SAML シングルサインオン設定に関する注意事項

このトピックでは、サポートされている ID プロバイダを使用した SAML シングルサインオンのテストで明らかになったいくつかの注意事項について説明します。これは、実装の設定およびテストに役立つ場合があります。

注: 組織には、MOVEit 設定に必要な ID プロバイダ要件を超える要件が設定されている場合があります。そのため、ID プロバイダを設定するための詳細な操作手順を提供することができません。詳細な設定情報については、ご使用の ID プロバイダのドキュメントを参照してください。

SAML シングルサインオンをサポートするために必要な MOVEit 設定の詳細については、「ユーザー認証 - シングルサインオン」ページを参照してください。

注: クライアント証明書を使用する場合は、ID プロバイダでクライアント証明書が処理されるように設定する必要があります。MOVEit Transfer の SAML シングルサインオンプロセスでは、クライアント証明書がサポートされていません。MOVEit Transfer では、SAML ユーザーのユーザープロファイルで [SSL Client Certificate Require (SSL クライアント証明書が必要)] オプションが [No (いいえ)] に設定されている必要があります。

Active Directory フェデレーションサービス (ADFS) に関する注意事項

以下は、ADFS を ID プロバイダとして使用したテスト設定からの注意事項です。これらの注意事項は、ADFS が Active Directory サーバーに接続されていることを前提としています。

ID プロバイダのインストール/設定に関する注意事項

• 同じネットワークドメイン上にある既存の Active Directory システムにアクセスできる ADFS サーバーが必要です。
• HTTP-Artifact バインディングを使用する必要がある場合は、ADFS サーバーがその設定と Artifact データベースを SQL サーバーに保存する必要があります。SQL サーバーを使用するように既存の ADFS サーバーを変換できます。
• ADFS サーバーをインストールしたら、そのサーバーの Web インターフェイス (IIS を使用) を SSL 証明書で保護する必要があります。また、MOVEit Transfer には IIS Web インターフェイスを保護する SSL 証明書があります。メタデータファイルを直接ダウンロードするための MOVEit Transfer サーバーと ADFS サーバー間の直接要求、および Artifact 解決要求をサポートするには、それぞれのサーバーがもう一方のサーバーの SSL 証明書を信頼するように設定する必要があります。これは、ローカルコンピュータの信頼された機関の証明書リストに各サーバーの SSL 証明書の公開部分をインストールすることによって行います。

サービスプロバイダの設定

ADFS に必要な MOVEit 設定を行います。

• 証明書: SAML 要求および応答は通常、署名されている必要があります。OASIS では、セキュリティを強化するために暗号化の使用も推奨しています。SAML メッセージの署名と暗号化をどちらもサポートするには、署名証明書と暗号化証明書を作成してください。
• アサーションコンシューマインターフェイス: デフォルトでは、MOVEit Transfer は、ID プロバイダから SAML アサーションを受信して使用するために HTTP-Post インターフェイスだけを有効にします。HTTP-Artifact インターフェイスを使用する場合は、そのインターフェイスを有効にして、[Assertion Consumer Interfaces (アサーションコンシューマインターフェイス)] リストの一番上に移動します。

サービスプロバイダ/証明書利用者としての MOVEit の登録

SAML サービスプロバイダと ID プロバイダは、2 つのサーバー間で送受信される要求とアサーションを適切に信頼するために、互いに登録する必要があります。これは通常、サーバーのサービス、エンドポイント、および証明書の XML 記述が含まれたメタデータファイルを交換することによって行います。

MOVEit を ADFS に証明書利用者として登録してください。証明書利用者の信頼を追加するには ADFS 2.0 管理コンソールを使用できます。ここで、サービスプロバイダ (MOVEit) のメタデータファイルの URL を提供するか、またはメタデータファイルのコピーを提供できます。

ユーザー属性の設定

ユーザー属性の設定は、ID プロバイダ設定と MOVEit 設定の両方で行います。これらの設定では、認証アサーションで MOVEit Transfer にどのユーザー情報 (アカウント名、コモンネーム、E メールアドレスなど) が送信されるかを指定します。

