14. [送信 Name ID フォーマット][メールアドレス]を選択します。

  15. [すべてのクレーム値をパススルー]を選択します。

  16. [終了]を選択します。

依拠当事者トラストで SAML リクエスト署名を有効にする

SAML リクエストとアサーションの両方で署名を有効にするには、AD FS 設定を変更します。SAML リクエストの認証が正常に完了すると、ID プロバイダとサービスプロバイダは、ユーザーとそのユーザーがアクセスできる対象を識別するアサーションメッセージを好感します。

DigiCert ONE では、SAML リクエストとアサーションの両方に ID プロバイダが署名している必要があります。

  1. AD FS 設定を編集する権限を備えた管理者アカウントで Powershell を開きます。

  2. 次のコマンドを入力します。

    Set-AdfsRelyingPartyTrust -targetname "<Relying Party Name>" -SamlResponseSignature  MessageAndAssertion

    ここでは、<Relying Party Name> とは、サービスプロバイダの名前を表します。

    例:

    Set-AdfsRelyingPartyTrust -targetname "SAML DC1 Login" -SamlResponseSignature  MessageAndAssertion

SAML 認証を設定する

Active Directory ユーザーに DigiCert ONE を使用したシングルサインオン体験を提供するには、SAML(セキュリティアサーションマークアップ言語)による認証を設定します。プロセスの一環として、Account Manager でSAML 認証を設定します。また、AD FS と DigiCert 間の依拠当事者トラストにおいて、各アプリケーションから xml ファイルをダウンロードし、もう一方のアプリケーションにアップロードすることでメタデータを交換する必要があります。このセクションには、DigiCert メタデータのダウンロード手順と AD FS メタデータのアップロード手順が含まれています。

  1. ブラウザで https://<adfs_host>/FederationMetadata/2007-06/FederationMetadata.xml を開き、xml を保存します。

  2. Account Manager[SAML を使用したシングルサインオン]ページにアクセスし、[IDP メタデータのアップロード]を選択します。

  3. AD FS からダウンロードした FederationMetadata.xml をアップロードし、[保存]を選択します。

注記

この手順を完了した後の次の手順については、「DigiCert ONE Login プロファイルを作成する」を参照してください。

トラブルシューティング

ユーザー作成と証明書発行をテストする の際にログインに失敗した場合、AD FS に新しい設定が適用されていない可能性があります。

services.msc を開き、AD FS のサービスを再起動してみてください。

このセクションの内容: