1
SAML 認証のための
ADFS - IBM Connections Cloud 設定手順書
日本アイ・ビー・エム株式会社 古谷直之(第二 ESS SW サービス) 吉原洋樹(第二 ESS SW サービス)
日本アイ・ビー・エム システムズ・エンジニアリング株式会社 猶木光彦(オープン・ミドルウェア)
目次
1. はじめに... 3 1.1. 当ドキュメントについて ... 3 1.2. 環境設計... 3 1.2.1. フロー・モデルの設計 ... 3 1.2.2. ログイン・タイプの決定 ... 4 1.2.3. その他情報の決定 ... 51.3. IBM Connections Cloud との SAML 連携手順 ... 5
1.4. IBM Connections Cloud 利用における制約事項 ... 6
1.5. モバイル・アプリケーションを設定する場合 ... 6
1.6. SAML 連携設定の際に接続エラーが生じた場合 ... 6
2. ADFS の構成① ... 7
2.1. トークン署名証明書のエクスポート ... 7
2.2. フェデレーション・メタデータのエクスポート ... 10
3. IBM Connections Cloud の構成 ... 11
3.1. 設計情報とデータの送付 ... 11 4. ADFS の構成② クラウド環境のフェデレーション・メタデータのインポート ... 12 5. 環境接続の確認 ... 20 5.1. 設定の確認 ... 20 5.2. 本番環境への接続 ... 21 参考①:ログイン・タイプ毎のログイン画面遷移 ... 22 参考②:ログイン・タイプの一括指定 ... 23 参考③:ADFS のインストール ... 23 参考④:AD/ADFS 統合設定 ... 27
3
1. はじめに
1.1. 当ドキュメントについて
当ドキュメントは IBM Connections Cloud(旧名 SmarterCloud for SocialBusiness)と Active Directory Federation Server(以下、ADFS)の SAML 連携設定における、ADFS 側の設定手順および IBM Connections Cloud 側の設定手順について記載します。
また、Active Directory(以下、AD)および ADFS の導入については参考情報を記載しますが、当ドキュメント の対象ではありませんのでその動作を保証するものではありません。
本手順は 2015 年 12 月時点のものであり、以降は適宜『IBM Knowledge Center フェデレーテッド ID 管理の セットアップ (https://ibm.biz/BdH2tn)』を参照しながら進めて下さい。 当ドキュメントに記載の IBM サポートは [email protected] になります。 1.2. 環境設計 SAML 連携設定をするにあたり、事前に環境の設計と準備をします。 1.2.1. フロー・モデルの設計 フェデレーテッド ID の構成する際にサポートされているフロー・モデル、認証タイプを決定する必要があり ます。IBM Connections Cloud では 2 つのフロー・モデルがサポートされています。
どちらかのフロー・モデルを使用するか決定してください サポートされているフロー・モデル 概要
SP 開始ハイブリッド・フロー・モデル ユーザーは IBM Connections Cloud へアクセスし、 その後組織の認証に移ります。
モバイル・アプリケーションも使用可能です。
IdP 開始フロー・モデル ユーザーは組織の認証を使い SSO を行うので、IBM Connections Cloud へのログインを省くことが可能です。
SP 開始ハイブリッド・フロー・モデル
本手順では SP 開始 ハイブリッド・フロー・モデルを選択します。
1.2.2. ログイン・タイプの決定
ユーザーが組織の認証 / IBM Connections Cloud の認証のどちらを使用するか、そしてそれらを管理者/ユー ザーのどちらが制御するかを指定します。ログイン・タイプは以下の 4 つを選択できます。
どのログイン・タイプを使用するか決定してください。
ログイン・タイプ 概要
標準 (非フェデレーテッド) ※デフォルト
ユーザーは通常の IBM Connections Cloud の認証を使用します。 管理者はユーザー毎にログイン・タイプを変更することは出来ません。 フェデレーテッド ユーザーは組織の認証を使用します。
管理者はユーザー毎にログイン・タイプを変更することは出来ません。 UserChoice ユーザーは IBM Connections Cloud と組織の認証、どちらを使用するか
IBM Connections Cloud のログイン画面から、ユーザー自身が選択出来 ます。 管理者はユーザー毎にログイン・タイプを変更することは出来ません。 AdminChoice 管理者は「標準」「フェデレーテッド」「UserChoice」のいずれかのログ イン方法をユーザー毎に管理者メニューから設定できます。 管理者はいつでもログイン・タイプを変更することが出来ます。 本手順では AdminChoice を選択します。
5 1.2.3. その他情報の決定 1.2.1、1.2.2 に加え以下の情報を決定します。 使用する SAML のバージョン (SAML1.1 / SAML2.0) Web サーバーに実装する SAML の種類
(Tivoli® Federated Identity Manager / OpenSAML / Active Directory Federation / その他のフェデレーテッド ID マネージャー) モバイル・アプリを設定するか 組織名、管理者 ID、カスタマーID 適用する SP の情報として必要になります。 (オプション) 2, 3 個のメールアドレス IBM サポートからの要求によって、接続テストに必要になる場合があります。 1.2.4 必要となるデータ 以下のデータを用意します。 トークン署名証明書 SSL を使用して通信する為に必要になります。 使用しているサーバー証明書を用意してください (自己証明書でも設定上は問題ありません)。 フェデレーション・メタデータ(ADFS)
IBM Connections Cloud 側の SAML 設定を行うために必要になります。 ADFS からエクスポートしてください。
1.3. IBM Connections Cloud との SAML 連携手順
IBM サポートとのフェデレーション・メタデータのやり取りが必要です。 主な以下の 3 つの作業を実施します。
1. 自社の AD/ADFS(IdP 環境)準備
2. IBM サポートへのフェデレーション有効化の依頼 ― 必要情報とデータを送付します
3. IBM Connections Cloud(SP 環境)への SAML 連携を確認
― IBM サポートから IBM Connections Cloud 環境のフェデレーション・メタデータを受け取る ― フェデレーション・メタデータを ADFS へインポート
― SAML 連携を確認。
1.4. IBM Connections Cloud 利用における制約事項
IBM Connections Cloud ではログイン ID となるメールアドレスがユニークであることが必須です。 よって1ユーザー毎にユニークなメールアドレスを用意してください。
もし AD 内で複数のユーザーが単一のメールアドレスを共有している場合、IBM Connections Cloud へユーザ ー登録を行った際に最初に登録したユーザー以外は、残りのユーザーは重複チェックでエラーとなります。 1 メールアドレスあたり 1 アカウント1ユーザーの割り当てとなるからです。自社 AD で複数のユーザーが共 通のメールアドレスを使用しておりユーザー別に使用させる必要がある場合は、IBM Connections Cloud でユ ーザー毎に固有のメールアドレスを設定してください。 また、使用するメールアドレスは必ず有効なものを使用してください。パスワードのリセットや、その他通知 メールが受信できなくなります。 1.5. モバイル・アプリケーションを設定する場合 本手順書ではモバイル・アプリケーションは対象ではありませんが参考情報を記載します。 1. 環境のセットアップ 以下の手順を参照してください。 『SAML フェデレーテッド ID の概念 ( https://ibm.biz/BdXpDH )』 2. 使用するモバイル・アプリケーションのセットアップ
IBM Verse 以外の 9.0.1.3 以下の IBM Notes Traveler、もしくはその他 IBM Connections Cloud モバイル・ アプリケーションをご利用の場合にはアプリケーション・パスワードが必要です。 以下を参照してモバイル・アプリケーションをセットアップしてください。 『アプリケーション・パスワードの有効化 ( https://ibm.biz/BdHp2b )』 『アプリケーション・パスワードの生成 (https://ibm.biz/BdHp28 )』 ※SP 開始のフロー・モデルに対応した SAML2.0 で利用した場合は、構成後でもモバイル・アプリケーション を利用できます。SAML1.1 の利用の場合には、モバイル・アプリケーションを利用できません。 1.6. SAML 連携設定の際に接続エラーが生じた場合 以下を参照し、情報を IBM サポートへご連絡ください。
7
2. ADFS の構成①
ADFS サーバーからフェデレーション・メタデータのエクスポートを行います。 ※AD/ADFS の統合設定が済んでいることが前提です。 2.1. トークン署名証明書のエクスポート ADFS サーバーからトークン署名証明書をエクスポートします。本手順書では自己証明書を使用します。 1. [インターネットオプション] > [コンテンツ]タブ > [証明書]で証明書ウィンドウが表示されるので、そ の中からエクスポートするトークン署名証明書を選択し、[エクスポート]をクリックします。 2. 証明書のエクスポートウィザードで「次へ」をクリックします。3. ファイルのエクスポート形式として「DER encoded binary X.509(.CER)」を選択して、「次へ」をクリッ クします。
9
2.2. フェデレーション・メタデータのエクスポート 1. ADFS 管理コンソールを表示します。「フェデレーション・メタデータ」のエンドポイントを選択し、メタ データを確認します。 2. Web ブラウザーでエンドポイントを開きます。 (自己証明書を使用している場合はエラーが出ますが、その場合は「このサイトの閲覧を続行する(推奨されま せん)。」をクリックして先へ進みます。) (例) https://adqit.ibmverse.jp/federationmetadata/2007-06/FederationMetadata.xml 3. 名前を付けて XML ファイルとして保存します。
11
3. IBM Connections Cloud の構成
自社の AD/ADFS(IdP 環境)の準備が出来次第、SAML の有効化の為に IBM サポートへの依頼を行います。 3.1. 設計情報とデータの送付 1. 環境の準備の確認とデータを準備します。
事前確認項目
チェック
ディレクトリー・サーバーを SAML サービスに統合しているか 済 IBM お客様サービス担当員に ID プロバイダー・メタデータを送信す るための SAML メタデータ・ファイルを作成したか 済 ※可能であれば SP のテスト環境となるアプリケーションサーバーを構築し、SAML 連携が有効なことも確認し てください。 上記が確認できたら、以下のデータを用意してください。 ・ADFS のフェデレーション・メタデータ(xml) ・ADFS のトークン署名証明書 2. 設計を決定します設計情報の種類
記入例(本手順の場合)
使用する SAML のバージョン (SAML1.1 / SAML2.0) SAML2.0 使用するフェデレーションのタイプ (フェデレーテッド / UserChoice / AdminChoice) AdminChoice 使用するフロー・モデル (IdP 開始フロー・モデル / SP 開始ハイブリッド・フロー・モデル) SP 開始ハイブリッド・フロー・モ デル Web サーバーに実装した SAML(Tivoli® Federated Identity Manager / OpenSAML / Active Directory Federation / その他のフェデレーテッド ID マネージャー)
Active Directory Federation
モバイル・アプリを設定するか
※モバイル・アプリケーションは、SP 開始フロー・モデルでのみ機能。
モバイル・アプリケーションを設 定しない
組織名、管理者 ID、カスタマーID
(IBM Connections Cloud 管理者メニューから登録情報を確認)
組織名:IVJ 管理 ID: [email protected] カスタマーID:******* (オプション) メール受信が可能な 2,3 のメールアドレス ※接続確認の為にテスト SP 環境の接続を IBM サポートから求められる 場合があります。IBM サポートから指示を受けた際に用意しても問題あ りません。 a******@ibmverse.jp b******@ibmverse.jp 3. 以上のデータと情報を全て、IBM サポートへ SR から送付します。問題がなければ数日中に IBM サポートよ り、IBM Connections Cloud 環境への接続確認依頼が届きます。
4. ADFS の構成② クラウド環境のフェデレーション・メタデータのインポート
接続確認依頼時に IBM Connections Cloud 環境のフェデレーション・メタデータ(xml)がリンクとして添付さ れた形で送付されますので保存し、インポートを行います。
1. ADFS 管理コンソールを表示します。「証明書利用者信頼の追加」をクリックします。
2. ようこそ
13 3. 「データソースの選択」
「証明書利用者についてのデータをファイルからインポートする」を選択し、保存した IBM Connections Cloud 環境のフェデレーション・メタデータ(.xml)を入力し、「次へ」をクリックします。
4. 「表示名の指定」
5. 「今すぐ多要素認証を構成しますか?」
「現時点ではこの証明書利用者信頼に多要素認証を構成しない」を選択し、「次へ」をクリックします。
6. 「発行承認規則の選択」
「すべてのユーザーに対してこの証明書利用者へのアクセスを許可する」を選択し、「次へ」をクリック します。
15 7. 「信頼の追加の準備完了」
各タブの表示内容を確認します。「署名」タブをクリックします。
「署名」タブに IBM Connections Cloud サーバーの証明書情報が登録されていることを確認します。「次 へ」をクリックします。
8. 完了
「ウィザードの終了時にこの証明書利用者信頼の[要求規則の編集]ダイアログを開く」にチェックを入れ て「閉じる」をクリックします。
17 10. 「規則の種類の選択」
11. 要求規則の構成 以下のように登録して「完了」をクリックします。 要求規則名 :「EmailAddresstoNameID」(任意の値) 属性ストア :「Active Directory」 LDAP 属性 :「E-Mail-Address」 (自社環境のユニークなメールアドレスが格納されたフィールドを選択) 出力方向の要求の種類 :「名前 ID」
19
12. 登録した規則が追加されていることを確認して「OK」をクリックします。
13. ADFS 管理コンソールを表示します。「信頼関係」-「証明書利用者信頼」をクリックして登録した証明書 利用者信頼が追加されていることを確認します。
5. 環境接続の確認
本番環境の接続を確認します。 5.1. 設定の確認
1. IBM Connections Cloud の管理者メニューにアクセスし、[システム設定] > [セキュリティ]を表示します。 『ログイン・タイプ』と『ログイン/ログアウト URL』が変更されていることを確認します。
ログイン・タイプ:
「ユーザーが IBM Connections Cloud のログイン・ページを使用するか、組織のログイン・ページを 使用するか、どちらのページでもよいことにするかを、ユーザーごとにいつでも指定できます」 (AdminChoice の場合) Web ブラウザーのログイン URL: 組織の認証ページの URL が表示されます。 2. ログイン・タイプの選択(※AdminChoice のみ) AdminChoice を選択した場合に限り、管理者はユーザー毎にログイン・タイプを指定することが出来ます。 ▽アイコン > ログイン情報の編集 テスト環境への接続 1. 4. ADFS の構成②では、環境の接続の為の構成を行いました。apps.ap.collabserv.com に(北米データセ ンターを使用している場合は ap を na に置き換える)接続し、ログイン ID を入力します。 2. メールを開くと、招待メールが届いているのでリンクをクリックします。 3. apps.collabservnext.com(テスト環境)の登録を行います。 4. ログアウトし、再び apps.collabservnext.com にログインします。 ADFS との SAML 連携を確認するため、テスト用のユーザーを選択し[組織のログイン・ページを使用]を設定し ます。
21 5.2. 本番環境への接続 1. apps.ap.collabserv.com(北米データセンターを使用している場合は ap を na に置き換える)に接続し、テ スト用のユーザーのログイン ID を入力します。 2. 組織の認証画面にリダイレクトされます。 3. ログインできたことを確認します。 以上
参考①:ログイン・タイプ毎のログイン画面遷移
管理者メニューでログイン・タイプを変更した際のユーザーのログイン画面が以下のように変化します。
ログイン・タイプ 概要
いずれかのログイン・ページを使用 ユーザーはログイン画面で IBM Connections Cloud のログインを 使うか、組織(ADFS)のログインを使うか自身で選択できます。 (※UserChoice と同様)
組織のログインを使用 組織(ADFS)のログインを使います。(※フェデレーテッドと同様) IBM Connections Cloud
ログイン・ページを使用
IBM Connections Cloud のログインを使います。
23 参考②:ログイン・タイプの一括指定 統合サーバー(LLIS)を使用することで CSV によって一括設定を行います。AdminChoice を選択した場合にのみ 可能です。(ユーザー・プロビジョニング変更ファイルの作成 https://ibm.biz/BdEe4w ) 例えば、ログイン・タイプで"いずれかのログイン・ページを使用"を指定する場合には、統合サーバー(LLIS) のユーザー・プロビジョニング変更ファイルで、FederationType の項目に"MODIFIED_FEDERATED"を指定して ください。 参考③:ADFS のインストール 1. [サーバー・マネージャー]→[ダッシュボード]を開き、[役割と機能の追加]をクリックします。 2. 開始する前に [次へ]をクリックします。
3. インストールの種類
[役割ベースまたは機能ベースのインストール]を選択し、[次へ]をクリックします。
4. サーバーの選択
25 5. サーバーの役割
[Active Directory Federation Services]を選択し、[次へ]をクリックします。
6. 機能
7. 確認
Active Directory Federation Services が選択されていることを確認して、[インストール]をクリックしま す。
8. 結果
インストールが正常に行われたことを確認し、[このサーバーにフェデレーション サービスを構成します。] をクリックし、AD と ADFS の連携に移ります。
27 参考④:AD/ADFS 統合設定 1. ようこそ AD と ADFS の統合設定を行っていない場合は[フェデレーションサーバー ファームに最初のフェデレーション サーバーを追加します]を選択し、[次へ]をクリックします。 2. AD DS への接続 Active Directory ドメイン管理者のアクセス許可を持っているアカウントを選択します。
3. サービスのプロパティの指定
SSL 証明書とサービス名を選択します。サービスの表示名は任意で構いません。
4. サービスアカウントの指定
29 5. データベースの指定
既存のデータベースを持っていない場合は[Windows Internal Database を使用してサーバーにデータベース を作成します。] を選択します。
6. オプションの確認
7. 前提条件の確認
前提条件を確認し、問題がなければ[構成]をクリックします。
8. 結果
31 ADFS の仮のログイン・ページが正常に動作するか確認します。 1. ADFS ログイン・ページにアクセスします。 ※ホスト名、アカウント名はご自身の環境のものに置き換えてください。 例:https://adqit.ibmverse.jp/adfs/ls/IdpInitiatedSignOn.htm 2. サインインできることを確認します。 以上