ADFS では、[Add Claim Rules (クレームルールの追加)] ダイアログ (ADFS 2.0 管理コンソール) を使用して "クレーム" として知られるユーザー属性を設定します。

以下の属性を設定します。

• 一時セッション ID クレームの追加: これらのルールは、ここで説明する特定の設定に必要です。

  [Issuance Transform Rules (発行変換規則)] タブで [Add Rule (ルールの追加)] ボタンをクリックします。

  [Send Claims Using a Custom Rule (カスタムルールを使用したクレームの送信)] を選択します。

  「Create transient session ID (一時セッション ID の作成)」などのルール名を入力します。

  以下のルールテキストを入力します。

  c1:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]

  && c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant"]

  => add(store = "_OpaqueIdStore",

  types = ("http://ipswitch.com/transientsessionid"),

  query = "{0};{1};{2};{3};{4}",

  param = "useEntropy",

  param = c1.Value,

  param = c1.OriginalIssuer,

  param = "",

  param = c2.Value);

  [Finish (終了)] をクリックしてルールを追加します。

  [Add Rule (ルールの追加)] ボタンをもう一度クリックします。

  [Transform an Incoming Claim (入力方向のクレームの変換)] を選択します。

  「Send transient session ID as NameID (一時セッション ID を NameID として送信)」などのルール名を入力します。

  入力方向のクレームの種類として「http://ipswitch.com/transientsessionid」と入力します。

  出力方向のクレームの種類として [Name ID (名前 ID)] を選択します。

  出力方向の名前 ID 形式として [Transient Identifier (一時識別子)] を選択します。

  [Finish (終了)] をクリックしてルールを追加します。

• クレームとしての Active Directory 属性の追加: 組織に必要などのような属性でも提供できますが、Windows アカウント名、コモンネーム、E メールアドレス、およびグループリストを提供するクレームを設定します。これらは MOVEit で使用する必要がある属性です。

  MOVEit の [Single Signon settings (シングルサインオン設定)] で ID プロバイダの編集を選択し、ユーザー設定で以下を設定します。

• [Login name (ログイン名)]: Windows アカウント名 (唯一の必須設定)。
• [Full name (フルネーム)]: コモンネーム
• [Email (E メール)]: E メールアドレス

  必要に応じてその他のユーザー設定またはグループ設定を行います。

ID プロバイダとしての ADFS の登録

MOVEit Transfer が ADFS サーバーに登録されたため、同様にその反対の登録が必要です。再び ADFS サーバーのメタデータ (通常は「<ADFS Server URL>/FederationMetadata/2007-06/FederationMetadata.xml」) をダウンロードするか、または ID プロバイダ設定の一部として MOVEit Transfer にメタデータ URL を指定します。

SAML を使用した認証のテスト

設定をテストするには、MOVEit に組織管理者としてサインオンし、設定済みの ID プロバイダの [Edit Federated Identity Provider Setting (フェデレーション ID プロバイダ設定の編集)] ページから [Direct User Signon Link (直接ユーザーサインオンリンク)] をコピーします。MOVEit からサインオフし、ブラウザのアドレスバーにその URL を貼り付けます。正しく設定されている場合は、ID プロバイダによって認証され、MOVEit Transfer に戻ってサインオンされます (設定によって ID プロバイダから認証情報が要求される場合と要求されない場合があります)。

注: ログインプロンプトは、MOVEit の [Signon (サインオン)] ページではありません。ログインプロンプトは ID プロバイダから表示されます (ADFS ではブラウザのデフォルトの認証情報入力ウィンドウが使用されます)。

一般的な設定の問題については、「シングルサインオンのトラブルシューティング」ページを参照してください。

Shibboleth に関する注意事項

以下は、Shibboleth を ID プロバイダとして使用したテスト設定からの注意事項です。これらの注意事項は、Shibboleth がユーザーストアとして設定されているか、または Active Directory サーバーに接続されていることを前提としています。

