SAML認証

Similar documents
CA Federation ご紹介資料

Active Directory フェデレーションサービスとの認証連携

ROBOTID_LINEWORKS_guide

スライド 1

KS_SSO_guide

desknet s NEO SAML 連携設定手順書 2019 年 1 月 株式会社セシオス 1

FUJITSU Cloud Service K5 認証サービス サービス仕様書

ek-Bridge Ver.2.0 リリースについて

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

OSSTech OpenSSO社内勉強会資料

SHANON MARKETING PLATFORM 管理者シングルサインオン機能ユーザーマニュアル 管理者シングルサインオン機能ユーザーマニュアル Ver /06/01 株式会社シャノン Copyright SHANON Co., Ltd. All Rights Reserved.

SeciossLink クイックスタートガイド

SeciossLink クイックスタートガイド(Office365編)

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

KDDI Smart Mobile Safety Manager Mac OS キッティングマニュアル 最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

項目 1. 画面デザイン変更 画面デザイン変更 ( ホーム ) 画面デザイン変更 ( ファイル一覧 ) 画面デザイン変更 ( 管理画面 )[ 管理者機能 ] 画面デザイン変更 ( ユーザー管理 )[ 管理者機能 ] 2. クライアントアクセス制限 クライアントアクセス制限 [ 管理者機能 ] 3.

Pirates Buster Series Secure Viewer セットアップマニュアル (Web インストーラ)

スライド 1

ios 用 IPSec-VPN 設定手順書 Ver. 1.0 承認確認担当 年 1 0 月 2 2 日株式会社ネットワールド S I 技術本部インフラソリューション技術部

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

管理サイト操作マニュアル Version.1.1. デジアナコミュニケーションズ株式会社

目次 専用アプリケーションをインストールする 1 アカウントを設定する 5 Windows クライアントから利用できる機能の紹介 7 1ファイル フォルダのアップロードとダウンロード 8 2ファイル更新履歴の管理 10 3 操作履歴の確認 12 4アクセスチケットの生成 ( フォルダ / ファイルの

はじめに はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と ELECOM 社製 L2 スイッチ EHB-SG2B シリーズおよび EHB-SG2B-PL シリーズの IEEE802.1X EAP-TLS/EAP-TLS+ ダイナミック VLAN 環境での接

POWER EGG 3.0 Office365連携

目次 はじめに 1サーバ作成 2 初期設定 3 利用スタート 付録 Page.2

アルファメールプラチナ Webメールスマートフォン版マニュアル

目次 1 章はじめに 本書の利用について Web ブラウザーについて 章 kintone でタイムスタンプに対応したアプリを作成する kintone にログインする kintone でアプリを作成する

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

認証連携設定例 連携機器 アイ オー データ機器 BSH-GM シリーズ /BSH-GP08 Case IEEE802.1X EAP-PEAP(MS-CHAP V2)/EAP-TLS Rev2.0 株式会社ソリトンシステムズ

Adobe Reader 署名検証設定手順書

学認(Shibboleth)との認証連携

電源管理機能を活用する 管理機から端末機の電源管理をします 複数の端末機の電源を一斉管理することで 管理者の負担を軽減できます 端末機の電源を入れるためには 次の条件が必要です コンピュータが Wake on LAN または vpro に対応している リモートで電源が入るように設定されている ネット

はじめに 本資料の目的 SAML の認証方式の指定について把握する Service Provider(SP) 側の視点 利用する IdP に認証方式を指定 Identity Provider(IdP) 側の視点 SP に実施した認証方式の応答 OpenAM の実装を把握する OpenAM を SP

VG シリーズ用ローカルファームアップ / 自動ファームウェア更新設定手順書 VG400aⅡ ローカルファームアップ / 自動ファームウェア更新設定手順書

たよれーる どこでもキャビネット セキュア版(端末認証)

PowerPoint Presentation

「FinalCode Viewer」ユーザーマニュアル

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

OSSTechドキュメント

中央大学 SSL-VPN サービス接続マニュアル (Mac 版 ) 目次 1. VPNソフトのインストール 1 2. 初回の接続 回目以降の接続 接続終了の手順 14 OS のバージョンによる設定差異等で不明点がある場合は 多摩 IT センターまでお問い合わせください

Microsoft Word - GoNET-MIS_評価環境構築マニュアル_ver docx

SeciossLink クイックスタートガイド Office365 とのシングルサインオン設定編 2014 年 10 月株式会社セシオス 1

ファイルのアップロード. 上メニューから [ アップロード ] を選択します. [ アップロード ] 画面に移行しますので, 以下の手順で操作を行います アップロードするファイルを選択し, 指定場所へ [ ドラッグ & ドロップ ] します ドラッグ & ドロップ ファイルがリストアップされたことを

目次 ログイン ログイン お知らせ画面... 3 チェック結果の表示 / 新規作成 / 更新 / データ出力 チェック結果一覧の表示 新規作成 チェック結果の検索 チェック結果の詳

ユーザー一覧をファイル出力する ユーザーを検索する 登録したユーザー数を確認する

intra-mart Accel Platform — IM-FileExchange 管理者操作ガイド   第3版  

変更履歴 日付 ver 変更箇所 変更内容 2016/8/ 新規作成 2017/1/ 全体 参照 以下 等に係る記載揺れの統一 2017/2/ 全体 参照先の記載を修正 2017/5/ ASM に情報登録 リンクの URL を修正 参考リンク集

クライアント証明書導入マニュアル

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

User's Manual補足:遠隔監視

Net'Attest EPS設定例

CybozuWorkspace連携ホワイトペーパー_v1.2

 目 次 

Microsoft Word - Amazon Pay オペレーションマニュアル.docx

iPhoneでの利用方法

Webセキュリティサービス

マイフォルダへのアクセス マイフォルダ をクリックすると マイフォルダの一覧画面へ遷移します 利用の手引き ver.5 フォルダの作成 新規フォルダ をクリックして フォルダ名を入力し 作成 ボタンをクリックする ファイルのアップロード ファイルをアップロードしたいフォルダをクリックして開き アップ

IVEXダブルブラウザLinux

(株) 殿

G Suite管理者マニュアル

プリンタードライバーのインストールと設定方法 この使用説明書は プリンタードライバーのインストール方法 プリンターを使用するための設定方法 使用上の注意事項などを説明しています 動作環境 OS 日本語版 Mac OS 9.1~9.2.2 日本語版 Mac OS Χ 10.2~ 補足 各ア

Ver.30 改版履歴 版数 日付 内容 担当 V //3 初版発行 STS V..0 05//6 パスワード再発行後のパスワード変更機能追加 STS V..0 05//5 サポート環境変更 STS V //9 サポート環境の追加 STS ii

Confidential

Active! mail 6 操作マニュアル 株式会社トランスウエア Copyright TransWare Co. All rights reserved.

無線LAN JRL-710/720シリーズ ファームウェアバージョンアップマニュアル 第2.1版

Web ( ) [1] Web Shibboleth SSO Web SSO Web Web Shibboleth SAML IdP(Identity Provider) Web Web (SP:ServiceProvider) ( ) IdP Web Web MRA(Mail Retrieval

在学生向けメールサービス

改版履歴 版発行年月日改版内容作成者 /02/12 初版 NEC ビッグローブ /04/01 社名を変更ビッグローブ - 2 -

改版履歴 版数 日付 内容 担当 V /2/25 初版発行 STS V //9 サポート環境の追加 STS 2

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり 異常が発生したときに電子メールで連絡を受け取ることが可能です これらの機能を利用するにはiTM 本体のネットワーク設定が必要になります 設定の手順を説明します 1. メニューリスト画面のシステム設

改版履歴 版数 日付 内容 担当 V /03/27 初版発行 STS V /01/27 動作条件のオペレーティングシステムに Windows 7 STS を追加 また 動作条件のブラウザに Internet Explorer 8 を追加 V /0



DocuWorks Mobile 障害切り分け手順書

無線 LAN JRL-710/720 シリーズ ファームウェアバージョンアップマニュアル G lobal Communications

第 章 システムの概要 WebBase とは 利用環境 ブラウザ操作時の留意事項... 3 第 章 基本操作 ログインとログアウト ポータル画面の構成... 5 第 3 章 メッセージ メッセージを受信する... 6 第

Windowsクライアントユーザーマニュアル_version+1_0_1_

PowerPoint プレゼンテーション

RDP 接続不具合パッチ適用手順 第 1.11 版更新日 :2016/8/30 NTT コミュニケーションズ株式会社

LCV-Net セットアップガイド macOS

ELCA操作ガイド(受験生向け)

memcached 方式 (No Replication) 認証情報は ログインした tomcat と設定された各 memcached サーバーに認証情報を分割し振り分けて保管する memcached の方系がダウンした場合は ログインしたことのあるサーバーへのアクセスでは tomcat に認証情報

改版履歴 版年月改訂内容改訂箇所 7.0 版平成 30 年 10 月 Web ブラウザ編 6.1 版を機能別に分冊しました

更新用証明書インポートツール 操作マニュアル 2011 年 10 月 31 日 セコムトラストシステムズ株式会社 Copyright 2011 SECOM Trust Systems CO.,LTD. All rights reserved. P-1

PowerPoint プレゼンテーション

ご注意 1) 本書の内容 およびプログラムの一部 または全部を当社に無断で転載 複製することは禁止されております 2) 本書 およびプログラムに関して将来予告なしに変更することがあります 3) プログラムの機能向上のため 本書の内容と実際の画面 操作が異なってしまう可能性があります この場合には 実

LCV-Net セットアップガイド Windows 8

Microsoft Word - Android認証設定手順(EAP-TLS)1105.doc

ブラウザ Internet Explorer 7 の設定について 第3版

IIJ GIOリモートアクセスサービス Windows 7 設定ガイド

変更履歴 日付 Document ver. 変更箇所 変更内容 06/7/.00 - 新規作成 06/8/9.0 管理プロファイルを登録する Web フィルタリング の記載を追加 07//6.0 全体 連絡先ポリシーを共有アドレス帳に変更 全体 参照 以下 等に係る記載揺れの統一 07/0/.03

1 copyright(c) Digital-Effect Network CO.,LTD. All rights reserved.

KDDI Smart Mobile Safety Manager ios キッティングマニュアル 最終更新日 2018 年 12 月 13 日 Document ver1.0 (Web サイト ver.9.5.0)

本マニュアルに記載された内容は 将来予告なしに一部または全体を修正及び変更することがあります なお 本マニュアルにこのような不備がありましても 運用上の影響につきましては責任を負いかねますのでご了承ください 本マニュアルの一部 あるいは全部について 許諾を得ずに無断で転載することを禁じます ( 電子

intra-mart Accel Collaboration — Collaboration共通 ユーザ操作ガイド   第7版  

Ver.60 改版履歴 版数 日付 内容 担当 V /7/8 初版発行 STS V..0 04// Windows 8. の追加 STS V..0 05//5 Windows XP の削除 STS V.30 05/8/3 体裁の調整 STS V.40 05//9 Windows0 の追加

管理者マニュアル

目次 改訂履歴... はじめに... IPsec-VPN 設定.... ユーザ ユーザグループの作成..... ユーザの作成..... ユーザグループの作成.... ファイアウォールアドレスの作成.... VPN ウィザードの作成 VPN フェーズ 設定変更 ファイアウォール

改版履歴 版発行年月日改版内容作成者 /02/12 初版 NEC ビッグローブ /04/01 社名を変更ビッグローブ /02/17 サービス紹介サイト およびサポートサイトの URL を変更ビッグローブ - 2 -

システム管理マニュアル

どこでもキャビネットVer1.3 ご紹介資料

Transcription:

