A. はい。 "Home Realm Discovery" は、 SP-Initiated SSO フローで利用されている APIです。
SAP Concur メタデータを入手する
SAP Concur メタデータの入手には 2 つの方法があります。
• [シングル サインオンの管理] ページで、[URL コピー] をクリックしてから、お使い のブラウザにコピーした URL を貼り付けます。
• [シングル サインオンの管理] ページで、[ダウンロード] をクリックして SAP Concur メタデータ ファイルをダウンロードします。
ADFS の設定
設定方法:1. [Relying Party Trusts] ウィザードを起動して、[Relying Party Trusts] をクリッ クします。
2. [Add Relying Party Trust] をクリックします。
4. [Select Data Source] ステップでは、[Enter data about the relying party] を 選択してから、[Next] をクリックします。
5. [Specify Display Name] ステップでは、[Display Name] フィールドに「SAP
Concur」と入力してから、[Next] をクリックします。
6. [Choose Profile] ステップでは、[AD FS Profile] を選択してから、[Next] をクリ ックします。
7. SAP Concur 暗号化証明書を手動でアップロードする必要があります。SAP Concur メ
8. [Configure Certificate] ステップでは、[Browse] をクリックして暗号化証明書をア ップロードし、[Next] をクリックします。
9. [Configure URL] ステップでは、[Enable support for the SAML 2.0 Web SSO protocol] チェックボックスを選択(有効化)します。
10. [Relying party SAML 2.0 SSO service URL] フィールドに適切な URL を入力し ます。
アメリカ(北米): https://www-us.api.concursolutions.com/sso/saml2/V1/ acs/
EMEA: https://www-emea.api.concursolutions.com/sso/saml2/ V1/acs/
中国: https://www-cn.api.concurcdc.cn/sso/saml2/V1/acs/
11. [Next] をクリックします。
12. [Configure Identifiers] ステップでは、[Relying party trust identifier] フィ ールドに適切な URL を入力します。
アメリカ(北米):
https://us.api.concursolutions.com/saml2
EMEA: https://emea.api.concursolutions.com/saml2
中国: https://cn.api.concurcdc.cn/saml2
13. [Next] をクリックします。
14. [Configure Multi-factor Authentication Now?] ステップでは、[I do not want to configure multi-factor authentication settings for this relying party trust at this time] を選択してから、[Next] をクリックします。
15. [Choose Issuance Authorization Rules] ステップでは、[Permit all users to access this relying party] を選択してから、[Next] をクリックします。
16. [Ready to Add Trust] ステップでは、必要に応じて新たに設定した証明書利用者信 頼を見直し、[Next] をクリックします。
17. [Finish] ステップでは、[ウィザードの終了時にこの証明書利用者信頼の [Open the Edit Claim Rules dialog for this relying party trust when the wizard closes] チェック ボックスを選択(有効化)し、[Close] をクリックします。
[Add Transform Claim Rule Wizard] ウィザードが自動的に表示されます。
この画面のサンプルは、具体的な要求規則の設定内容を示しています。
ユーザーが認証するときにアサーションで渡されるName ID の値について、この値はユーザー の SAP Concur ログイン ID と一致する必要があります。SAP Concur をお使いのほとんどの お客様はログイン ID としてメール アドレスを使用していることから、既定では、これが要求規 則を設定する方法になっています。
ただし、たとえば、[email protected] などの異なるフォーマットを SAP Concur ログイン ID に使用している場合は、LDAP 属性が employeeid +
companydomain.com を送信できるように、このルールをカスタマイズする必要があります。
!
重要: ベスト プラクティスは出力方向の要求の種類をName ID のままに保持することです。ADFS メタデータを追加して SAP Concur Site でシングル サインオンを管理する
設定を完了するには、次のいずれかを行います。
• ADFS メタデータ URL を入手する。
• ADFS メタデータ ファイルのコピーをローカル マシンに保存する。
ADFS メタデータ URLまたは保存した ADFS メタデータ ファイルの入手後に、以下のステッ プを完了します。
SAP Concur に ADFS メタデータを入力するには:1. SAP Concur へのサインイン
2. [シングル サインオンの管理] ページにアクセスします。
3. [IdP メタデータ] セクションで [追加] をクリックします。
[IdP メタデータの追加] ページが表示されます。
4. ADFS メタデータを入力するには、[IdP メタデータ] セクションで次のいずれかを行い
ます。
ADFS メタデータ URL を [IdP のメタデータへのリンクの設定] フィールドに入 力します。