ID プロバイダのインストール/設定に関する注意事項

• Shibboleth によって使用される Tomcat サーバーをテストして、そのサーバーが SSL\TLS 接続を受け入れ、Shibboleth ID プロバイダにアクセスできることを確認します。Shibboleth のインストール後に Tomcat サーバーをテストするには、C:\Program Files (x86)\Internet2\Shib2IdP\conf\ReadMe.html を開きます。このドキュメントの「次の手順」セクションに、実行できるテストのリンクがいくつかあります。
• ID プロバイダが TLS を使用して LDAP と通信しようとしていることを確認します。LDAP が SSL\TLS 接続を受け入れるように設定する必要があります。確認するには、C:|Program Files (x86)\Internet2\CaptiveTomcat 6.0\conf に移動し、attribute-resolver.xml 内の設定を確認します。UseStartTLS が「false」に設定されている必要があります。同じディレクトリにある login.config で、tls 値が「false」に設定されている必要があります。
• Tomcat6 サービスを再起動します。
• ID プロバイダが LDAP\Active Directory と通信できることを確認するには、ReadMe.html ファイルを開き、[Test the IDP Status page here (ここで IDP ステータスページをテスト)] リンクを選択します。
• Shibboleth サーバーをインストールしたら、そのサーバーの Web インターフェイス (IIS を使用) を SSL 証明書で保護する必要があります。また、MOVEit Transfer には IIS Web インターフェイスを保護する SSL 証明書があります。メタデータファイルを直接ダウンロードするための MOVEit Transfer サーバーと Shibboleth サーバー間の直接要求、および Artifact 解決要求をサポートするには、それぞれのサーバーがもう一方のサーバーの SSL 証明書を信頼するように設定する必要があります。これは、ローカルコンピュータの信頼された機関の証明書リストに各サーバーの SSL 証明書の公開部分をインストールすることによって行います。

サービスプロバイダの設定

Shibboleth に必要な MOVEit 設定を行います。

• 証明書: SAML 要求および応答は通常、署名されている必要があります。OASIS では、セキュリティを強化するために暗号化の使用も推奨しています。SAML メッセージの署名と暗号化をどちらもサポートするには、署名証明書と暗号化証明書を作成してください。
• アサーションコンシューマインターフェイス: デフォルトでは、MOVEit Transfer は、ID プロバイダから SAML アサーションを受信して使用するために HTTP-Post インターフェイスだけを有効にします。HTTP-Artifact インターフェイスを使用する場合は、そのインターフェイスを有効にして、[Assertion Consumer Interfaces (アサーションコンシューマインターフェイス)] リストの一番上に移動します。

  注: 自己署名証明書を使用する場合は、ID プロバイダの設定時に、メタデータの URL を使用するのではなく、MOVEit からメタデータファイルをコピーする必要があります。

サービスプロバイダ/証明書利用者としての MOVEit の登録

SAML サービスプロバイダと ID プロバイダは、2 つのサーバー間で送受信される要求とアサーションを適切に信頼するために、互いに登録する必要があります。これは通常、サーバーのサービス、エンドポイント、および証明書の XML 記述が含まれたメタデータファイルを交換することによって行います。

• MOVEit のサービスプロバイダ設定から、メタデータファイルをコピー (サービスプロバイダのメタデータ URL を右クリックし、ターゲットを DMZ-Metadata.xml として保存) します。そのファイルを Shibboleth システムにコピーし、
  C:\Program Files (x86)\Internet2\Shib2ldp\metadata\ ディレクトリに貼り付けます。Shibboleth システムで Tomcat6 サービスを再起動します。
• Shibboleth システムで、MOVEit をサービスプロバイダ/証明書利用者として登録します。登録するには、relying-party.xml ファイルを編集し、Metadata Configuration セクションに次のようにメタデータの場所を追加します。
  <metadata:MetadataProvider id="DMZTestOrg" xsi:type="metadata:FileBackedHTTPMetadataProvider"
  metadataURL=https://<dmz-server>/<org-ID>/SAML/Metadata.xml
  disregardSsslCertificate="true"
  backingFile="C:\Program Files (x86)\Internet2\Shib2ldp\metadata\DMZ-Metadata.xml" />

  注: 現在、Shibboleth では MOVEit Transfer からサービスプロバイダのメタデータファイルをダウンロードできないため、最初の手順に示されているようにファイルをコピーする必要があります。