設定 機能説明書 コンピュータ ハイテック株式会社 平成 28 年 12 月 12 日

目次 1. はじめに... 4 1.1 用途... 4 1.2 対象者... 4 2. SAML 概要... 5 2.1 SAML とは... 5 2.2 SAML の TeamFile の位置づけ... 5 2.3 SAML 利用の機能必要条件 ( 重要 )... 5 2.4 検証済みの Identity Provider(Idp)... 6 2.4.1 Ping Identity... 6 2.4.2 Salesforce... 6 3. SAML 設定 ( 重要 )... 7 3.1 SAML の有効 無効を設定する... 7 3.2 ディレクティブ... 7 3.2.1 TfUseSAML... 7 3.2.2 TfSAMLIdPMetaDataPath... 7 3.2.3 TfSAMLXMLPrivateKeyPath... 7 3.2.4 TfSAMLXMLPublicCertificatePath... 7 3.2.5 TfSAMLMatchedMailAddr... 8 3.3 設定ファイルの保存場所... 8 3.4 IdP への設定項目... 8 3.4.1 エンティティ ID... 8 3.4.2 Assertion Consumer Service (ASC)... 8 4. SAML 運用時の画面... 9 4.1 初期画面 ( 認証選択画面 )... 9 4.2 選択時... 10 4.3 ユーザ選択画面... 11 4.4 通常ログイン画面... 12 4.4.1 従来のログイン画面への変更... 13 5. セキュリティ... 14 5.1 認証画面の有効期限... 14 6. 既存機能への影響... 15 6.1 パスワードポリシー機能の無効化... 15 6.1.1 パスワード変更... 15 6.1.2 パスワード有効期限... 15-2 -

7. SAML が適用できない TeamFile クライアント系への対応... 16 7.1 管理系の制限を行う... 16 7.2 TeamFile クライアントの制限を行う... 16 7.2.1 TeamFile クライアントの User-Agent がアクセスすることを区別する設定を行う... 16 7.2.2 制限したいロケーションへの設定をする... 17-3 -

1. はじめに 1.1 用途 本資料は 新機能 SAML の設定方法について説明しています 1.2 対象者 サーバー管理者 TeamFile のユーザ向けではありません - 4 -

2. SAML 概要 2.1 SAML とは SAML とは Security Assertion Markup Language の略称で 異なるインターネットドメイン間でユーザ 認証を行う為の標準規格です 2.2 SAML の TeamFile の位置づけ SAML では 認証情報を提供する側を Identity Provider(Idp) 認証情報を利用する側を Service Provider(SP) と呼ばれています TeamFile では Service Provider(SP) のみの機能を提供しています IdP の機能は有しておりません 2.3 SAML 利用の機能必要条件 ( 重要 ) SAML は認証の仕組みに POST を利用する為 TeamFile の Basic 認証による仕組みが利用できませ ん TfUseSession ディレクティブは必ず On である必要があります SAML が利用できない設定をしているディレクティブ (Off では SAML 機能が有効化されません ) # Use browser session function TfUseSession off - 5 -

2.4 検証済みの Identity Provider(Idp) SAML に準拠しているのであれば どの IdP でも利用はできますが 現在動作が確認できている IdP は 次の通りです 2.4.1 Ping Identity https://www.pingidentity.com 2.4.2 Salesforce https://www.salesforce.com/ 2.4.3 G Suite https://gsuite.google.com/intl/ja/ - 6 -

3. SAML 設定 ( 重要 ) TeamFile の SAML 設定はすべてディレクティブによる設定になります SAML の機能が追加されることによる バックエンドデータベースの変更はありません 3.1 SAML の有効 無効を設定する SAML は TfUseSAML ディレクティブにより有効無効を切り替えることができます この項目を設定した場合は TeamFile サービスの再起動が必要となります 3.2 ディレクティブ 3.2.1 TfUseSAML SAML の有効無効を切り返るディレクティブです 値は on / off を指定できます このディレクティブの項目だけで SAML の有効無効を切り替えます その他の SAML 関係のディレクティブが存在していても off にすると無効化されます 3.2.2 TfSAMLIdPMetaDataPath TeamFile から参照する Idp サーバーのメタファイルを指定します メタファイルは 各 IDP から入手が行えます 値は対象のファイルまでフルパスで記載します 3.2.3 TfSAMLXMLPrivateKeyPath IdP へリクエストを行う場合 IdP サーバーからは署名 XML の送信を要求してくるかもしれません この署名要求は メタデーターファイル内の対象 EntityDescriptor の WantAuthnRequestsSigned 属性が true となっていることで分ります その場合は 本ディレクティブを利用して XML の署名を行います 値は対象ファイルまでフルパスで記載します 3.2.4 TfSAMLXMLPublicCertificatePath 3.2.3 ディレクティブは秘密鍵を指定しますが リクエストにはこのディレクティブの公開鍵を付与すること - 7 -

