Microsoft AD FS

Keeper SSO Connect CloudをMicrosoft AD FSと連携させて、スムーズで安全なSAML 2.0認証を実現

Microsoft AD FS

フェデレーションメタデータXMLを取得

AD FS管理アプリケーション内で、フェデレーションメタデータxmlファイルを特定します。AD FS > Service (サービス) > Endpoint (エンドポイント) をクリックしてから、「Metadata」 (メタデータ) セクションでURLのパスを探して確認します。パスは通常以下に見られるように、/FederationMetadata/2007-06/FederationMetadata.xmlとなります。

フェデレーションメタデータXMLファイルの場所
メタデータのパス

メタデータをダウンロード

メタデータファイルをダウンロードするには通常サーバー上でブラウザにURLをロードします。 以下はその例です。 https://localhost/FederationMetadata/2007-06/FederationMetadata.xml このファイルをダウンロードして、コンピュータに保存します。

メタデータXMLファイルをダウンロード

フェデレーションメタデータをインポート

Keeper管理コンソールのSSOクラウド設定画面で、IdPタイプとして[ADFS]を選択し、前の手順で保存したフェデレーションメタデータファイルをインポートします。

IDPタイプを選択してSAMLメタデータをアップロード

Keeperメタデータをエクスポート

プロビジョニング画面に戻り、[表示]をクリックします。

設定を表示

次に、後ほど証明書利用者信頼 (Relying Party Trust) ウィザードでインポートするため、Keeperメタデータファイルをダウンロードします。Keeper SSO Connect Cloud™のプロビジョニングの[表示]をクリックします。

[メタデータをエクスポート]ボタンをクリックして、config.xmlファイルをダウンロードします。

メタデータをエクスポート

AD FSの設定を完了

証明書利用者信頼 (Relying Party Trust) を作成

Keeper SSO Connectを証明書利用者信頼として作成します。

証明書利用者信頼を追加

Keeperメタデータをインポート

以下に見られるように、証明書利用者信頼 (Relying Party Trust) ウィザードを完了して、Keeper SSO Connect Cloudの表示画面から前もってエクスポートしたKeeperメタデータファイルをインポートします。

Welcome (ようこそ) 画面で[Claim aware] (要求に対応する) を選択し、Keeperから保存したメタデータファイルを選択します。

Keeperメタデータをインポート
表示名にKeeper SSO Connect Cloudを入力
アクセス制御ポリシーを選択
SAMLログアウトエンドポイント
要求発行ポリシーを設定
証明書利用者信頼

要求発行ポリシー規則を作成

AD FSとKeeperの間で属性をマッピングするには、[LDAP 属性を要求として送信する] (Send LDAP Attributes as Claims) で要求発行ポリシーを作成し、LDAPの属性をKeeper Connectの属性にマッピングする必要があります。

要求発行ポリシーを編集
規則を追加
規則のタイプを選択
要求規則名 - マッピング

3つの属性 (First (名)、Last (姓)、Email (メール)) が上記のように正確なスペルで設定されていることをご確認ください

発行変換規則

ログアウトのサポート用に、さらに2つの要求発行ポリシー規則を追加する必要があります。

カスタム規則を使用して要求を送信
不透明な永続識別子を作成

要求規則に追加する構文をコピーするには、以下のテキストをコピーしてカスタム規則に貼り付けます。

c1:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
 && c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant"]
 => add(store = "_OpaqueIdStore", types = ("http://mycompany/internal/sessionid"), query = "{0};{1};{2};{3};{4}", param = "useEntropy", param = c1.Value, param = c1.OriginalIssuer, param = "", param = c2.Value);
入力方向の要求を変換
永続名前識別子を作成

入力方向の要求の種類 (Incoming claim type): http://mycompany/internal/sessionid 送信方向の要求の種類 (Outgoing claim type) : Name ID (名前ID) 送信される名前IDの形式 (Outgoing name ID format) : Transient Identifier (一時識別子)

送信方向の要求と名前IDの形式を設定

SAML署名の設定

a. AD FSサーバーで管理者としてPowershellを開きます。 b. 以下のコマンドを実行してSSO Connect Relying Party Trust Identifier (証明書利用者信頼の識別子) の文字列を特定します。

Get-ADFSRelyingPartyTrust

このコマンドを実行すると、長い出力リストが生成されます。SSO Connectセクションと「識別子」(Identifier) の文字列を探します。 この文字列は以下のようになります。 https://keepersecurity.com/api/rest/sso/saml/459561502484

c.以下のコマンドを実行し、<Identifier>を手順(b)で見つけた文字列に置き換えます。

Set-ADFSRelyingPartyTrust -TargetIdentifier <Identifier> -samlResponseSignature MessageAndAssertion

Get-ADFSRelyingPartyTrustを再度実行すると、SamlResponseSignatureセクションが「MessageAndAssertion」に設定されていることが確認できます。

AD FSサービスを再起動

サービスマネージャから、AD FSサービスを再起動します。

SAMLアサーションの署名は、AD FS環境で適切に設定する必要があります。署名が設定されていない場合は、署名を設定してから、再設定後にAD FSとKeeper SSO Connect間でメタデータを再度交換する必要があります。

トラブルシューティング

テスト目的または内部PKI証明書のために、IdPでの証明書の有効性確認を無効にする必要がある場合は、以下のPowershellコマンドをご使用ください。 < Identifier>を上記の「SAML署名の設定」 の手順で特定した文字列に置き換えます。

Set-ADFSRelyingPartyTrust -TargetIdentifier 
<Identifier> -EncryptionCertificateRevocationCheck None
Set-ADFSRelyingPartyTrust -TargetIdentifier 
<Identifier> -SigningCertificateRevocationCheck None

備考: 署名設定に何らかの変更を加えると、IdPとSSO Connectの間でXMLメタデータの交換が必要になる場合があります。

既存のユーザー/初期管理者をSSO認証に移行

ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

まず[法人SSOログイン]を選択

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、こちらをご覧ください。

最終更新

役に立ちましたか?