• また、アサーションコンシューマインターフェイス (MOVEit で設定) に HTTP-Artifact を使用している場合は、クライアント証明書認証を Shibboleth で無効にする必要があります。これを行うには:C:\Program Files\Internet2\CaptiveTomcat 6.0\conf\server.xml を編集し、<Connector port="8443"> の下で clientAuth="TRUE" を clientAuth="FALSE" に変更します。変更を保存し、Tomcat を再起動します。

ユーザー属性の設定

ユーザー属性の設定は、ID プロバイダ設定と MOVEit 設定の両方で行います。これらの設定では、認証アサーションで MOVEit Transfer にどのユーザー情報 (アカウント名、コモンネーム、E メールアドレスなど) が送信されるかを指定します。

• Shibboleth では、認証アサーションで MOVEit に送信されるユーザー属性を設定します。属性を設定するには、C:\Program Files\Internet2\Shib2IdP\conf\ に移動し、attribute-resolver.xml ファイルを編集します。
  
• 属性を MOVEit Transfer にリリースします。これを行うには、attribute-filter.xml 設定を編集します。
  
• ID プロバイダの metadata.xml ファイルで属性を公開します。これを行うには、idp-metadata.xml 設定を編集します。
  
• MOVEit の [Single Signon settings (シングルサインオン設定)] で ID プロバイダの編集を選択し、ユーザー設定で以下を設定します。
  • [Login name (ログイン名)]: アカウント名 (唯一の必須設定)
  • [Full name (フルネーム)]: コモンネーム
  • [Email (E メール)]: E メールアドレス

  必要に応じてその他のユーザー設定またはグループ設定を行います。

ID プロバイダとしての Shibboleth の登録

MOVEit Transfer が Shibboleth サーバーに登録されたため、同様にその反対の登録が必要です。再び Shibboleth サーバーのメタデータをダウンロードするか、または ID プロバイダ設定の一部として MOVEit Transfer にメタデータ URL を指定します。

ID プロバイダのメタデータファイル [C:\[folder]\Metadata.xml] のローカルコピーを選択するか、または https://<idp-machine>:<port>/idp/shibboleth から URL をコピーします。次に ID プロバイダの追加を選択し、[Identity Provider Metadata URL (ID プロバイダのメタデータ URL)] ボックスにその URL を貼り付けます。

SAML を使用した認証のテスト

設定をテストするには、MOVEit に組織管理者としてサインオンし、設定済みの ID プロバイダの [Edit Federated Identity Provider Setting (フェデレーション ID プロバイダ設定の編集)] ページから [Direct User Signon Link (直接ユーザーサインオンリンク)] をコピーします。MOVEit からサインオフし、ブラウザのアドレスバーにその URL を貼り付けます。正しく設定されている場合は、ID プロバイダによって認証され、MOVEit Transfer に戻ってサインオンされます (設定によって ID プロバイダから認証情報が要求される場合と要求されない場合があります)。

注: ログインプロンプトは、MOVEit の [Signon (サインオン)] ページではありません。ログインプロンプトは ID プロバイダから表示されます (Shibboleth では Shibboleth スプラッシュ画面が使用されます)。

一般的な設定の問題については、「シングルサインオンのトラブルシューティング」ページを参照してください。

OneLogin に関する注意事項

以下は、OneLogin を ID プロバイダとして使用したテスト設定からの注意事項です。これらの注意事項は、OneLogin がユーザーストアとして設定されているか、または Active Directory サーバーに接続されていることを前提としています。

ID プロバイダのインストール/設定に関する注意事項

• OneLogin サーバーをインストールしたら、そのサーバーの Web インターフェイス (IIS を使用) を SSL 証明書で保護する必要があります。また、MOVEit Transfer には IIS Web インターフェイスを保護する SSL 証明書があります。メタデータファイルを直接ダウンロードするための MOVEit Transfer サーバーと OneLogin サーバー間の直接要求、および Artifact 解決要求をサポートするには、それぞれのサーバーがもう一方のサーバーの SSL 証明書を信頼するように設定する必要があります。これは、ローカルコンピュータの信頼された機関の証明書リストに各サーバーの SSL 証明書の公開部分をインストールすることによって行います。

