ADFS および A CTIVE D IRECTORY （AD）グループおよび要求の設定

A.4 ADFS および Active Directory （ AD ）グループおよび要求の

ステップ アクション

ステップ 18 [リダイレクトURI（Redirect URI）]（OAuth2 ADFS 設定内の項目）を追加し、

[次へ >（Next >）] をクリックします。

ステップ 19 [共有シークレットを生成する（Generate a shared secret）] を選択し、[次へ >

（Next >）] をクリックします。

注：このシークレットは未使用です。

ステップ 20 作成したアプリケーショングループを開き、ステップ 9 で作成した API オブジェ クト（ダブルクリック）を開きます。これですべての手順が完了です。続けて、

AD グループを SSM オンプレミスの RBAC 要求に関連付けることができます。

ADFS の実装とベアラートークンの生成

ADFS を実装（Microsoft Windows Server 2016 または 2019 を使用）する場合、ベアラートークンを

作成する役割を担うのはシステム管理者のロールを持つユーザです。他のユーザロールでベアラートー クンを生成しようとすると、次のメッセージが表示されてエラーになります。

We’re sorry, but something went wrong (500).

AD グループと SSM オンプレミスの RBAC 要求の関連付け

AD グループを SSM オンプレミスの RBAC 要求に関連付けるには、次の手順を実行します。

ステップ アクション

ステップ 1 [発行変換規則（Issuance Transform Rules）] > [規則の追加（Add Rule）] の順 に移動します。

ステップ 2 この要求に追加する規則として [Send Group Membership] を選択し、[次へ >

（Next >）] をクリックします。

ステップ 3 [要求規則名（Claim Rule Name）] を入力し、対象とする AD ユーザのグループ を探して選択します。

ステップ 4 出力方向の要求の種類を適用するロールを選択します。

ステップ 5 以下に挙げる要求のいずれかを [出力方向の要求の値（Outgoing Claim Value）] フィールドに入力します。

• ONPREM-SYSADMIN：（ユーザグループ：

SLS-OAUTH\ONPREM-SYSADMIN、出力方向の要求の種類：ロール、出力方向の要求の値：

ONPREM-SYSADMIN）

• ONPREM-SYSOP：（ユーザグループ：SLS-OAUTH\ONPREM-SYSOP、出

力方向の要求の種類：ロール、出力方向の要求の値：ONPREM-SYSOP）

• ONPREM-SYSUSER：（ユーザグループ：

SLS-OAUTH\ONPREM-SYSUSER、出力方向の要求の種類：ロール、出力方向の要求の値：

ONPREM-SYSUSER）

ステップ 6 [完了（Finish）] をクリックします。これで、クライアントの権限を設定する準 備ができました。

クライアントの権限設定

OAuth2 ADFS 用にクライアントの権限を設定するには、次の手順を実行します。

ステップ アクション

ステップ 1 [Web API Properties] > [クライアントのアクセス許可（Client Permissions）] の順に移動します。

ステップ 2 [追加（Add）] をクリックしてクライアントを追加します。

ステップ 3 次の範囲でアクセスを許可するクライアントを選択します。

• allatclaimes

• email

• openid

これで、OAuth2 ADFS と AD グループに SSM オンプレミスの RBAC 要求が設定されました。該当の AD グループのユーザは、OAuth2 ADFS を介して SSM オンプレミスにログインすると、割り当てられ たロール（管理者、システムオペレータ、システムユーザなど）専用のアクセス権限が付与されます。