目次 1. はじめに 本ドキュメントについて 注意事項 お客さまへのお願い 商標について マークについて DataSpider BPM のシングルサインオンについて... 4

DataSpider BPM 2.5

シングルサインオンの設定方法

(第一版)

目次

1. はじめに ... 1 1.1. 本ドキュメントについて ... 1 1.2. 注意事項 ... 2 1.2.1. お客さまへのお願い... 2 1.2.2. 商標について ... 2 1.3. マークについて ... 3 2. DataSpider BPM のシングルサインオンについて ... 4 2.1. 提供しているSSO 環境 ... 4 2.2. 前提条件 ... 4 2.3. 認証の流れ ... 5 3. SSO 環境の設定参考例 ... 6 3.1. 環境説明 ... 6 3.2. 事前設定(参考): KDS ルートキーの作成 ... 7 3.3. 事前設定(参考): ADFS 3.0 のインストール... 8 3.4. 事前設定(参考): ADFS 3.0 の構成 ... 13 3.5. 事前設定(参考): ADFS 3.0 の基本設定 ... 18 3.6. 事前設定(必須): DataSpider BPM の設定準備 ... 25 3.6.1. キーストアおよびサービスプロバイダ証明書の作成 ... 25 3.6.2. 設定ファイル(qbpms.config)の設定 ... 26 3.7. 事前設定(必須): DataSpider BPM のシステム設定 ... 29 3.8. 事前設定(必須): ID プロバイダの設定 ... 32 3.9. 動作確認: SSO 環境でログインする ... 42

1. はじめに

1.1. 本ドキュメントについて

本ドキュメントでは、DataSpider BPM(製品版/評価版 共通)において、シングルサインオン環境を構築する ための設定方法を説明しています。

1.2. 注意事項

1.2.1. お客さまへのお願い

 本ソフトウェアの著作権は株式会社アプレッソまたはそのライセンサーが所有しています。  本ソフトウェアおよび本ドキュメントを無断で複製、転載することを禁止します。  本ドキュメントは万全を期して作成されていますが、万一不明な点や誤り、記載もれなど、お気づき の点がございましたら弊社までご連絡ください。  本ソフトウェアは使用者の責任でご使用ください。ご使用の結果、万一トラブルおよび訴訟等が発生 しましても、あらゆる直接、または間接の損害および損失につきまして、弊社は一切責任を負わない ものとします。あらかじめご了承ください。  本ソフトウェアの仕様や本ドキュメントに記載されている内容は、改善のため予告なしに変更される ことがあります。  本ソフトウェアの使用には、ソフトウェアライセンス契約が必要で、株式会社アプレッソまたはその ライセンサーの重要な業務機密と独自の情報が含まれており、日本国政府の著作権法で保護されてい ます。株式会社アプレッソまたはそのライセンサーのソフトウェアと本ドキュメントの無断使用は、 損害賠償、刑事訴訟の対象となります。

1.2.2. 商標について

 APPRESSO、APPRESSO ロゴ、アプレッソ、DataSpider、DataSpider マーク、データスパイダー、Servista、 Servista ロゴ、サービスタは、株式会社アプレッソの商標または登録商標です。

 APPRESSO、APPRESSO ロゴ、アプレッソ、DataSpider、DataSpider マーク、データスパイダー、Servista、 Servista ロゴ、サービスタ以外の会社名、製品名、サービス名等は、各社の登録商標または商標です。  個々のページに表示・記載されたこれら商標等の複製・転用を禁止致します。

1.3. マークについて

本ドキュメント内で使用しているマークについての説明は以下の通りです。 マーク 説明 操作や設定に関するヒントであることを表します。 操作や設定に関する注意事項や制限事項であることを表します。 詳細な説明が別の項目に記載されていることを表します。 また、説明は次の規則に沿って行われています。  画面に表示されるメニュー名、タブ名、プロパティ項目名および値、ボタン名は[]で囲んで表します。 また、それ以外の機能名や画面のタイトル、名称のないものは「」で囲んで前者と区別しています。  $DSBPM_HOME は、DataSpider BPM をインストールしたディレクトリを表します。 デフォルトでは、 「C:\DSBPM」となります。

 $DSS_HOME は、DataSpider Servista (Server)のインストールディレクトリを表します。

 $JRE_HOME は、DataSpider BPM のインストール時に選択した JavaVM(JRE)のインストールディレク トリを表します。

 JRE をインストールした場合： 例) C:\Program Files\Java\jre1.8.0_141  JDK をインストールした場合： 例) C:\Program Files\Java\jdk1.8.0_141\jre  $PSQL_HOME は、PostgreSQL データベースのインストールディレクトリを表します。  <>で囲まれた名称は、可変であることを表します。

2. DataSpider BPM のシングルサインオンについて

DataSpider BPM では、シングルサインオン(以降、SSO と呼びます)によるログイン認証機能を提供してお り、次項に説明する条件を満たす環境において、共通のユーザ認証情報によるDataSpider BPM システムへ のログイン処理を行うことができます。

2.1. 提供している SSO 環境

 SAML 2.0 準拠の SAML サーバまたは SSO ログイン認証プロバイダ(以降、ID プロバイダと呼びます)

2.2. 前提条件

必要条件項目 備考 ユーザおよび組織データ ※DataSpider BPM 側にも、同じユーザおよび組織データが 必要となります。 シ ン グ ル サ イ ン オ ン の み で DataSpider BPM を使用する場合は、 DataSpider BPM 側のユーザデータ のパスワードは仮のものでも構い ません。 SAML 2.0 準拠の ID プロバイダ ID プロバイダからのログインには対応しておりません。 ※DataSpider BPM でのシングルサインオンは、サービスプ ロバイダを起点としたシングルサインオン(SP-initiated SSO)となります。 ロ グ イ ン す る 際 に は 、 初 め に DataSpider BPM にアクセスする必 要があります。 ID プロバイダ側のログイン処理では、POST 形式のみに対応 しています。 ユーザID として、メールアドレスを使用している必要があ ります。 (※) (※)ID プロバイダによっては、可能な場合があります。 ユーザ情報にメールアドレスが保持されており、認証時にDataSpider BPM 側の「ユーザ ID」(メール アドレス)とのマッチングが行えるような ID プロバイダの場合は、その必要はありません。

2.3. 認証の流れ

[各構成要素]

ID プロバイダ： SAML サーバまたは SSO ログイン認証プロバイダを意味します。

ここには、認証サービスとユーザ情報を保持しているディレクトリサービス(Active Directory や LDAP など)やデータベースが含まれます。

DataSpider BPM： SSO を適用するソフトウェアのサービスプロバイダ(DataSpider BPM)を意味します。 ユーザ： DataSpider BPM を使用するユーザまたはブラウザを意味します。 [認証の流れ(概要)] (前提) DataSpider BPM のログイン画面へアクセス ① ユーザ認証情報を入力せずに[ログイン]ボタンを押下 ③ ID プロバイダのログイン画面が表示され、ユーザ認証情報を入力 ⑥ DataSpider BPM にリダイレクトされ、ログイン処理完了 ② ID プロバイダのログイン画面へリダイレクト ④ 認証処理 ⑤ 認証結果の送信

③

⑤

Dat aSpider BPM ユーザ

①

②

IDプロバイダ

④

⑥

3. SSO 環境の設定参考例

3.1. 環境説明

この章では、SAML 2.0 準拠の SSO 環境を構築するための手順を以下の環境例をもとに説明します。 説明するにあたり、ID プロバイダを構成する SSO 認証サービスソフトウェアとして、Microsoft Corporation が提供している「Active Directory Federation Services 3.0(以降、ADFS 3.0 と呼びます)」を使用しています。 また、ユーザ認証のためのユーザ情報は、Active Directory(以降、AD と呼びます)に保持・管理しており、 以下の環境があらかじめ用意されていることを前提としております。

ID プロバイダおよびサービスプロバイダ(DataSpider BPM)のシステム時刻は事前に合わせるよう願い ます。各マシンのシステム時刻が合っていない場合、認証処理のライフサイクルに影響し、SSO でのロ グイン処理が正常に行われません。