サービスプロバイダの設定

OneLogin に必要なサービスプロバイダ設定を行います。

• 証明書: SAML 要求および応答は通常、署名されている必要があります。OASIS では、セキュリティを強化するために暗号化の使用も推奨しています。SAML メッセージの署名と暗号化をどちらもサポートするには、署名証明書と暗号化証明書を作成してください。
• アサーションコンシューマインターフェイス: デフォルトでは、MOVEit Transfer は、ID プロバイダから SAML アサーションを受信して使用するために HTTP-Post インターフェイスだけを有効にします。HTTP-Artifact インターフェイスを使用する場合は、そのインターフェイスを有効にして、[Assertion Consumer Interfaces (アサーションコンシューマインターフェイス)] リストの一番上に移動します。

サービスプロバイダ/証明書利用者としての MOVEit の登録

SAML サービスプロバイダと ID プロバイダは、2 つのサーバー間で送受信される要求とアサーションを適切に信頼するために、互いに登録する必要があります。これは通常、サーバーのサービス、エンドポイント、および証明書の XML 記述が含まれたメタデータファイルを交換することによって行います。

MOVEit のサービスプロバイダ設定から、サービスプロバイダのメタデータファイルを開き、MOVEit Transfer 組織の entityID をコピーします。次に、[OneLogin] > [Configuration (設定)] ページを開き、[SAML Audience (SAML オーディエンス)] ボックスにその entityID を貼り付けます。

MOVEit のサービスプロバイダ設定から、アサーションコンシューマインターフェイスの URL をコピーします。[OneLogin] > [Configuration (設定)] ページを開き、[SAML Consumer URL (SAML コンシューマ URL)] と [SAML Recipient (SAML 受信者)] ボックスにその URL を貼り付けます。

MOVEit のサービスプロバイダ設定から、シングルログアウトインターフェイス (Redirect メソッド) の URL をコピーします。[OneLogin] > [Configuration (設定)] ページを開き、[SAML Single Logout URL (SAML シングルログアウト URL)] ボックスにその URL を貼り付けます。シングルログアウト設定の場合、OneLogin では現在 Redirect メソッドだけがサポートされています。

[RelayState] ボックスは空のままにしました。

ユーザー属性の設定

ユーザー属性の設定は、MOVEit の ID プロバイダ設定と OneLogin 設定の両方で行います。これらの設定では、認証アサーションで MOVEit Transfer にどのユーザー情報 (アカウント名、コモンネーム、E メールアドレスなど) が送信されるかを指定します。

MOVEit の [Single Signon settings (シングルサインオン設定)] で ID プロバイダの編集を選択し、[Login name (ログイン名)] を SAML NameID に設定します。これが唯一の必須設定です。必要に応じてその他のユーザー設定またはグループ設定を行います。

OneLogin で [Access Control (アクセス制御)] タブを選択し、[Default role (デフォルトロール)] の使用を選択します。

ID プロバイダとしての OneLogin の登録

MOVEit Transfer が OneLogin サーバーに登録されたため、同様にその反対の登録が必要です。ID プロバイダ設定の一部として MOVEit Transfer にメタデータ URL を指定する必要があります。

[OneLogin Configuration (OneLogin 設定)] ページから、[Single Signon (シングルサインオン)] > [Issuer URL (発行元 URL)] をコピーします。次に MOVEit 設定の [Single Signon (シングルサインオン)] に移動し、ID プロバイダの追加を選択します。[Identity Provider Metadata URL (ID プロバイダのメタデータ URL)] フィールドにその URL を貼り付けます。

SAML を使用した認証のテスト

設定をテストするには、MOVEit に組織管理者としてサインオンし、ID プロバイダ設定から [Direct Link URL (ダイレクトリンク URL)] をコピーします。MOVEit からサインオフし、ブラウザのアドレスバーにその URL を貼り付けます。正しく設定されている場合は、ID プロバイダによって認証され、MOVEit Transfer に戻ってサインオンされます (設定によって ID プロバイダから認証情報が要求される場合と要求されない場合があります)。

注: ログインプロンプトは、MOVEit の [Signon (サインオン)] ページではありません。ログインプロンプトは ID プロバイダから表示されます。

一般的な設定の問題については、「シングルサインオンのトラブルシューティング」ページを参照してください。