により Idp 側で署名の検証を行えます ( 行うか否かは IdP 次第 ) 値は対象ファイルまでフルパスで記載します 3.2.5 TfSAMLMatchedMailAddr SAML は通常 NameID が応答として返ってくることによりユーザ ID を取得することができますが その時利用されるユーザ ID はユニーク性が保証されているメールアドレスの場合が多いです 通常はこの NameID と TeamFile のユーザ ID のマッチングを行いますが TeamFile のユーザ ID はメールアドレスでない場合が多いため既に運用を開始している場合は 適用が即座に行えません 本ディレクティブではその比較を TeamFile のメールアドレスと行うことができるようになります TeamFile 上のメールアドレスはユニークではない為複数ヒットの場合は選択できるようになります 値は on / off を指定でき On にすることによりメールアドレスによる比較を行うようになります 3.3 設定ファイルの保存場所 SAML 関係のファイルは次のパスの配下に配置します /usr/local/teamfile/www/conf/conf.d/saml 3.4 IdP への設定項目 を利用する IdP へサービスプロバイダとして TeamFile を登録する為に次の情報が必要にな ります ここでは TeamFile の URL が次を想定しています https://demo.teamfile.com/teamfile 3.4.1 エンティティ ID https://demo.teamfile.com/teamfile URL の最後に, スラッシュ (/) を入れないでください 3.4.2 Assertion Consumer Service (ASC) https://demo.teamfile.com/teamfile/.saml/acs URL の最後に, スラッシュ (/) を入れないでください - 8 -

4. SAML 運用時の画面 SAML を有効にするとログインの初期値画面が変更となります 4.1 初期画面 ( 認証選択画面 ) SAML の認証と通常ログインの選択となります - 9 -

4.2 選択時 の画面を選択すると サーバー側の 3.2.2 のディレクティブのメタデータに記載されている URL を利用して対象 IdP の画面へ遷移します 次の例は Salesforce のログイン画面です - 10 -

4.3 ユーザ選択画面 IdP でのログインが成功した場合 アサーション情報が応答として返ります TeamFile はその情報を受け取り ログインを行いますが NameID と TeamFile のマッチングではなく 3.2.5 を利用した場合はメールアドレスの比較を行い その結果複数ユーザが該当した場合次の画面を表示してどのユーザでログインを行うか選択が行えます この画面は SAML 内で有効期限が設定されている場合があります 数分経過してクリックすると有効期限切れで認証選択画面へ移動します - 11 -

4.4 通常ログイン画面 4.1 の初期選択画面で通常ログインを選択し場合に表示される画面です ユーザ ID とパスワードを入力してログインを行うことができます - 12 -

4.4.1 従来のログイン画面への変更 新しいログイン画面ではなく 従来通りのログイン画面を利用したいケースは次のディレクティブを変更し て サービスを再起動してください 対象ファイル /usr/local/teamfile/www/conf/conf.d/new_xxxxx.conf new_xxxxx.conf の XXXXXX はロケーション名と同じです 追加するディレクティブ TfServerPolicy browserstyle=oldloginpage 既に TfServerPolicy が設定されていてもこの項目を複数行として追加できます - 13 -

5. セキュリティ 5.1 認証画面の有効期限 SAML の各種ログイン画面は ブックマークなどの貼り付けを行っても時間経過により初期画面 ( 認証選択 画面 ) へ遷移するように作られています - 14 -