[ID プロバイダの環境例] OS は Windows Server 2012 R2 を使用します。 コンピュータ名： ADFS30 ドメイン名： bpmad2012.local 認証サービス： ADFS 3.0 以降でインストールおよび設定します。 ユーザ情報： AD 使用可能な状態とします。 [登録されているユーザ情報] ユーザログオン名： [email protected] 表示名： 伊藤 電子メール： [email protected] その他： 任意 その他： サーバー証明書を用意します。 事前に用意してください。 [サービスプロバイダ(DataSpider BPM)の環境例] OS は適宜対応する環境を使用します。 インストールDir： C:\DSBPM ユーザ情報： [登録されているユーザ情報] ユーザ名： 伊藤

3.2. 事前設定(参考): KDS ルートキーの作成

ADFS 3.0 をインストールする前に、KDS(Key Distribution Services)のルートキーを作成します。

ID プロバイダとして、ADFS 3.0 を使用しない場合は必要ありません。

1. Windows PowerShell を起動します。

2. 以下のコマンドレットを入力し、[ENTER]キーを押下します。

KDS ルートキーの作成は実行 10 時間後に作成されるため、現在時刻から 10 時間を差し引いた 時間を指定して即時に作成します。

Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))

3.3. 事前設定(参考): ADFS 3.0 のインストール

ADFS 3.0 をインストールするには、以下の作業を行います。 ID プロバイダとして、ADFS 3.0 を使用しない場合は必要ありません。 1. サーバーマネージャーの[管理]メニューから、[役割と機能の追加]メニューを選択します。 2. 役割と機能の追加ウィザードが起動します。 「開始する前に」画面にて、[次へ]ボタンを押下します。 3. 「インストールの種類の選択」画面が表示されます。 [役割ベースまたは機能ベースのインストール]を選択し、[次へ]ボタンを押下します。

4. 「対象サーバーの選択」画面が表示されます。

5. 「サーバーの役割の選択」画面が表示されます。

[Active Directory Federation Services]にチェックを入れ、[次へ]ボタンを押下します。

6. 「機能の選択」画面が表示されます。 [次へ]ボタンを押下します。

7. 「Active Directory フェデレーションサービス(ADFS)」画面が表示されます。 [次へ]ボタンを押下します。

8. 「インストールオプションの確認」画面が表示されます。 [インストール]ボタンを押下します。

9. 「インストールの進行状況」画面が表示されます。

3.4. 事前設定(参考): ADFS 3.0 の構成

ADFS 3.0 の機能構成方法について説明します。 ID プロバイダとして、ADFS 3.0 を使用しない場合は必要ありません。 1. サーバーマネージャーのメニューに表示される警告アイコンを押下し、[このサーバーにフェデレ ーションサービスを構成します。]リンクを押下します。 2. Active Directory フェデレーションサービス構成ウィザードが起動します。 「ようこそ」画面にて、[フェデレーションサーバーファームに最初のフェデレーションサーバ ーを作成します]を選択し、[次へ]ボタンを押下します。

3. 「Active Directory ドメインサービスへの接続」画面が表示されます。 Active Directory ドメイン管理者を選択し、[次へ]ボタンを押下します。

4. 「サービスのプロパティの指定」画面が表示されます。

[SSL 証明書]を開き、あらかじめ作成したサーバー証明書をリストから選択します。

5. 「サービスアカウントの指定」画面が表示されます。

ここでは、[グループ管理サービスアカウントを作成します]を選択します。 [アカウント名]に適切な値を入力し、[次へ]ボタンを押下します。

6. 「構成データベースの指定」画面が表示されます。

[Windows Internal Database を使用してサーバーにデータベースを作成します。]を選択し、 [次へ]ボタンを押下します。

7. 「オプションの確認」画面が表示されます。 表示内容を確認し、[次へ]ボタンを押下します。

8. 「前提条件の確認」画面が表示されます。

9. 「インストール」画面が表示されます。

インストールが開始されます。しばらくお待ちください。

10. 「結果」画面が表示されます。

表示内容を確認し、[閉じる]ボタンを押下します。

3.5. 事前設定(参考): ADFS 3.0 の基本設定

ID プロバイダとして、ADFS 3.0 を使用しない場合は必要ありません。 1. サーバーマネージャーの[ツール]メニューから、[ADFS の管理]メニューを選択します。 2. ADFS の管理スナップインが起動します。 左ペインの[ADFS]を選択し、マウスの右クリックメニューから[フェデレーションサービスのプロ パティの編集]メニューを選択します。

