目次 1. はじめに本ドキュメントについて注意事項お客さまへのお願い商標についてマークについて DataSpider BPM のシングルサインオンについて PDF Free Download

目次 1. はじめに... 1 1.1. 本ドキュメントについて... 1 1.2. 注意事項... 2 1.2.1. お客さまへのお願い... 2 1.2.2. 商標について... 2 1.3. マークについて... 3 2. DataSpider BPM のシングルサインオンについて... 4 2.1. 提供している SSO 環境... 4 2.2. 前提条件... 4 2.3. 認証の流れ... 5 3. SSO 環境の設定参考例... 6 3.1. 環境説明... 6 3.2. 事前設定 ( 参考 ): KDS ルートキーの作成... 7 3.3. 事前設定 ( 参考 ): ADFS 3.0 のインストール... 8 3.4. 事前設定 ( 参考 ): ADFS 3.0 の構成... 13 3.5. 事前設定 ( 参考 ): ADFS 3.0 の基本設定... 18 3.6. 事前設定 ( 必須 ): DataSpider BPM の設定準備... 25 3.6.1. キーストアおよびサービスプロバイダ証明書の作成... 25 3.6.2. 設定ファイル (qbpms.config) の設定... 26 3.7. 事前設定 ( 必須 ): DataSpider BPM のシステム設定... 29 3.8. 事前設定 ( 必須 ): ID プロバイダの設定... 32 3.9. 動作確認 : SSO 環境でログインする... 42

1.2. 注意事項 1.2.1. お客さまへのお願い本ソフトウェアの著作権は株式会社アプレッソまたはそのライセンサーが所有しています本ソフトウェアおよび本ドキュメントを無断で複製転載することを禁止します本ドキュメントは万全を期して作成されていますが万一不明な点や誤り記載もれなどお気づきの点がございましたら弊社までご連絡ください本ソフトウェアは使用者の責任でご使用くださいご使用の結果万一トラブルおよび訴訟等が発生しましてもあらゆる直接または間接の損害および損失につきまして弊社は一切責任を負わないものとしますあらかじめご了承ください本ソフトウェアの仕様や本ドキュメントに記載されている内容は改善のため予告なしに変更されることがあります本ソフトウェアの使用にはソフトウェアライセンス契約が必要で株式会社アプレッソまたはそのライセンサーの重要な業務機密と独自の情報が含まれており日本国政府の著作権法で保護されています株式会社アプレッソまたはそのライセンサーのソフトウェアと本ドキュメントの無断使用は損害賠償刑事訴訟の対象となります 1.2.2. 商標について APPRESSO APPRESSO ロゴアプレッソ DataSpider DataSpider マークデータスパイダー Servista Servista ロゴサービスタは株式会社アプレッソの商標または登録商標です APPRESSO APPRESSO ロゴアプレッソ DataSpider DataSpider マークデータスパイダー Servista Servista ロゴサービスタ以外の会社名製品名サービス名等は各社の登録商標または商標です個々のページに表示記載されたこれら商標等の複製転用を禁止致します S/N BPM2500101 Copyright 2018 APPRESSO K.K. All rights reserved. 2

1.3. マークについて本ドキュメント内で使用しているマークについての説明は以下の通りですマーク説明操作や設定に関するヒントであることを表します操作や設定に関する注意事項や制限事項であることを表します詳細な説明が別の項目に記載されていることを表しますまた説明は次の規則に沿って行われています画面に表示されるメニュー名タブ名プロパティ項目名および値ボタン名は [] で囲んで表しますまたそれ以外の機能名や画面のタイトル名称のないものはで囲んで前者と区別しています $DSBPM_HOME は DataSpider BPM をインストールしたディレクトリを表しますデフォルトでは C:\DSBPM となります $DSS_HOME は DataSpider Servista (Server) のインストールディレクトリを表します $JRE_HOME は DataSpider BPM のインストール時に選択した JavaVM(JRE) のインストールディレクトリを表します JRE をインストールした場合 : 例 ) C:\Program Files\Java\jre1.8.0_141 JDK をインストールした場合 : 例 ) C:\Program Files\Java\jdk1.8.0_141\jre $PSQL_HOME は PostgreSQL データベースのインストールディレクトリを表します <> で囲まれた名称は可変であることを表します例 : http://< ホスト名または IP アドレス >:18080/userweb/Login_show Copyright 2018 APPRESSO K.K. All rights reserved. 3