6. 既存機能への影響 TeamFile サーバーの既存機能のいくつかは SAML を導入することにより影響を及ぼす機能があります 6.1 パスワードポリシー機能の無効化 SAML の認証を行った場合 ID 管理は IdP 側となる為に TeamFile 側でパスワードポリシーを有効にし ていても影響を受けなくなります 6.1.1 パスワード変更 変更できなくなります 6.1.2 パスワード有効期限無視されます つまり TeamFile 側のパスワード有効期限になっても SAML のログインをしている限りは SAML 側に準ずる動きを行います ただし ではなく通常認証を行った場合は パスワードポリシーの影響を受けるようになります - 15 -

7. SAML が適用できない TeamFile クライアント系への対応 SAML 機能は ブラウザの機能を利用して実現している機能の為 TeamFile クライアントからのアクセス は SAML 対象外となり通常の認証によるアクセスとなってしまいます TeamFile サーバーでは この対象外となってしまう動作を制限する方式を二種類用意しています 7.1 管理系の制限を行う TeamFile クライアント コマンドライン API による直接実行を制御するために次のディレクティブが有効で す このディレクティブは管理者アカウントのログインを制限することができます ただし グループリーダーは対象ではありません この制限が有効になるのは管理者アカウントのみです TfAdminAllowIP IP アドレス / マスク ( 複数列挙可能 空白で区切る ) /usr/local/teamfile/www/conf/conf.d/new_xxxxxx.conf に追加してサービスの再起動を行ってくだ さい # /etc/init.d/teamfile restart 7.2 TeamFile クライアントの制限を行う TeamFile クライアントそのものを制限し 完全に SAML での運用をします 7.2.1 TeamFile クライアントの User-Agent がアクセスすることを区別する設定を行う /usr/local/teamfile/www/conf/conf.d/mod_dav_tf.conf の最終行に内容を追加します BrowserMatch "TeamFile-Client/.*" tf-showgroup=off tf-enabletrash=on isteamfile このファイルは同じフォルダの mod_dav_tf.conf.default に isteamfile を除いた同じ行が存在していま す - 16 -

7.2.2 制限したいロケーションへの設定をする /usr/local/teamfile/www/conf/conf.d/new_xxxxxx.conf のファイルを編集します # Order Deny,Allow # Deny from # Order Allow,Deny # Allow from (1) 次の太字斜体部分を追加する <RequireAll> Require tf-user <RequireAny> <RequireAll> Require env isteamfile Require all denied </RequireAll> <RequireAll> Require all granted Require not env isteamfile </RequireAll> </RequireAny> </RequireAll> < 省略 > # auth AuthType teamfile AuthName "teamfile Login PassWord." #Require tf-user (2) コメントアウトする TfAuth on TfEncryptPassword off 2 箇所上記の通り編集します この設定は TeamFile クライアントが全く利用できなくなる設定です あるネットワークだけは利用したい場合は 次のディレクティブを編集します <RequireAll> Require env isteamfile Require all denied </RequireAll> 例 :172.16.0.0/16 だけはアクセス可能にしたい <RequireAll> Require env isteamfile Require ip 172.16.0.0/16 </RequireAll> - 17 -

例 :172.16.0.0/16 と 172.17.0.0/16 は可能にしたい <RequireAll> Require env isteamfile <RequireAny> Require ip 172.16.0.0/16 Require ip 172.17.0.0/16 </RequireAny> </RequireAll> 編集後に サービスの再起動を行います # /etc/init.d/teamfile restart - 18 -

本書の無断転載を禁じます TeamFile はコンピュータ ハイテック株式会社の登録商標です のロゴはコンピュータ ハイテック株式会社の商標です 本書に記載されているその他の名称及びマークは各社の登録商標または商標です コンピュータ ハイテック株式会社 (COMPUTER HI-TECH INC.) 110-0015 東京都台東区東上野 3-18-7 上野駅前ビル E-mail: teamfile@cht.co.jp Homepage: http://www.teamfile.com/ Twitter: @TeamFile - 19 -

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック