SAML シングルサインオンサービス

Security Assertion Markup Language (SAML) 2.0 は、安全な Web ドメイン内で認証データを交換するためのメカニズムを提供します。SAML 2.0 は XML ベースのプロトコルで、OASIS 標準です。SAML の詳細については、OASIS の「SAML の概要」を参照してください。

SAML シングルサインオンサービスを使用すると、ユーザーはサードパーティの ID プロバイダを使用して MOVEit Server に接続し、認証を行うことができます。これで、ネットワークまたは企業アカウントを使用してサインオンしたユーザーは、資格情報を再入力せずに MOVEit にアクセスできます。

このトピックでは次の事項について説明しています。

• シングルサインオンのサードパーティ要件
• MOVEit Server Web インターフェイスのシングルサインオン
• Ipswitch Client のシングルサインオン
• FTP および SSH クライアントのシングルサインオン
• エンドユーザーへの指示
• セッション終了とタイムアウトの処理方法
• Internet Explorer を使用した Windows ユーザー向けのシングルサインオン自動認証

シングルサインオンのサードパーティ要件

SAML 2.0 機能に対応しているため、MOVEit はサードパーティの「ID プロバイダ」を使用してユーザーを認証できます。ID プロバイダとは、サービスプロバイダからの認証要求に対して、SAML 経由で ID アサーションを提供するアプリケーションのことです。MOVEit は、サービスプロバイダ (別名「SAML コンシューマ」) として動作します。

MOVEit は、ID プロバイダとして以下からの認証をサポートします。

• Microsoft Active Directory フェデレーションサービス (ADFS)
• Shibboleth
• OneLogin

  これらの ID プロバイダによる認証はテスト済みで、Ipswitch によってサポートされています。SAML 2.0 プロトコルをサポートするその他のサーバーも MOVEit で使用できます。

MOVEit Server Web インターフェイスのシングルサインオン

シングルサインオンが MOVEit Web インターフェイス用に設定されている場合、ユーザーセッションは次のように進みます。

1. ユーザーはブラウザを使用して MOVEit Server URL にアクセスします。
2. MOVEit Server は認証要求を使用して、ブラウザを ID プロバイダにリダイレクトします。
3. ID プロバイダがユーザーを認証します。
4. IDプロバイダは認証アサーションを使用して、ブラウザを MOVEit Server にリダイレクトします。
5. MOVEit Server がアサーションを検証し、ユーザーをサインオンします。
6. シングルログアウトサービスが設定されている場合、ユーザーはネットワーク (ID プロバイダ) アカウントからログアウトすると、MOVEit からもサインオフされます。

   MOVEit Transfer Web インターフェイスにサインオンするユーザーに対してシングルサインオンを設定するには、次の操作を行う必要があります。

• ID プロバイダの要件が特定され、満たされていることを確認します。必要な構成設定については、ID プロバイダのドキュメントを参照してください。

  注: Active Directory をユーザーストアとして使用している場合 (ユーザー認証で「外部ソースのみ」として設定)、その同じユーザーストアを ID プロバイダで使用できます。Active Directory が ID プロバイダとして動作できるように、ADFS をインストールして設定する必要があります。

• サービスプロバイダ/証明書利用者の設定: MOVEit Serverを SAML サービスプロバイダとして設定する詳細については、「設定 - ユーザー認証 - シングルサインオン」を参照してください。
• フェデレーション ID プロバイダ設定の指定: 1 つ以上の ID プロバイダの追加方法の詳細については、「設定 - ユーザー認証 - シングルサインオン」を参照してください。

Ipswitch Client のシングルサインオン

シングルサインオンが Outlook プラグインと MOVEit Sync クライアント用に設定されている場合、ユーザーセッションは次のように進みます。

1. ユーザーは Ad Hoc Transfer クライアント (Outlook プラグイン) を使用してファイルを送信するか、Sync 操作が開始されます。
2. MOVEit Connector (クライアントのコンピュータ上) は MOVEit Server から SAML 情報を要求します。
3. MOVEit Server は、サービスプロバイダ URL や ID プロバイダ URL を含んだ SAML 情報を返します。
4. MOVEit Connector は、SAML 情報を使用して ID プロバイダから SAML トークンを取得します。
5. MOVEit Connector は、サインオン要求 (SAML トークンを含む) を MOVEit Server に送信します。
6. MOVEit Server がユーザーをサインオンします。

   Outlook プラグインと MOVEit Sync クライアントから MOVEit Transfer にサインオンするユーザーに対してシングルサインオンを設定するには、ADFS を ID プロバイダとして使用する必要があります。両方のクライアントは、MOVEit Transfer シングルサインオンサービスを使用して、Windows ドメインアカウントからサインオンできます。現在は、Windows 認証の使用をサポートしているのは ADFS のみです。

   サービスプロバイダと ID プロバイダの設定が指定されていると想定した場合 (「MOVEit Web インターフェイスのシングルサインオン」を参照)、Outlook プラグインと MOVEit Sync ユーザーは、次の手順で説明した設定を完了することができます。

• Ipswitch クライアントから Windows 認証を使用したシングルサインオン

  ユーザーが Windows 認証の実行に使用するのと同じドメインコントローラを使用しながら ID プロバイダ経由で、MOVEit がシングルサインオン用に設定されている場合は、資格情報なしでこれらのユーザーを自動的にサインオンするように Outlook プラグインと MOVEit Sync クライアントを設定できます。これを行うには、次の手順に従います。

  注: この手順はエンドユーザーのコンピュータで実行する必要があります。

1. MOVEit ID プロバイダが認証に使用するのと同じドメインコントローラで、Windows にユーザーとしてログインします。

   注: クライアントが [Windows Authentication (Windows 認証情報)] と [Organization ID (組織 ID)] プロパティがすでに設定された状態で、サイレントインストールでインストールされている場合、ユーザーはサインオンする必要はありません。ユーザーは、Windows アカウントにログインするとサインオンします。

2. システムトレイで [MOVEit Connector] を右クリックし、[Configuration (設定)] を選択します。
3. [MOVEit Send (MOVEit 送信)] タブまたは [MOVEit Sync (MOVEit 同期)] タブで、[Use Windows Authentication (Windows 認証を使用)] オプションを選択します。このダイアログからユーザー名とパスワードを使用する代わりに、MOVEit Connector は、MOVEit から SAML 情報を要求して、SAML サインオンを開始します。ユーザーはここではユーザー名とパスワードを入力する必要はありません。
4. [Use Windows Authentication (Windows 認証を使用)] が選択されている場合、ユーザー名とパスワードフィールドは非表示になり、[Organization ID (組織 ID)] が表示されます。ユーザーは、組織の管理者であるあなたが指定した MOVEit 組織名を入力します。ユーザーがデフォルトの MOVEit 組織を使用する場合は、このオプションを空白のままにできます。

   注: Ipswitch クライアントは、WS-Trust 認証を使用するように設定することもできます。この認証を使用すると、ユーザーは ADFS を使用できない場合 (ホームネットワークからサインオンする場合など) に Windows 認証を使用してサインオンできます。WS-Trust 認証の設定方法の詳細については、「FTP および SSH クライアントのシングルサインオン」セクションを参照してください。

FTP および SSH クライアントのシングルサインオン

WS-Trust 認証を使用すると、SAML でシングルサインオンに使用されるのと同じ ID プロバイダを使用してユーザーを直接認証することができます。当社では、ユーザーが ID プロバイダの認証に使用するのと同じ資格情報で MOVEit への FTP および SSH アクセスを提供する顧客向けに、SAML シングルサインオンサービスのほかに、WS-Trust 認証ソースも設定することをお勧めします。

現在、WS-Trust をサポートしているのは ADFS ID プロバイダのみです。

WS-Trust を使用するための要件がある場合は、次のコンポーネントを設定して行うことができます。

注: サービスプロバイダ設定をすでに設定し、ADFS を ID プロバイダとして追加している場合は、この設定を再度完了する必要はありません。

• サービスプロバイダ/証明書利用者の設定: MOVEit Serverを SAML サービスプロバイダとして設定する詳細については、「設定 - ユーザー認証 - シングルサインオン」を参照してください。
• フェデレーション ID プロバイダの設定: 1 つ以上の ID プロバイダの追加方法の詳細については、「設定 - ユーザー認証 - シングルサインオン」を参照してください。
• 外部認証の設定 - WS-Trust: 外部認証方法の設定方法の詳細については、「設定 - サービス統合 - WS-Trust」を参照してください。

エンドユーザーへの指示

シングルサインオンコンポーネントを設定したら、次の情報をエンドユーザーに提供する必要があります。

• Web ブラウザからサインオンするには、ダイレクトサインオン URL (シングルサインオンページに表示) を指定します。
• Outlook プラグインまたは Sync クライアントからサインオンする場合は、設定オプションで [Windows Authentication (Windows 認証情報)] オプション (クライアントコンピュータでは、[MOVEit Connector] を右クリック (システムトレイ内) を選択し、[Configuration (設定)] を選択するようユーザーに指示します。[MOVEit Send (MOVEit 送信)] タブまたは [MOVEit Sync (MOVEit 同期)] タブで、[Windows Authentication (Windows 認証情報)] オプションを選択します。このダイアログからユーザー名とパスワードを使用する代わりに、MOVEit Connector は、MOVEit から SAML 情報を要求して、SAML サインオンを開始します。
• シングルログアウトサービス: このサービスが有効になっている場合に、ID プロバイダアカウントからログアウトすると、MOVEit セッションからもログアウトされます。

セッション終了とタイムアウトの処理方法

• MOVEit Server セッション終了: SAML 認証済みユーザーとして、MOVEit Server セッションが管理者によって手動で終了されている場合は、フラグがそのユーザー用に設定されます。そのユーザーがアクティブなセッションを必要とする MOVEit Server 内のページに移動すると、MOVEit Server サインオンページにリダイレクトされます。ユーザーには、セッションの終了通知メッセージも表示されます。
• MOVEit Server セッションがタイムアウトによって終了する、または ID プロバイダがセッションタイムアウトやユーザーログアウト、または管理者が終了したセッションによって終了する場合、ブラウザは後続の再認証手順を処理できます。一部のブラウザは、ユーザーが資格情報を再入力せずに、同じブラウザセッション内でユーザーを再認証することができます。ブラウザによるこの「サイレント」再認証を防ぐには、MOVEit Server からログアウトした後にブラウザを閉じてください。

  注: ADFS ID プロバイダを使用しているときに、ブラウザによるサイレント再認証を避けるには、HTML フォームベースのサインオンを設定できます。詳細については、 以下の手順を参照してください。

• ADFS 用 HTML フォームベースのサインオン

  ID プロバイダの設定方法に応じて、多くのブラウザは次回セッションを開始するとときに、ユーザーをサイレントで再認証します。これは、望ましい動作である場合があります。ただし、完全な SAML サインオフを実行した後にユーザーにパスワードを再入力するように義務付ける場合は、HTML フォームベースのサインオンを設定できます。この手順では、ADFS 用のフォームベースのサインオンの設定方法について説明します。

1. ADFS Web アプリケーションの「web.config」ファイル (デフォルトでは、C:\inetpub\adfs\ls\web.config) をテキストエディタで開きます。
2. microsoft.identityServer.web localAuthenticationTypes 要素を検索します。
3. 「Forms」という名前の localAuthenticationTypes 要素の子要素を、子要素のリストの最上部に移動します。
4. 「web.config」ファイルを保存し、ADFS サービスを再起動します。

• Internet Explorer から Windows 認証を使用したシングルサインオン

  ユーザーが Windows 認証の実行に使用するのと同じドメインコントローラを使用しながら ID プロバイダ経由で、MOVEit がシングルサインオン用に設定されている場合は、資格情報なしでこれらのユーザーを自動的にサインオンするように Internet Explorer を設定できます。これを行うには、次の手順に従います。

  注: この手順はエンドユーザーのコンピュータで実行する必要があります。

1. MOVEit ID プロバイダが認証に使用するのと同じドメインコントローラで、Windows にユーザーとしてログインします。
2. Internet Explorer を開きます。
3. [Internet Options (インターネットオプション)] > [Security (セキュリティ)] に移動し、[Local intranet (ローカルイントラネット)] を選択し、[Sites (サイト)] をクリックします。[Local intranet (ローカルイントラネット)] ダイアログが開きます。[Advanced (詳細)] をクリックします。
4. ベース ID プロバイダの URL を信頼されるサイトとして追加します。この URL が SAML 認証中にリダイレクトされる場所となります。たとえば、ADFS の URL は、「https://adfs.mycompany.internal」のようになります。
5. [Internet Options (インターネットオプション)] を閉じます。
6. [MOVEit Signon (MOVEit サインオン)] ページに移動し、SAML 認証を試みます。

   資格情報の入力を求められずに、Windows アカウントを使用して MOVEit に自動的にサインオンされます。