外部認証 - WS-Trust (認証のみ)

WS-Trust (認証のみ) ソースを使用すると、外部 ID プロバイダ (Microsoft Active Directory フェデレーションサービス (ADFS)) を使用してユーザーを認証できます。入力されたユーザー名とパスワードが ID プロバイダに対して試行されます。ID プロバイダで WS-Trust プロトコルがサポートされている必要があります (以下の「要件」を参照)。

シングルサインオンによって提供される SAML 2.0 サポート (「機能フォーカス - シングルサインオン」を参照) を使用すると、MOVEit Web インターフェイスを使用しているときに外部 ID プロバイダを通じてユーザーを認証できます。このモデルは、MOVEit によって "利用される" SAML アサーションを作成するために ID プロバイダを使用して認証するクライアントに依存しており、HTTP 以外のインターフェイスには使用できません。WS-Trust プロトコルもサポートすることにより、MOVEit はユーザーが指定したユーザー名とパスワードを要求に含めて、SAML 2.0 アサーションドキュメントの形式で安全なトークンを直接要求できます。同じ ID プロバイダサーバーで SAML 認証と WS-Trust 認証の両方がサポートされていれば、ユーザーは同じ認証情報を使用して Web インターフェイスから両方のシングルサインオンを行うことができます。また、FTP クライアントと SSH クライアントから、または Ad Hoc Transfer Plug-in for Outlook や MOVEit Sync などの Windows クライアントからユーザー名/パスワード認証を行うことができます。

要件

WS-Trust を使用して外部認証ソースを設定するには、以下が必要です。

• ID プロバイダ。MOVEit は、次のいずれかをサポートします。
  • Microsoft Active Directory フェデレーションサービス (ADFS)
  • Windows Server (2016、2019) Active Directory フェデレーションサービス (AD FS)
• ID プロバイダで WS-Trust バージョン 1.3 プロトコルがサポートされ、1 つ以上のユーザー名/パスワードバインディング (UsernameToken または HTTP ベーシック/ダイジェスト認証を受け入れるバインディング) が提供される必要があります。
• ID プロバイダは、MOVEit サーバーが HTTPS を使用して接続できるホスト上にある必要があります。
• WS-Trust ソースを設定する前に、MOVEit と WS-Trust サーバー間で通信するためのセキュリティトークンサービスを設定する必要があります。WS-Trust ソースでは、既存の ID プロバイダを MOVEit の [Single Signon settings (シングルサインオン設定)] ページで設定する必要があります。認証ソースはその ID プロバイダにリンクされます。ID プロバイダが設定されていない場合は、WS-Trust 認証ソースを追加する前に、ID プロバイダを追加して設定する必要があります。

  注:ID プロバイダを追加する必要がある場合は、「ユーザー認証 - シングルサインオン」トピックの「ID プロバイダ」セクションを参照してください。

WS-Trust ソースの設定

1. 上記のセクションの要件を満たしていることを確認します。
2. 「外部認証 - 概要」トピックの説明に従って、WS-Trust を認証ソースとして追加します。
3. この認証方法でセキュリティトークンサービスを使用するように設定します。
   1. WS-Trust をサポートする ID プロバイダによって、セキュリティトークンサービスの設定に使用するメタデータファイルまたは URL が生成されます。
      • [Browse (参照)] をクリックし、プロバイダのメタデータファイルを見つけてアップロードし、[Upload Metadata File (メタデータファイルのアップロード)] をクリックします。

      または

      • プロバイダのメタデータの URL を入力し、[Download Metadata File (メタデータファイルのダウンロード)] をクリックします。
   2. [Add New Source (新しいソースの追加)] をクリックして、この認証ソースを追加します。

      WS-Trust 認証ソースのエントリが作成され、[Settings (Security) (設定 (セキュリティ))] ページのソースのリストに追加されます。

4. 設定を完了するには、認証ソースのリストで WS-Trust ソースの横の [Edit (編集)] をクリックします。[Edit Authentication Source (認証ソースの編集)] ページが開きます。
5. [Enabled (有効)] が [Yes (はい)] に設定されていることを確認します。
6. セキュリティトークンサービスのエンドポイントが適切な場所に設定されていることを確認します。
7. 必要に応じて、ユーザー設定とグループ設定を編集します。

   これらの設定では、ユーザー情報が MOVEit 内でどのように追加されるかを指定します。デフォルトでは、認証ソースはサインオン時にユーザーを自動的に作成するように設定されています。これらの設定を変更するには、[Edit Identity Provider Settings (ID プロバイダ設定の編集)] をクリックします。

   注:WS-Trust 認証ソースでは、リンクされた ID プロバイダとユーザー設定およびグループ設定が共有されます。

   • [Full Name Attribute (フルネーム属性)] および [Email Attribute (E メール属性)] テンプレート設定では、新しいユーザーを MOVEit ユーザーアカウントに追加した場合に、フルネームおよび E メールアドレスのフィールドに使用する値を指定します。
   • [Auto Create User on Signon (サインオン時にユーザーを自動的に作成する)]: デフォルトでは、新しいユーザーが正常にサインオンすると、MOVEit にアカウントが作成されます。無効にする場合は、[False (いいえ)] をクリックします。
   • [Group membership behavior (グループメンバーシップの動作)]: この設定では、グループメンバーシップの処理方法を指定します。[Ignore Differences (相違を無視する)] に設定すると、ID プロバイダのグループメンバーシップが無視されます。[Report Differences (相違を報告する)] に設定すると、MOVEit のグループメンバーシップと ID プロバイダのグループメンバーシップの相違がログで報告されます。[Correct Differences (相違を修正する)] に設定すると、MOVEit のグループメンバーシップと ID プロバイダのグループメンバーシップの相違が修正されます (可能な場合)。MOVEit のグループは自動的に追加されません。グループメンバーシップだけです。ID プロバイダには存在するが、MOVEit サーバーには存在しないグループは、エラーとして記載されます。
   • [Group membership attribute (グループメンバーシップの属性)]: グループが ID プロバイダに存在している場合は、オブジェクトプロパティのリストから選択してグループ名を設定します。
8. 変更を保存します。

   WS-Trust 認証を使用する準備ができました。