Microsoft AD FS

Keeper SSO Connect CloudをMicrosoft AD FSと連携させて、スムーズで安全なSAML 2.0認証を実現

最初に管理コンソールの設定の手順を完了してください。

Microsoft AD FS

フェデレーションメタデータXMLを取得

AD FS管理アプリケーション内で、フェデレーションメタデータxmlファイルを特定します。AD FS > Service (サービス) > Endpoint (エンドポイント) をクリックしてから、「Metadata」 (メタデータ) セクションでURLのパスを探して確認します。パスは通常以下に見られるように、/FederationMetadata/2007-06/FederationMetadata.xmlとなります。

メタデータをダウンロード

メタデータファイルをダウンロードするには通常サーバー上でブラウザにURLをロードします。 以下はその例です。 https://localhost/FederationMetadata/2007-06/FederationMetadata.xml このファイルをダウンロードして、コンピュータに保存します。

フェデレーションメタデータをインポート

Keeper管理コンソールのSSOクラウド設定画面で、IdPタイプとして[ADFS]を選択し、前の手順で保存したフェデレーションメタデータファイルをインポートします。

Keeperメタデータをエクスポート

プロビジョニング画面に戻り、[表示]をクリックします。

次に、後ほど証明書利用者信頼 (Relying Party Trust) ウィザードでインポートするため、Keeperメタデータファイルをダウンロードします。Keeper SSO Connect Cloud™のプロビジョニングの[表示]をクリックします。

[メタデータをエクスポート]ボタンをクリックして、config.xmlファイルをダウンロードします。

AD FSの設定を完了

KeeperのCloud SSO SP証明書の有効期限は1年間のみです。毎年、管理コンソールから最新のKeeper SP証明書をダウンロードして、AD FSのRelying Party Trust (証明書利用者信頼) の設定にアップロードする必要があります。

証明書の有効期限が迫っている際には、Keeperからすべてのユーザーにお知らせします。

証明書利用者信頼 (Relying Party Trust) を作成

Keeper SSO Connectを証明書利用者信頼として作成します。

Keeperメタデータをインポート

以下に見られるように、証明書利用者信頼 (Relying Party Trust) ウィザードを完了して、Keeper SSO Connect Cloudの表示画面から前もってエクスポートしたKeeperメタデータファイルをインポートします。

Welcome (ようこそ) 画面で[Claim aware] (要求に対応する) を選択し、Keeperから保存したメタデータファイルを選択します。

ログアウトエラーを防ぐには、証明書利用者信頼 (Relying Party Trust) のSAMLログアウトエンドポイントをhttps://<ご利用のADFSサーバーのドメイン名>/adfs/ls/?wa=wsignout1.0に変更します。

要求発行ポリシー規則を作成

AD FSとKeeperの間で属性をマッピングするには、[LDAP 属性を要求として送信する] (Send LDAP Attributes as Claims) で要求発行ポリシーを作成し、LDAPの属性をKeeper Connectの属性にマッピングする必要があります。

3つの属性 (First (名)、Last (姓)、Email (メール)) が上記のように正確なスペルで設定されていることをご確認ください

ログアウトのサポート用に、さらに2つの要求発行ポリシー規則を追加する必要があります。

要求規則に追加する構文をコピーするには、以下のテキストをコピーしてカスタム規則に貼り付けます。

c1:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
 && c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant"]
 => add(store = "_OpaqueIdStore", types = ("http://mycompany/internal/sessionid"), query = "{0};{1};{2};{3};{4}", param = "useEntropy", param = c1.Value, param = c1.OriginalIssuer, param = "", param = c2.Value);

入力方向の要求の種類 (Incoming claim type): http://mycompany/internal/sessionid 送信方向の要求の種類 (Outgoing claim type) : Name ID (名前ID) 送信される名前IDの形式 (Outgoing name ID format) : Transient Identifier (一時識別子)

SAML署名の設定

a. AD FSサーバーで管理者としてPowershellを開きます。 b. 以下のコマンドを実行してSSO Connect Relying Party Trust Identifier (証明書利用者信頼の識別子) の文字列を特定します。

Get-ADFSRelyingPartyTrust

このコマンドを実行すると、長い出力リストが生成されます。SSO Connectセクションと「識別子」(Identifier) の文字列を探します。 この文字列は以下のようになります。 https://keepersecurity.com/api/rest/sso/saml/459561502484

c.以下のコマンドを実行し、<Identifier>を手順(b)で見つけた文字列に置き換えます。

Set-ADFSRelyingPartyTrust -TargetIdentifier <Identifier> -samlResponseSignature MessageAndAssertion

Get-ADFSRelyingPartyTrustを再度実行すると、SamlResponseSignatureセクションが「MessageAndAssertion」に設定されていることが確認できます。

AD FSサービスを再起動

サービスマネージャから、AD FSサービスを再起動します。

SAMLアサーションの署名は、AD FS環境で適切に設定する必要があります。署名が設定されていない場合は、署名を設定してから、再設定後にAD FSとKeeper SSO Connect間でメタデータを再度交換する必要があります。

トラブルシューティング

テスト目的または内部PKI証明書のために、IdPでの証明書の有効性確認を無効にする必要がある場合は、以下のPowershellコマンドをご使用ください。 < Identifier>を上記の「SAML署名の設定」 の手順で特定した文字列に置き換えます。

Set-ADFSRelyingPartyTrust -TargetIdentifier 
<Identifier> -EncryptionCertificateRevocationCheck None
Set-ADFSRelyingPartyTrust -TargetIdentifier 
<Identifier> -SigningCertificateRevocationCheck None

備考: 署名設定に何らかの変更を加えると、IdPとSSO Connectの間でXMLメタデータの交換が必要になる場合があります。

既存のユーザー/初期管理者をSSO認証に移行

ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。

管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

最終更新