3. フェデレーションサービスのプロパティ設定ダイアログが表示されます。 [フェデレーションサービスの識別子]に登録されている URL の「http://～」箇所を SSL 通信を行 うため「https://～」に変更します。また、以降の設定でこの値をサービスプロバイダ(DataSpider BPM)に[エンティティ ID]として登録するため、値をひかえておきます。 ここでは、「https://ADFS30.bpmad2012.local/adfs/services/trust」となります。 値をひかえたら、[OK]ボタンを押下します。

4. 左ペインの[サービス] – [エンドポイント]を選択し、エンドポイント(中央のペイン)に表示され る一番上の値を確認します。 以降の設定で、「https://ADFS30.bpmad2012.local」を付加した値をサービスプロバイダ (DataSpider BPM)に[ログインページ URL]として登録するため、値をひかえておきます。 ここでは、「https://ADFS30.bpmad2012.local/adfs/ls/」となります。 5. 左ペインの[サービス] – [証明書]を選択し、証明書(中央のペイン)に表示される各種証明書から、 以下の証明書をエクスポートします。  トークン署名：フェデレーションサーバーのトークン署名証明書となっています。 この証明書は、SSO の認証結果を ID プロバイダとサービスプロバイダ (DataSpider BPM)との間で相互信頼するための証明書であり、サービスプ ロバイダ(DataSpider BPM)に[証明書]として登録するために必要となりま す。  サービス通信：フェデレーションサーバーのサーバー証明書となっています。 この証明書は、あらかじめ自己署名証明書として作成したためクライアン トの証明書ストアにインストールする必要があります。 6. まずはトークン署名証明書をエクスポートするため、証明書(中央のペイン)のトークン署名に表 示される証明書をダブルクリックします。

8. 証明書のエクスポートウィザードが表示され、「証明書のエクスポートウィザードの開始」画面 が表示されます。

[次へ]ボタンを押下します。

9. 「エクスポートファイルの形式」画面が表示されます。

10. 「エクスポートするファイル」画面が表示されます。

任意のディレクトリに、「adfs30token.cer」というファイル名を入力し、[次へ]ボタンを押下 します。

11. 「証明書のエクスポートウィザードの完了」画面が表示されます。 [完了]ボタンを押下します。

12. 次にサーバー証明書をエクスポートするため、証明書(中央のペイン)のサービス通信に表示され る証明書をダブルクリックします。 この作業は、フェデレーションサーバのサーバー証明書に、自己署名証明書を使用している ため必要な作業となっています。 エクスポートの操作手順は、以下の項目以外はトークン署名証明書の場合と同様となってお り、以降の手順説明を省略します。  秘密キーのエクスポート： 「いいえ、秘密キーをエクスポートしません」

 エクスポートファイルの形式： 「DER encoded binary X.509 (.CER)」

 エクスポートするファイル名： 「adfs30server.cer」 任意のディレクトリを指定 13. サーバー証明書をあらかじめクライアントの証明書ストアにインストールします。 この作業は、フェデレーションサーバのサーバー証明書に、自己署名証明書を使用してい るため必要な作業となっています。 [Internet Explorer の場合] 1. ブラウザの[ツール]メニューから、[インターネットオプション]メニューを選択します。 2. [コンテンツ]タブを選択し、[証明書]ボタンを押下します。 3. [信頼されたルート証明機関]タブを選択し、[インポート]ボタンを押下します。 4. 証明書のインポートウィザードが起動します。[次へ]ボタンを押下します。 5. 「インポートする証明書ファイル」画面にて、以前エクスポートした「adfs30server.cer」を 選択します。 6. 「証明書ストア」画面にて、以下が選択されていることを確認し、[次へ]ボタンを押下しま す。選択されていない場合は、[参照]ボタンで選択してください。  [証明書をすべて次のストアに配置する]：チェックが入っていること  [証明書ストア]： 「信頼されたルート証明機関」 7. 「証明書のインポートウィザードの完了」画面にて、[完了]ボタンを押下します。 8. セキュリティ警告のダイアログが表示されます。[はい]ボタンを押下します。 9. 「正しくインポートされました。」のメッセージダイアログが表示されます。[OK]ボタンを 押下します。 10. 証明書ダイアログにて、[閉じる]ボタンを押下します。 11. インターネットオプションダイアログにて、[OK]ボタンを押下します。 12. ブラウザを再起動します。

1. ブラウザの[ツール]メニューから、[オプション]メニューを選択します。 2. [詳細]アイコンの[証明書]タブを選択し、[証明書を表示]ボタンを押下します。 3. 証明書マネージャが起動します。[サーバ証明書]タブを選択し、[例外を追加]ボタンを押下 します。 4. セキュリティ例外の追加ダイアログが表示されます。[URL:]に、 「https://ADFS30.bpmad2012.local」を入力し、[証明書を取得]ボタンを押下します。 5. [セキュリティ例外を承認]ボタンを押下します。 6. 証明書マネージャにて、[OK]ボタンを押下します。 7. オプションダイアログにて、[OK]ボタンを押下します。 8. ブラウザを再起動します。 [Chrome の場合]

Internet Explorer と同じ証明書ストアを使用していますので、Internet Explorer の設定を行った 場合は、特に設定の必要はありません。

3.6. 事前設定(必須): DataSpider BPM の設定準備

DataSpider BPM 側で SSO に関する以下の設定準備作業を行います。

3.6.1. キーストアおよびサービスプロバイダ証明書の作成

この作業は、SSO において認証リクエストにサービスプロバイダの証明書が必要な場合のみ作業する 必要があります。必要かどうかは、使用しているID プロバイダに依存します。 ここでは、自己署名証明書として証明書を作成します。 正規の証明書を作成する場合は、インストールガイドの「11.1. keytool を使用した鍵とサーバ証明書 の生成」を参照してください。 1. DataSpider BPM を停止します。 操作方法に関する詳細は、インストールガイドの「4.2. 停止」を参照してください。 2. コマンドプロンプトを起動し、以下のコマンドを入力します。 C:\> cd $JRE_HOME\bin [RETURN]

$JRE_HOME\bin> keytool -genkeypair -alias <キーエイリアス名> -keyalg RSA

-keysize 2048 -keystore <キーストアファイルパス> -ext san=dns: <ホスト名>

[RETURN] キーストアのパスワードを入力してください: <キーストアパスワード> [RETURN] 新規パスワードを再入力してください: <キーストアパスワード> [RETURN] 姓名は何ですか。 [Unknown]: <ホスト名> [RETURN] 組織単位名は何ですか。 [Unknown]: <部署名> [RETURN] 組織名は何ですか。 [Unknown]: <会社名> [RETURN] 都市名または地域名は何ですか。 [Unknown]: <住所> [RETURN] 都道府県名は何ですか。 [Unknown]: <都道府県> [RETURN] この単位に該当する2 文字の国コードは何ですか。 [Unknown]: JP [RETURN] CN=ホスト名, OU=部署名, O=会社名, L=住所, ST=都道府県, C=JP でよろしいですか? [いいえ]: はい [RETURN] <bpmsaml> の鍵パスワードを入力してください。 (キーストアのパスワードと同じ場合は RETURN を押してください): <キーエイリ アスパスワード> [RETURN] 新規パスワードを再入力してください: <キーエイリアスパスワード> [RETURN]

 キーエイリアス名： bpmsaml

 キーストアファイルパス： C:\DSBPM\conf\.samlkeystore  キーストアパスワード： keystorepass

 キーエイリアスパスワード： keyaliaspass

上記の $JRE_HOME は、DataSpider BPM のインストール時に選択した JavaVM(JRE) のインストール ディレクトリです。JDK を選択している場合は、jre ディレクトリ直下を指します。

SSL 通信設定を行った際に作成したキーストアとは別のキーストアに作成・格納してください。

一部のブラウザでは、姓名(CN)ではなくサブジェクトの別名(Subject Alternative Name)の指定が必須 となります。自己署名証明書を使用する場合には、-ext オプションを指定します。 作成した証明書の有効日数は初期値では90 日となっています。証明書を作成する際に有効日数を指定 することも可能です。指定方法の詳細は、インストールガイドの「11.1. keytool を使用した鍵とサーバ 証明書の生成」を参照してください。

3.6.2. 設定ファイル(qbpms.config)の設定

DataSpider BPM 側の設定ファイル(qbpms.config)にて、SSO に関する以下の設定作業を行います。 1. C:\DSBPM\qbpms.config をテキストエディタで開きます。

2. C:\DSBPM\qbpms.config の「### SSO SAML Configuration ###」以降を編集します。

[SSO において認証リクエストにサービスプロバイダの証明書が必要ない場合] ### SSO SAML Configuration ###

qbpms.saml.authnRequestsSigned=false qbpms.saml.logoutRequestSigned=false

#qbpms.saml.keystore.file= #qbpms.saml.keystore.type=JKS

「qbpms.saml.authnRequestsSigned」および「qbpms.saml.logoutRequestSigned」箇所のコ メント「#」をはずします。設定値は、「false」のままにします。

その他の設定箇所は、コメント「#」のままにします。

[SSO において認証リクエストにサービスプロバイダの証明書が必要な場合]

設定項目すべてのコメント「#」をはずしてください。 ### SSO SAML Configuration ###

qbpms.saml.authnRequestsSigned=  シングルサインオンの認証リクエストにサービスプロバイダの証明書が必要な場合は、 「true」。必要ない場合は、「false」を指定します。 qbpms.saml.logoutRequestSigned=  シングルログアウトの認証リクエストにサービスプロバイダの証明書が必要な場合は、 「true」。必要ない場合は、「false」を指定します。 qbpms.saml.keystore.file=  証明書を含める場合において、証明書と通信データを暗号化/複合化するための公開鍵およ び秘密鍵(キーペア)を保持しているキーストアファイルの場所を設定します。  キーストアファイル名も含めた、DataSpider BPM が参照できるサーバ上のファイルパスを 記述します。例) file:///C:/DSBPM/conf/.samlkeystore qbpms.saml.keystore.type=JKS  キーストアファイルの形式を設定します。

 初期値は「JKS」(Java Key Store)となっており、変更する必要はありません。 qbpms.saml.keystore.password=  キーストアファイルのパスワードを設定します。 qbpms.saml.keystore.keyAlias=  登録したキーペアのキーストアファイル内での登録名(キーエイリアス)を設定します。 qbpms.saml.keystore.keyPassword=  キーエイリアスのパスワードを設定します。 [ADFS 3.0 を使用した説明環境での設定値(例)] ### SSO SAML Configuration ###

qbpms.saml.authnRequestsSigned=true qbpms.saml.logoutRequestSigned=true

qbpms.saml.keystore.type=JKS qbpms.saml.keystore.password=keystorepass qbpms.saml.keystore.keyAlias=bpmsaml qbpms.saml.keystore.keyPassword=keyaliaspass 3. C:\DSBPM\qbpms.config の編集を保存して閉じます。 4. DataSpider BPM を起動します。 操作方法に関する詳細は、インストールガイドの「4.1. 起動」を参照してください。 正常に起動しない場合は、上記の設定に誤りがある可能性があります。設定項目を再度確認 してください。

3.7. 事前設定(必須): DataSpider BPM のシステム設定

DataSpider BPM 側で SSO に関する以下のシステム設定作業を行います。 1. DataSpider BPM のログイン画面にアクセスし、管理者のアカウントでログインします。 2. 画面右上に表示されている[▼]のリストから、[システム設定]を選択し、サイドメニューから[SSO (SAML)]メニューを選択します。 3. 表示されるシングルサインオン(SAML)画面にて、以下に説明する各設定を行います。  [シングルサインオンを有効にする]：(必須)チェックを入れてください。 チェックを入れた場合、ID プロバイダの情報を入力 するフィールドが画面に表示されます。  [パスワードログインを禁止]： (任意)DataSpider BPM へのログイン処理にて、SSO に よるログインのみを有効にしたい場合は、チェックを 入れます。 チェックを入れた場合は、ログイン画面の[メールア ドレス]および[パスワード]の入力項目が非表示とな ります。 4. [IdP 設定](ID プロバイダの設定情報)に、以下に説明する各設定を行います。  [エンティティ ID]： (必須)ID プロバイダを識別するためのエンティティ ID を入力してください。

 [ログインページ URL]： (必須)POST 方式でログインする際の、ID プロバイダ 側のエンドポイントURL を入力してください。  [ログアウトページ URL]： (任意)ID プロバイダ側が対応している場合に、シング ルログアウトを行う際の、ID プロバイダ側のエンド ポイントURL を入力してください。 未入力の場合は、DataSpider BPM のログアウトペー ジを表示します。