2. DataSpider BPM のシングルサインオンについて DataSpider BPM ではシングルサインオン ( 以降 SSO と呼びます ) によるログイン認証機能を提供しており次項に説明する条件を満たす環境において共通のユーザ認証情報による DataSpider BPM システムへのログイン処理を行うことができます 2.1. 提供している SSO 環境 SAML 2.0 準拠の SAML サーバまたは SSO ログイン認証プロバイダ ( 以降 ID プロバイダと呼びます ) 2.2. 前提条件必要条件項目ユーザおよび組織データ DataSpider BPM 側にも同じユーザおよび組織データが必要となります SAML 2.0 準拠の ID プロバイダ ID プロバイダからのログインには対応しておりません DataSpider BPM でのシングルサインオンはサービスプロバイダを起点としたシングルサインオン (SP-initiated SSO) となります備考シングルサインオンのみで DataSpider BPM を使用する場合は DataSpider BPM 側のユーザデータのパスワードは仮のものでも構いませんログインする際には初めに DataSpider BPM にアクセスする必要があります ID プロバイダ側のログイン処理では POST 形式のみに対応していますユーザ ID としてメールアドレスを使用している必要があります ( ) ( )ID プロバイダによっては可能な場合がありますユーザ情報にメールアドレスが保持されており認証時に DataSpider BPM 側のユーザ ID ( メールアドレス ) とのマッチングが行えるような ID プロバイダの場合はその必要はありません Copyright 2018 APPRESSO K.K. All rights reserved. 4

2.3. 認証の流れ [ 各構成要素 ] ID プロバイダ : SAML サーバまたは SSO ログイン認証プロバイダを意味しますここには認証サービスとユーザ情報を保持しているディレクトリサービス (Active Directory や LDAP など ) やデータベースが含まれます DataSpider BPM: ユーザ : SSO を適用するソフトウェアのサービスプロバイダ (DataSpider BPM) を意味します DataSpider BPM を使用するユーザまたはブラウザを意味します [ 認証の流れ ( 概要 )] Dat aspider BPM ID プロバイダ 2 ID プロバイダのログイン画面へリダイレクト 4 1 2 6 5 4 認証処理 5 認証結果の送信 3 ユーザ ( 前提 ) DataSpider BPM のログイン画面へアクセス 1 ユーザ認証情報を入力せずに [ ログイン ] ボタンを押下 3 ID プロバイダのログイン画面が表示されユーザ認証情報を入力 6 DataSpider BPM にリダイレクトされログイン処理完了 Copyright 2018 APPRESSO K.K. All rights reserved. 5

3. SSO 環境の設定参考例 3.1. 環境説明この章では SAML 2.0 準拠の SSO 環境を構築するための手順を以下の環境例をもとに説明します説明するにあたり ID プロバイダを構成する SSO 認証サービスソフトウェアとして Microsoft Corporation が提供している Active Directory Federation Services 3.0( 以降 ADFS 3.0 と呼びます ) を使用していますまたユーザ認証のためのユーザ情報は Active Directory( 以降 AD と呼びます ) に保持管理しており以下の環境があらかじめ用意されていることを前提としております ID プロバイダおよびサービスプロバイダ (DataSpider BPM) のシステム時刻は事前に合わせるよう願います各マシンのシステム時刻が合っていない場合認証処理のライフサイクルに影響し SSO でのログイン処理が正常に行われません [ID プロバイダの環境例 ] OS は Windows Server 2012 R2 を使用しますコンピュータ名 : ドメイン名 : ADFS30 bpmad2012.local 認証サービス : ADFS 3.0 以降でインストールおよび設定しますユーザ情報 : AD 使用可能な状態とします [ 登録されているユーザ情報 ] ユーザログオン名 : Ito@bpmad2012.local 表示名 : 電子メール : その他 : 伊藤 Ito@localhost.localdomain 任意その他 : サーバー証明書を用意します事前に用意してください [ サービスプロバイダ (DataSpider BPM) の環境例 ] OS は適宜対応する環境を使用しますインストール Dir: C:\DSBPM ユーザ情報 : [ 登録されているユーザ情報 ] ユーザ名 : 伊藤メールアドレス : Ito@localhost.localdomain 必ず AD 側と同じであることその他 : 任意その他 : SSL 通信を有効にします HTTPS でのアクセスが行えること Copyright 2018 APPRESSO K.K. All rights reserved. 6

SSL 通信設定に関する詳細はインストールガイドの 11. SSL 通信設定を参照してください 3.2. 事前設定 ( 参考 ): KDS ルートキーの作成 ADFS 3.0 をインストールする前に KDS(Key Distribution Services) のルートキーを作成します ID プロバイダとして ADFS 3.0 を使用しない場合は必要ありません 1. Windows PowerShell を起動します 2. 以下のコマンドレットを入力し [ENTER] キーを押下します KDS ルートキーの作成は実行 10 時間後に作成されるため現在時刻から 10 時間を差し引いた時間を指定して即時に作成します Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10)) 3. Windows PowerShell を閉じます Copyright 2018 APPRESSO K.K. All rights reserved. 7

3.3. 事前設定 ( 参考 ): ADFS 3.0 のインストール ADFS 3.0 をインストールするには以下の作業を行います ID プロバイダとして ADFS 3.0 を使用しない場合は必要ありません 1. サーバーマネージャーの [ 管理 ] メニューから [ 役割と機能の追加 ] メニューを選択します 2. 役割と機能の追加ウィザードが起動します開始する前に画面にて [ 次へ ] ボタンを押下します 3. インストールの種類の選択画面が表示されます [ 役割ベースまたは機能ベースのインストール ] を選択し [ 次へ ] ボタンを押下します Copyright 2018 APPRESSO K.K. All rights reserved. 8

3.4. 事前設定 ( 参考 ): ADFS 3.0 の構成 ADFS 3.0 の機能構成方法について説明します ID プロバイダとして ADFS 3.0 を使用しない場合は必要ありません 1. サーバーマネージャーのメニューに表示される警告アイコンを押下し [ このサーバーにフェデレーションサービスを構成します ] リンクを押下します 2. Active Directory フェデレーションサービス構成ウィザードが起動しますようこそ画面にて [ フェデレーションサーバーファームに最初のフェデレーションサーバーを作成します ] を選択し [ 次へ ] ボタンを押下します Copyright 2018 APPRESSO K.K. All rights reserved. 13

3. Active Directory ドメインサービスへの接続画面が表示されます Active Directory ドメイン管理者を選択し [ 次へ ] ボタンを押下します 4. サービスのプロパティの指定画面が表示されます [SSL 証明書 ] を開きあらかじめ作成したサーバー証明書をリストから選択します [ フェデレーションサービスの表示名 ] に適切な表示名を入力し [ 次へ ] ボタンを押下します Copyright 2018 APPRESSO K.K. All rights reserved. 14

5. サービスアカウントの指定画面が表示されますここでは [ グループ管理サービスアカウントを作成します ] を選択します [ アカウント名 ] に適切な値を入力し [ 次へ ] ボタンを押下します 6. 構成データベースの指定画面が表示されます [Windows Internal Database を使用してサーバーにデータベースを作成します ] を選択し [ 次へ ] ボタンを押下します Copyright 2018 APPRESSO K.K. All rights reserved. 15

3.5. 事前設定 ( 参考 ): ADFS 3.0 の基本設定 ID プロバイダとして ADFS 3.0 を使用しない場合は必要ありません 1. サーバーマネージャーの [ ツール ] メニューから [ADFS の管理 ] メニューを選択します 2. ADFS の管理スナップインが起動します左ペインの [ADFS] を選択しマウスの右クリックメニューから [ フェデレーションサービスのプロパティの編集 ] メニューを選択します Copyright 2018 APPRESSO K.K. All rights reserved. 18

3. フェデレーションサービスのプロパティ設定ダイアログが表示されます [ フェデレーションサービスの識別子 ] に登録されている URL の http://~ 箇所を SSL 通信を行うため https://~ に変更しますまた以降の設定でこの値をサービスプロバイダ (DataSpider BPM) に [ エンティティ ID] として登録するため値をひかえておきますここでは https://adfs30.bpmad2012.local/adfs/services/trust となります値をひかえたら [OK] ボタンを押下します Copyright 2018 APPRESSO K.K. All rights reserved. 19

4. 左ペインの [ サービス ] [ エンドポイント ] を選択しエンドポイント ( 中央のペイン ) に表示される一番上の値を確認します以降の設定で https://adfs30.bpmad2012.local を付加した値をサービスプロバイダ (DataSpider BPM) に [ ログインページ URL] として登録するため値をひかえておきますここでは https://adfs30.bpmad2012.local/adfs/ls/ となります 5. 左ペインの [ サービス ] [ 証明書 ] を選択し証明書 ( 中央のペイン ) に表示される各種証明書から以下の証明書をエクスポートしますトークン署名 : フェデレーションサーバーのトークン署名証明書となっていますこの証明書は SSO の認証結果を ID プロバイダとサービスプロバイダ (DataSpider BPM) との間で相互信頼するための証明書でありサービスプロバイダ (DataSpider BPM) に [ 証明書 ] として登録するために必要となりますサービス通信 : フェデレーションサーバーのサーバー証明書となっていますこの証明書はあらかじめ自己署名証明書として作成したためクライアントの証明書ストアにインストールする必要があります 6. まずはトークン署名証明書をエクスポートするため証明書 ( 中央のペイン ) のトークン署名に表示される証明書をダブルクリックします 7. 証明書ダイアログが表示されます [ 詳細 ] タブを選択し [ ファイルにコピー ] ボタンを押下します Copyright 2018 APPRESSO K.K. All rights reserved. 20

10. エクスポートするファイル画面が表示されます任意のディレクトリに adfs30token.cer というファイル名を入力し [ 次へ ] ボタンを押下します 11. 証明書のエクスポートウィザードの完了画面が表示されます [ 完了 ] ボタンを押下します [ 完了 ] ボタンを押下後正しくエクスポートされましたのメッセージダイアログが表示されます [OK] ボタンを押下しメッセージダイアログを閉じます同様に証明書ダイアログの [OK] ボタンも押下します Copyright 2018 APPRESSO K.K. All rights reserved. 22

12. 次にサーバー証明書をエクスポートするため証明書 ( 中央のペイン ) のサービス通信に表示される証明書をダブルクリックしますこの作業はフェデレーションサーバのサーバー証明書に自己署名証明書を使用しているため必要な作業となっていますエクスポートの操作手順は以下の項目以外はトークン署名証明書の場合と同様となっており以降の手順説明を省略します秘密キーのエクスポート : いいえ秘密キーをエクスポートしませんエクスポートファイルの形式 : DER encoded binary X.509 (.CER) エクスポートするファイル名 : adfs30server.cer 任意のディレクトリを指定 13. サーバー証明書をあらかじめクライアントの証明書ストアにインストールしますこの作業はフェデレーションサーバのサーバー証明書に自己署名証明書を使用しているため必要な作業となっています [Internet Explorer の場合 ] 1. ブラウザの [ ツール ] メニューから [ インターネットオプション ] メニューを選択します 2. [ コンテンツ ] タブを選択し [ 証明書 ] ボタンを押下します 3. [ 信頼されたルート証明機関 ] タブを選択し [ インポート ] ボタンを押下します 4. 証明書のインポートウィザードが起動します [ 次へ ] ボタンを押下します 5. インポートする証明書ファイル画面にて以前エクスポートした adfs30server.cer を選択します 6. 証明書ストア画面にて以下が選択されていることを確認し [ 次へ ] ボタンを押下します選択されていない場合は [ 参照 ] ボタンで選択してください [ 証明書をすべて次のストアに配置する ]: チェックが入っていること [ 証明書ストア ]: 信頼されたルート証明機関 7. 証明書のインポートウィザードの完了画面にて [ 完了 ] ボタンを押下します 8. セキュリティ警告のダイアログが表示されます [ はい ] ボタンを押下します 9. 正しくインポートされましたのメッセージダイアログが表示されます [OK] ボタンを押下します 10. 証明書ダイアログにて [ 閉じる ] ボタンを押下します 11. インターネットオプションダイアログにて [OK] ボタンを押下します 12. ブラウザを再起動します Copyright 2018 APPRESSO K.K. All rights reserved. 23

[Firefox の場合 ] 1. ブラウザの [ ツール ] メニューから [ オプション ] メニューを選択します 2. [ 詳細 ] アイコンの [ 証明書 ] タブを選択し [ 証明書を表示 ] ボタンを押下します 3. 証明書マネージャが起動します [ サーバ証明書 ] タブを選択し [ 例外を追加 ] ボタンを押下します 4. セキュリティ例外の追加ダイアログが表示されます [URL:] に https://adfs30.bpmad2012.local を入力し [ 証明書を取得 ] ボタンを押下します 5. [ セキュリティ例外を承認 ] ボタンを押下します 6. 証明書マネージャにて [OK] ボタンを押下します 7. オプションダイアログにて [OK] ボタンを押下します 8. ブラウザを再起動します [Chrome の場合 ] Internet Explorer と同じ証明書ストアを使用していますので Internet Explorer の設定を行った場合は特に設定の必要はありません Copyright 2018 APPRESSO K.K. All rights reserved. 24

3.6. 事前設定 ( 必須 ): DataSpider BPM の設定準備 DataSpider BPM 側で SSO に関する以下の設定準備作業を行います 3.6.1. キーストアおよびサービスプロバイダ証明書の作成この作業は SSO において認証リクエストにサービスプロバイダの証明書が必要な場合のみ作業する必要があります必要かどうかは使用している ID プロバイダに依存しますここでは自己署名証明書として証明書を作成します正規の証明書を作成する場合はインストールガイドの 11.1. keytool を使用した鍵とサーバ証明書の生成を参照してください 1. DataSpider BPM を停止します操作方法に関する詳細はインストールガイドの 4.2. 停止を参照してください 2. コマンドプロンプトを起動し以下のコマンドを入力します C:\> cd $JRE_HOME\bin [RETURN] $JRE_HOME\bin> keytool -genkeypair -alias < キーエイリアス名 > -keyalg RSA -keysize 2048 -keystore < キーストアファイルパス > -ext san=dns: < ホスト名 > [RETURN] キーストアのパスワードを入力してください : < キーストアパスワード > [RETURN] 新規パスワードを再入力してください : < キーストアパスワード > [RETURN] 姓名は何ですか [Unknown]: < ホスト名 > [RETURN] 組織単位名は何ですか [Unknown]: < 部署名 > [RETURN] 組織名は何ですか [Unknown]: < 会社名 > [RETURN] 都市名または地域名は何ですか [Unknown]: < 住所 > [RETURN] 都道府県名は何ですか [Unknown]: < 都道府県 > [RETURN] この単位に該当する 2 文字の国コードは何ですか [Unknown]: JP [RETURN] CN= ホスト名, OU= 部署名, O= 会社名, L= 住所, ST= 都道府県, C=JP でよろしいですか? [ いいえ ]: はい [RETURN] <bpmsaml> の鍵パスワードを入力してください ( キーストアのパスワードと同じ場合は RETURN を押してください ): < キーエイリアスパスワード > [RETURN] 新規パスワードを再入力してください : < キーエイリアスパスワード > [RETURN] Copyright 2018 APPRESSO K.K. All rights reserved. 25

[ 上記の入力値 ( 例 )] 各パスワードは適宜設定してくださいキーエイリアス名 : キーストアファイルパス : キーストアパスワード : bpmsaml C:\DSBPM\conf\.samlkeystore keystorepass キーエイリアスパスワード : keyaliaspass 上記の $JRE_HOME は DataSpider BPM のインストール時に選択した JavaVM(JRE) のインストールディレクトリです JDK を選択している場合は jre ディレクトリ直下を指します SSL 通信設定を行った際に作成したキーストアとは別のキーストアに作成格納してください一部のブラウザでは姓名 (CN) ではなくサブジェクトの別名 (Subject Alternative Name) の指定が必須となります自己署名証明書を使用する場合には -ext オプションを指定します作成した証明書の有効日数は初期値では 90 日となっています証明書を作成する際に有効日数を指定することも可能です指定方法の詳細はインストールガイドの 11.1. keytool を使用した鍵とサーバ証明書の生成を参照してください 3.6.2. 設定ファイル (qbpms.config) の設定 DataSpider BPM 側の設定ファイル (qbpms.config) にて SSO に関する以下の設定作業を行います 1. C:\DSBPM\qbpms.config をテキストエディタで開きます 2. C:\DSBPM\qbpms.config の ### SSO SAML Configuration ### 以降を編集します [SSO において認証リクエストにサービスプロバイダの証明書が必要ない場合 ] ### SSO SAML Configuration ### qbpms.saml.authnrequestssigned=false qbpms.saml.logoutrequestsigned=false #qbpms.saml.keystore.file= #qbpms.saml.keystore.type=jks #qbpms.saml.keystore.password= #qbpms.saml.keystore.keyalias= #qbpms.saml.keystore.keypassword= Copyright 2018 APPRESSO K.K. All rights reserved. 26

qbpms.saml.authnrequestssigned および qbpms.saml.logoutrequestsigned 箇所のコメント # をはずします設定値は false のままにしますその他の設定箇所はコメント # のままにします [SSO において認証リクエストにサービスプロバイダの証明書が必要な場合 ] 設定項目すべてのコメント # をはずしてください ### SSO SAML Configuration ### qbpms.saml.authnrequestssigned= シングルサインオンの認証リクエストにサービスプロバイダの証明書が必要な場合は true 必要ない場合は false を指定します qbpms.saml.logoutrequestsigned= シングルログアウトの認証リクエストにサービスプロバイダの証明書が必要な場合は true 必要ない場合は false を指定します qbpms.saml.keystore.file= 証明書を含める場合において証明書と通信データを暗号化 / 複合化するための公開鍵および秘密鍵 ( キーペア ) を保持しているキーストアファイルの場所を設定しますキーストアファイル名も含めた DataSpider BPM が参照できるサーバ上のファイルパスを記述します例 ) file:///c:/dsbpm/conf/.samlkeystore qbpms.saml.keystore.type=jks キーストアファイルの形式を設定します初期値は JKS (Java Key Store) となっており変更する必要はありません qbpms.saml.keystore.password= キーストアファイルのパスワードを設定します qbpms.saml.keystore.keyalias= 登録したキーペアのキーストアファイル内での登録名 ( キーエイリアス ) を設定します qbpms.saml.keystore.keypassword= キーエイリアスのパスワードを設定します [ADFS 3.0 を使用した説明環境での設定値 ( 例 )] ### SSO SAML Configuration ### qbpms.saml.authnrequestssigned=true qbpms.saml.logoutrequestsigned=true Copyright 2018 APPRESSO K.K. All rights reserved. 27

qbpms.saml.keystore.file=file:///c:/dsbpm/conf/.samlkeystore qbpms.saml.keystore.type=jks qbpms.saml.keystore.password=keystorepass qbpms.saml.keystore.keyalias=bpmsaml qbpms.saml.keystore.keypassword=keyaliaspass 3. C:\DSBPM\qbpms.config の編集を保存して閉じます 4. DataSpider BPM を起動します操作方法に関する詳細はインストールガイドの 4.1. 起動を参照してください正常に起動しない場合は上記の設定に誤りがある可能性があります設定項目を再度確認してください Copyright 2018 APPRESSO K.K. All rights reserved. 28

3.7. 事前設定 ( 必須 ): DataSpider BPM のシステム設定 DataSpider BPM 側で SSO に関する以下のシステム設定作業を行います 1. DataSpider BPM のログイン画面にアクセスし管理者のアカウントでログインします 2. 画面右上に表示されている [ ] のリストから [ システム設定 ] を選択しサイドメニューから [SSO (SAML)] メニューを選択します 3. 表示されるシングルサインオン (SAML) 画面にて以下に説明する各設定を行います [ シングルサインオンを有効にする ]:( 必須 ) チェックを入れてくださいチェックを入れた場合 ID プロバイダの情報を入力するフィールドが画面に表示されます [ パスワードログインを禁止 ]: ( 任意 )DataSpider BPM へのログイン処理にて SSO によるログインのみを有効にしたい場合はチェックを入れますチェックを入れた場合はログイン画面の [ メールアドレス ] および [ パスワード ] の入力項目が非表示となります 4. [IdP 設定 ](ID プロバイダの設定情報 ) に以下に説明する各設定を行います [ エンティティ ID]: ( 必須 )ID プロバイダを識別するためのエンティティ ID を入力してください [ ログインページ URL]: ( 必須 )POST 方式でログインする際の ID プロバイダ側のエンドポイント URL を入力してください [ ログアウトページ URL]: ( 任意 )ID プロバイダ側が対応している場合にシングルログアウトを行う際の ID プロバイダ側のエンドポイント URL を入力してください未入力の場合は DataSpider BPM のログアウトページを表示します [NameID フォーマット ]: ( 任意 )ID プロバイダが Azure Active Directory の場合以下の名前 ID フォーマット URI を入力してください urn:oasis:names:tc:saml:1.1:nameid-format: emailaddress Copyright 2018 APPRESSO K.K. All rights reserved. 29

[ 証明書 ]: ( 必須 )ID プロバイダのトークン署名証明書の内容をコピー & ペーストしてください Base64 形式でエクスポートしたトークン署名証明書をテキストエディタなどで開き表示される値を使用してください [ADFS 3.0 を使用した説明環境での設定値 ( 例 )] [ エンティティ ID]: https://adfs30.bpmad2012.local/adfs/services/trust [ ログインページ URL]: https://adfs30.bpmad2012.local/adfs/ls/ [ ログアウトページ URL]: ここでは未入力 [NameID フォーマット ]: ここでは未入力 [ 証明書 ]: ~ ( 省略 ) ~ 5. [SP 情報 ](DataSpider BPM の設定情報 ) に表示される以下の各表示値をひかえておきますこの表示値は以降で説明する ID プロバイダの設定の際に必要な情報となります [ エンティティ ID]: ( 必須 ) サービスプロバイダ (DataSpider BPM) のエンティティ ID が表示されます [ACS URL]: ( 必須 ) サービスプロバイダ (DataSpider BPM) のアサーションコントロールサービス URL が表示されます [ シングルログアウトサービス URL]:( 任意 ) サービスプロバイダ (DataSpider BPM) のシングルログアウトサービス URL が表示されますシングルログアウトを有効にする場合に ID プロバイダに設定します Copyright 2018 APPRESSO K.K. All rights reserved. 30

[ 証明書 ]: (ID プロバイダ依存 ) サービスプロバイダ (DataSpider BPM) の証明書の内容が表示されます表示される証明書の内容は証明書として ID プロバイダの設定で必要となります表示内容をすべてコピーしテキストエディタなどでファイル名 bpmsaml.cer として保存しておきます設定ファイル (qbpms.config) の SAML シングルサインオン設定項目 (qbpms.saml.keystore.~) を設定した場合のみ表示されます Firefox では表示される値を画面から直接コピーすることができませんブラウザ上のマウス右クリックメニューで表示される [ ページのソースを表示 ] で表示されるソースから取得してください [ADFS 3.0 を使用した説明環境での表示値 ( 例 )] [ エンティティ ID]: https://dsbpmserver:18443/userweb/ [ACS URL]: https://dsbpmserver:18443/userweb/saml/sso/ alias/bpm [ シングルログアウトサービス URL]:https://dsbpmserver:18443/userweb/saml/ SingleLogout/alias/bpm [ 証明書 ]: ~ ( 省略 ) ~ 6. [ 保存 ] ボタンを押下し設定内容を保存します Copyright 2018 APPRESSO K.K. All rights reserved. 31

参考 : パスワードログインを禁止した場合 ( チェックを入れた場合 ) のログイン画面パスワードログインを禁止した場合でもログイン画面右側に表示されている鍵マークを選択することにより [ メールアドレス ] および [ パスワード ] の入力項目が表示されますシステム管理者であればパスワードログイン処理で DataSpider BPM へログインすることができますシステム管理者以外でパスワードログインした場合はパスワード認証は禁止されていますのメッセージが表示されログインすることができません 3.8. 事前設定 ( 必須 ): ID プロバイダの設定 ID プロバイダ側で SAML 2.0 を使用した SSO を提供するには以下の設定作業を行います使用する ID プロバイダにより設定方法は異なります 1. ADFS 3.0 の管理スナップインにて左ペインの [ADFS] - [ 信頼関係 ] - [ 証明書利用者信頼 ] を選択しマウスの右クリックメニューから [ 証明書利用者信頼の追加 ] メニューを選択します 2. 証明書利用者信頼の追加ウィザードが起動し証明書利用者信頼の追加ウィザードの開始画面が表示されます [ 開始 ] ボタンを押下します Copyright 2018 APPRESSO K.K. All rights reserved. 32

7. URL の構成画面が表示されます [SAML 2.0 WebSSO プロトコルのサポートを有効にする ] にチェックを入れサービスプロバイダ (DataSpider BPM) の [ACS URL] である https://dsbpmserver:18443/userweb/saml/sso/alias/bpm を入力します入力後 [ 次へ ] ボタンを押下します 8. 識別子の構成画面が表示されます [ 証明書利用者信頼の識別子 ] にサービスプロバイダ (DataSpider BPM) の [ エンティティ ID] である https://dsbpmserver:18443/userweb/ を入力し [ 追加 ] ボタンを押下します [ 追加 ] ボタン押下後 [ 次へ ] ボタンを押下します Copyright 2018 APPRESSO K.K. All rights reserved. 35

9. 多要素認証設定画面が表示されます [ 現時点ではこの証明者利用者信頼に多要素認証を構成しない ] を選択し [ 次へ ] ボタンを押下します 10. 発行承認規則の選択画面が表示されます [ すべてのユーザーに対してこの証明書利用者へのアクセスを許可する ] を選択し [ 次へ ] ボタンを押下します Copyright 2018 APPRESSO K.K. All rights reserved. 36

11. 信頼の追加の準備完了画面が表示されますウィザードでの設定内容が表示されます表示内容を確認後 [ 次へ ] ボタンを押下します 12. 完了画面が表示されます [ ウィザードの終了時にこの証明書利用者信頼の [ 要求規則の編集 ] ダイアログを開く ] にチェックを入れ [ 閉じる ] ボタンを押下します Copyright 2018 APPRESSO K.K. All rights reserved. 37

13. 証明書利用者信頼の追加ウィザードが閉じ bpm の要求規則の編集ダイアログが表示されます [ 発行変換規則 ] タブの [ 規則の追加 ] ボタンを押下します 14. 変換要求規則の追加ウィザードが起動し規則テンプレートの選択画面が表示されます [ 要求規則テンプレート ] に LDAP 属性を要求として送信を選択し [ 次へ ] ボタンを押下します Copyright 2018 APPRESSO K.K. All rights reserved. 38

15. 規則の構成画面が表示されます各項目に以下の値を指定します [ 要求規則名 ]: bpmclaim を入力します任意の値 [ 属性ストア ]: リストから Active Directory を選択します [LDAP 属性の出力方向の要求の種類への関連付け ] [LDAP 属性 ]: リストから E-Mail-Addresses を選択します [ 出力方向の要求の種類 ]: リストから名前 ID を選択します上記の要求規則を設定することで SSO によるユーザ認証後に ADFS 3.0 が Active Directory に保持されている認証ユーザの [ 電子メール ] の情報を取得しサービスプロバイダ (DataSpider BPM) の名前 ID( ユーザ ID) とのマッピングを行います設定後 [ 完了 ] ボタンを押下します 16. 変換要求規則の追加ウィザードが閉じ bpm の要求規則の編集ダイアログの [ 発行変換規則 ] の一覧に設定した要求規則が表示されます要求規則の設定が完了しましたので [OK] ボタンを押下します Copyright 2018 APPRESSO K.K. All rights reserved. 39

17. ADFS 3.0 の管理スナップインにて証明書利用者信頼 ( 中央のペイン ) に表示されている bpm を選択しマウスの右クリックメニューから [ プロパティ ] メニューを選択します 18. bpm のプロパティダイアログが表示されます [ 署名 ] タブを選択します 19. サービスプロバイダ (DataSpider BPM) で作成しエクスポートした証明書を設定します [ 追加 ] ボタンを押下し bpmsaml.cer を選択します Copyright 2018 APPRESSO K.K. All rights reserved. 40

20. [ 詳細設定 ] タブを選択し証明書利用者信頼に使用するセキュアハッシュアルゴリズムを選択します初期状態では SHA-256 が選択されていますが使用するセキュアハッシュアルゴリズムは SHA-1 となりますリストから SHA-1 を選択してください 20. [OK] ボタンを押下し bpm のプロパティダイアログを閉じます Copyright 2018 APPRESSO K.K. All rights reserved. 41

3.9. 動作確認 : SSO 環境でログインする SAML 2.0 を使用した SSO の設定は完了しましたこの章では設定内容を確認するために実際に認証ユーザアカウントでのログイン処理を行います 1. DataSpider BPM のログイン画面にアクセスし [ ログイン ] ボタンを押下します 2. ID プロバイダで指定したログインページが表示されます ID プロバイダの設定内容により表示されるログイン画面および情報は異なります適宜ログイン認証を行ってください Copyright 2018 APPRESSO K.K. All rights reserved. 42

ADFS 3.0 で初めてログインする場合のみ上図のユーザ認証画面が表示されます Active Directory に登録しているユーザ Ito@bpmad2012.local でログインしてください DataSpider BPM などの Web ベースの SSO サービスプロバイダでは基本的にはブラウザを開いている間はログイン ( サインイン ) の状態を維持します ADFS 3.0 で統合 Windows 認証が可能な環境の場合はクライアントマシンへのログイン認証で完了するため上記のユーザ認証画面は表示されません 3. ログイン処理が完了し DataSpider BPM のワークフロー画面が表示されます Copyright 2018 APPRESSO K.K. All rights reserved. 43

目次 1. はじめに 本ドキュメントについて 注意事項 お客さまへのお願い 商標について マークについて DataSpider BPM のシングルサインオンについて... 4

目次 1. はじめに本ドキュメントについて注意事項お客さまへのお願い商標についてマークについて DataSpider BPM のシングルサインオンについて... 4