 [NameID フォーマット]： (任意)ID プロバイダが Azure Active Directory の場合、 以下の名前ID フォーマット URI を入力してください。 urn:oasis:names:tc:SAML:1.1:nameid-format:

コピー&ペーストしてください。 Base64 形式でエクスポートしたトークン署名証明書 をテキストエディタなどで開き、表示される値を使用 してください。 [ADFS 3.0 を使用した説明環境での設定値(例)]  [エンティティ ID]： https://ADFS30.bpmad2012.local/adfs/services/trust  [ログインページ URL]： https://ADFS30.bpmad2012.local/adfs/ls/  [ログアウトページ URL]： ここでは未入力  [NameID フォーマット]： ここでは未入力  [証明書]： ～ (省略) ～ 5. [SP 情報](DataSpider BPM の設定情報)に表示される、以下の各表示値をひかえておきます。この 表示値は、以降で説明するID プロバイダの設定の際に必要な情報となります。  [エンティティ ID]： (必須)サービスプロバイダ(DataSpider BPM)のエンテ ィティID が表示されます。

 [ACS URL]： (必須)サービスプロバイダ(DataSpider BPM)のアサー ションコントロールサービスURL が表示されます。

BPM)の証明書の内容が表示されます。 表示される証明書の内容は「証明書」として ID プロ バイダの設定で必要となります。表示内容をすべてコ ピーし、テキストエディタなどでファイル名 「bpmsaml.cer」として保存しておきます。 設定ファイル(qbpms.config)の、SAML シングルサ インオン設定項目(qbpms.saml.keystore.～)を設 定した場合のみ表示されます。 Firefox では、表示される値を画面から直接コピー することができません。ブラウザ上のマウス右ク リックメニューで表示される[ページのソースを 表示]で表示されるソースから取得してください。 [ADFS 3.0 を使用した説明環境での表示値(例)]  [エンティティ ID]： https://dsbpmserver:18443/userweb/

 [ACS URL]： https://dsbpmserver:18443/userweb/saml/SSO/ alias/bpm

 [シングルログアウトサービス URL]：https://dsbpmserver:18443/userweb/saml/ SingleLogout/alias/bpm

 [証明書]： ～ (省略) ～

パスワードログインを禁止した場合でも、ログイン画面右側に表示されている鍵マークを選 択することにより、[メールアドレス]および[パスワード]の入力項目が表示されます。システ ム管理者であればパスワードログイン処理でDataSpider BPM へログインすることができます。 システム管理者以外でパスワードログインした場合は、「パスワード認証は禁止されていま す。」のメッセージが表示され、ログインすることができません。

3.8. 事前設定(必須): ID プロバイダの設定

ID プロバイダ側で、SAML 2.0 を使用した SSO を提供するには、以下の設定作業を行います。 使用するID プロバイダにより設定方法は異なります。 1. ADFS 3.0 の管理スナップインにて、左ペインの[ADFS] - [信頼関係] - [証明書利用者信頼]を選択 し、マウスの右クリックメニューから[証明書利用者信頼の追加]メニューを選択します。 2. 証明書利用者信頼の追加ウィザードが起動し、「証明書利用者信頼の追加ウィザードの開始」画 面が表示されます。 [開始]ボタンを押下します。

3.「データソースの選択」画面が表示されます。

[証明書利用者についてのデータを手動で入力する]を選択し、[次へ]ボタンを押下します。

4.「表示名の指定」画面が表示されます。

5.「プロファイルの選択」画面が表示されます。

[ADFS プロファイル]にチェックを入れ、[次へ]ボタンを押下します。

6.「証明書の構成」画面が表示されます。 [次へ]ボタンを押下します。

7.「URL の構成」画面が表示されます。

[SAML 2.0 WebSSO プロトコルのサポートを有効にする]にチェックを入れ、サービスプロバイダ (DataSpider BPM)の[ACS URL]である「https://dsbpmserver:18443/userweb/saml/SSO/alias/bpm」 を入力します。 入力後、[次へ]ボタンを押下します。 8.「識別子の構成」画面が表示されます。 [証明書利用者信頼の識別子]に、サービスプロバイダ(DataSpider BPM)の[エンティティ ID]であ る「https://dsbpmserver:18443/userweb/」を入力し、[追加]ボタンを押下します。 [追加]ボタン押下後、[次へ]ボタンを押下します。

9.「多要素認証設定」画面が表示されます。 [現時点ではこの証明者利用者信頼に多要素認証を構成しない。]を選択し、[次へ]ボタンを押下 します。 10.「発行承認規則の選択」画面が表示されます。 [すべてのユーザーに対してこの証明書利用者へのアクセスを許可する]を選択し、[次へ]ボタン を押下します。

11.「信頼の追加の準備完了」画面が表示されます。

ウィザードでの設定内容が表示されます。表示内容を確認後、[次へ]ボタンを押下します。

12.「完了」画面が表示されます。

[ウィザードの終了時にこの証明書利用者信頼の[要求規則の編集]ダイアログを開く]にチェック を入れ、[閉じる]ボタンを押下します。

13. 証明書利用者信頼の追加ウィザードが閉じ、「bpm の要求規則の編集」ダイアログが表示されま す。 [発行変換規則]タブの[規則の追加]ボタンを押下します。 14. 変換要求規則の追加ウィザードが起動し、「規則テンプレートの選択」画面が表示されます。 [要求規則テンプレート]に「LDAP 属性を要求として送信」を選択し、 [次へ]ボタンを押下しま す。

15. 「規則の構成」画面が表示されます。 各項目に以下の値を指定します。  [要求規則名]： 「bpmclaim」を入力します。 任意の値  [属性ストア]： リストから「Active Directory」を選択します。  [LDAP 属性の出力方向の要求の種類への関連付け]  [LDAP 属性]： リストから「E-Mail-Addresses」を選択します。  [出力方向の要求の種類]： リストから「名前ID」を選択します。

上記の要求規則を設定することで、SSO によるユーザ認証後に、ADFS 3.0 が Active Directory に保持されている認証ユーザの[電子メール]の情報を取得し、サービスプロバイダ

(DataSpider BPM)の名前 ID(ユーザ ID)とのマッピングを行います。

設定後、[完了]ボタンを押下します。

16. 変換要求規則の追加ウィザードが閉じ、「bpm の要求規則の編集」ダイアログの[発行変換規則] の一覧に、設定した要求規則が表示されます。

17. ADFS 3.0 の管理スナップインにて、証明書利用者信頼(中央のペイン)に表示されている「bpm」 を選択し、マウスの右クリックメニューから[プロパティ]メニューを選択します。 18. 「bpm のプロパティ」ダイアログが表示されます。 [署名]タブを選択します。 19. サービスプロバイダ(DataSpider BPM)で作成し、エクスポートした証明書を設定します。 [追加]ボタンを押下し、「bpmsaml.cer」を選択します。

20. [詳細設定]タブを選択し、証明書利用者信頼に使用するセキュアハッシュアルゴリズムを選択し ます。

初期状態では「SHA-256」が選択されていますが、使用するセキュアハッシュアルゴリズムは 「SHA-1」となります。リストから「SHA-1」を選択してください。

3.9. 動作確認: SSO 環境でログインする

SAML 2.0 を使用した SSO の設定は完了しました。この章では、設定内容を確認するために、実際に認証ユ ーザアカウントでのログイン処理を行います。 1. DataSpider BPM のログイン画面にアクセスし、[ログイン]ボタンを押下します。 2. ID プロバイダで指定したログインページが表示されます。 ID プロバイダの設定内容により表示されるログイン画面および情報は異なります。適宜ログイ ン認証を行ってください。

ADFS 3.0 で初めてログインする場合のみ、上図のユーザ認証画面が表示されます。Active Directory に登録しているユーザ「[email protected]」でログインしてください。

DataSpider BPM などの Web ベースの SSO サービスプロバイダでは、基本的にはブラウザを 開いている間はログイン(サインイン)の状態を維持します。

ADFS 3.0 で統合 Windows 認証が可能な環境の場合は、クライアントマシンへのログイン認 証で完了するため、上記のユーザ認証画面は表示されません。

DataSpider BPM 2.5 シングルサインオンの設定方法 (第一版)