SAML 認証のための ADFS - IBM Connections Cloud 設定手順書 日本アイ ビー エム株式会社 古谷直之 ( 第二 ESS SW サービス ) 吉原洋樹 ( 第二 ESS SW サービス ) 日本アイ ビー エムシステムズ エンジニアリング株式会社 猶木光彦 ( オープン ミドルウェア ) 1
目次 1. はじめに... 3 1.1. 当ドキュメントについて... 3 1.2. 環境設計... 3 1.2.1. フロー モデルの設計... 3 1.2.2. ログイン タイプの決定... 4 1.2.3. その他情報の決定... 5 1.3. IBM Connections Cloud との SAML 連携手順... 5 1.4. IBM Connections Cloud 利用における制約事項... 6 1.5. モバイル アプリケーションを設定する場合... 6 1.6. SAML 連携設定の際に接続エラーが生じた場合... 6 2. ADFS の構成 1... 7 2.1. トークン署名証明書のエクスポート... 7 2.2. フェデレーション メタデータのエクスポート... 10 3. IBM Connections Cloud の構成... 11 3.1. 設計情報とデータの送付... 11 4. ADFS の構成 2 クラウド環境のフェデレーション メタデータのインポート... 12 5. 環境接続の確認... 20 5.1. 設定の確認... 20 5.2. 本番環境への接続... 21 参考 1: ログイン タイプ毎のログイン画面遷移... 22 参考 2: ログイン タイプの一括指定... 23 参考 3:ADFS のインストール... 23 参考 4:AD/ADFS 統合設定... 27 2
1. はじめに 1.1. 当ドキュメントについて当ドキュメントは IBM Connections Cloud( 旧名 SmarterCloud for SocialBusiness) と Active Directory Federation Server( 以下 ADFS) の SAML 連携設定における ADFS 側の設定手順および IBM Connections Cloud 側の設定手順について記載します また Active Directory( 以下 AD) および ADFS の導入については参考情報を記載しますが 当ドキュメントの対象ではありませんのでその動作を保証するものではありません 本手順は 2015 年 12 月時点のものであり 以降は適宜 IBM Knowledge Center フェデレーテッド ID 管理のセットアップ (https://ibm.biz/bdh2tn) を参照しながら進めて下さい 当ドキュメントに記載の IBM サポートは cloudcsg@us.ibm.com になります 1.2. 環境設計 SAML 連携設定をするにあたり 事前に環境の設計と準備をします 1.2.1. フロー モデルの設計フェデレーテッド ID の構成する際にサポートされているフロー モデル 認証タイプを決定する必要があります IBM Connections Cloud では 2 つのフロー モデルがサポートされています どちらかのフロー モデルを使用するか決定してくださいサポートされているフロー モデル概要 SP 開始ハイブリッド フロー モデル ユーザーは IBM Connections Cloud へアクセスし その後組織の認証に移ります モバイル アプリケーションも使用可能です IdP 開始フロー モデル ユーザーは組織の認証を使い SSO を行うので IBM Connections Cloud へのログインを省くことが可能です 3
SP 開始ハイブリッド フロー モデル 本手順では SP 開始ハイブリッド フロー モデルを選択します 1.2.2. ログイン タイプの決定ユーザーが組織の認証 / IBM Connections Cloud の認証のどちらを使用するか そしてそれらを管理者 / ユーザーのどちらが制御するかを指定します ログイン タイプは以下の 4 つを選択できます どのログイン タイプを使用するか決定してください ログイン タイプ概要標準 ( 非フェデレーテッド ) ユーザーは通常の IBM Connections Cloud の認証を使用します デフォルト 管理者はユーザー毎にログイン タイプを変更することは出来ません フェデレーテッド ユーザーは組織の認証を使用します 管理者はユーザー毎にログイン タイプを変更することは出来ません UserChoice ユーザーは IBM Connections Cloud と組織の認証 どちらを使用するか IBM Connections Cloud のログイン画面から ユーザー自身が選択出来ます 管理者はユーザー毎にログイン タイプを変更することは出来ません AdminChoice 管理者は 標準 フェデレーテッド UserChoice のいずれかのログイン方法をユーザー毎に管理者メニューから設定できます 管理者はいつでもログイン タイプを変更することが出来ます 本手順では AdminChoice を選択します 4
1.2.3. その他情報の決定 1.2.1 1.2.2 に加え以下の情報を決定します 使用する SAML のバージョン (SAML1.1 / SAML2.0) Web サーバーに実装する SAML の種類 (Tivoli Federated Identity Manager / OpenSAML / Active Directory Federation / その他のフェデレーテッド ID マネージャー ) モバイル アプリを設定するか 組織名 管理者 ID カスタマー ID 適用する SP の情報として必要になります ( オプション ) 2, 3 個のメールアドレス IBM サポートからの要求によって 接続テストに必要になる場合があります 1.2.4 必要となるデータ以下のデータを用意します トークン署名証明書 SSL を使用して通信する為に必要になります 使用しているサーバー証明書を用意してください ( 自己証明書でも設定上は問題ありません ) フェデレーション メタデータ (ADFS) IBM Connections Cloud 側の SAML 設定を行うために必要になります ADFS からエクスポートしてください 1.3. IBM Connections Cloud との SAML 連携手順 IBM サポートとのフェデレーション メタデータのやり取りが必要です 主な以下の 3 つの作業を実施します 1. 自社の AD/ADFS(IdP 環境 ) 準備 2. IBM サポートへのフェデレーション有効化の依頼 必要情報とデータを送付します 3. IBM Connections Cloud(SP 環境 ) への SAML 連携を確認 IBM サポートから IBM Connections Cloud 環境のフェデレーション メタデータを受け取る フェデレーション メタデータを ADFS へインポート SAML 連携を確認 必要に応じて IBM サポートから SP のテスト環境の接続を求められる場合があります 5
1.4. IBM Connections Cloud 利用における制約事項 IBM Connections Cloud ではログイン ID となるメールアドレスがユニークであることが必須です よって1ユーザー毎にユニークなメールアドレスを用意してください もし AD 内で複数のユーザーが単一のメールアドレスを共有している場合 IBM Connections Cloud へユーザー登録を行った際に最初に登録したユーザー以外は 残りのユーザーは重複チェックでエラーとなります 1 メールアドレスあたり 1 アカウント1ユーザーの割り当てとなるからです 自社 AD で複数のユーザーが共通のメールアドレスを使用しておりユーザー別に使用させる必要がある場合は IBM Connections Cloud でユーザー毎に固有のメールアドレスを設定してください また 使用するメールアドレスは必ず有効なものを使用してください パスワードのリセットや その他通知メールが受信できなくなります 1.5. モバイル アプリケーションを設定する場合本手順書ではモバイル アプリケーションは対象ではありませんが参考情報を記載します 1. 環境のセットアップ以下の手順を参照してください SAML フェデレーテッド ID の概念 ( https://ibm.biz/bdxpdh ) 2. 使用するモバイル アプリケーションのセットアップ IBM Verse 以外の 9.0.1.3 以下の IBM Notes Traveler もしくはその他 IBM Connections Cloud モバイル アプリケーションをご利用の場合にはアプリケーション パスワードが必要です 以下を参照してモバイル アプリケーションをセットアップしてください アプリケーション パスワードの有効化 ( https://ibm.biz/bdhp2b ) アプリケーション パスワードの生成 (https://ibm.biz/bdhp28 ) SP 開始のフロー モデルに対応した SAML2.0 で利用した場合は 構成後でもモバイル アプリケーションを利用できます SAML1.1 の利用の場合には モバイル アプリケーションを利用できません 1.6. SAML 連携設定の際に接続エラーが生じた場合以下を参照し 情報を IBM サポートへご連絡ください IBM SmarterCloud の接続問題を調査する Fiddler の利用手順 ( https://ibm.biz/bdhnij ) 6
2. ADFS の構成 1 ADFS サーバーからフェデレーション メタデータのエクスポートを行います AD/ADFS の統合設定が済んでいることが前提です 2.1. トークン署名証明書のエクスポート ADFS サーバーからトークン署名証明書をエクスポートします 本手順書では自己証明書を使用します 1. [ インターネットオプション ] > [ コンテンツ ] タブ > [ 証明書 ] で証明書ウィンドウが表示されるので その中からエクスポートするトークン署名証明書を選択し [ エクスポート ] をクリックします 2. 証明書のエクスポートウィザードで 次へ をクリックします 7
3. ファイルのエクスポート形式として DER encoded binary X.509(.CER) を選択して 次へ をクリッ クします 4. エクスポートするディレクトリ / ファイル名を入力し 次へ をクリックします 8
5. 完了 ボタンをクリックし エクスポートが正常に完了したことを確認します 9
2.2. フェデレーション メタデータのエクスポート 1. ADFS 管理コンソールを表示します フェデレーション メタデータ のエンドポイントを選択し メタ データを確認します 2. Web ブラウザーでエンドポイントを開きます ( 自己証明書を使用している場合はエラーが出ますが その場合は このサイトの閲覧を続行する ( 推奨されません ) をクリックして先へ進みます ) ( 例 ) https://adqit.ibmverse.jp/federationmetadata/2007-06/federationmetadata.xml 3. 名前を付けて XML ファイルとして保存します 10
3. IBM Connections Cloud の構成自社の AD/ADFS(IdP 環境 ) の準備が出来次第 SAML の有効化の為に IBM サポートへの依頼を行います 3.1. 設計情報とデータの送付 1. 環境の準備の確認とデータを準備します 事前確認項目チェックディレクトリー サーバーを SAML サービスに統合しているか済 IBM お客様サービス担当員に ID プロバイダー メタデータを送信す済るための SAML メタデータ ファイルを作成したか 可能であれば SP のテスト環境となるアプリケーションサーバーを構築し SAML 連携が有効なことも確認してください 上記が確認できたら 以下のデータを用意してください ADFS のフェデレーション メタデータ (xml) ADFS のトークン署名証明書 2. 設計を決定します設計情報の種類記入例 ( 本手順の場合 ) 使用する SAML のバージョン SAML2.0 (SAML1.1 / SAML2.0) 使用するフェデレーションのタイプ AdminChoice ( フェデレーテッド / UserChoice / AdminChoice) 使用するフロー モデル SP 開始ハイブリッド フロー モ (IdP 開始フロー モデル / SP 開始ハイブリッド フロー モデル ) デル Web サーバーに実装した SAML Active Directory Federation (Tivoli Federated Identity Manager / OpenSAML / Active Directory Federation / その他のフェデレーテッド ID マネージャー ) モバイル アプリを設定するかモバイル アプリケーションを設 モバイル アプリケーションは SP 開始フロー モデルでのみ機能 定しない組織名 管理者 ID カスタマー ID 組織名 :IVJ (IBM Connections Cloud 管理者メニューから登録情報を確認 ) 管理 ID: ibmversejapan@ibmverse.jp カスタマー ID:******* ( オプション ) メール受信が可能な 2,3 のメールアドレス a******@ibmverse.jp 接続確認の為にテスト SP 環境の接続を IBM サポートから求められる b******@ibmverse.jp 場合があります IBM サポートから指示を受けた際に用意しても問題ありません 3. 以上のデータと情報を全て IBM サポートへ SR から送付します 問題がなければ数日中に IBM サポートより IBM Connections Cloud 環境への接続確認依頼が届きます 11
4. ADFS の構成 2 クラウド環境のフェデレーション メタデータのインポート接続確認依頼時に IBM Connections Cloud 環境のフェデレーション メタデータ (xml) がリンクとして添付された形で送付されますので保存し インポートを行います 1. ADFS 管理コンソールを表示します 証明書利用者信頼の追加 をクリックします 2. ようこそ 証明書利用者信頼の追加ウィザード が起動するので 開始 をクリックします 12
3. データソースの選択 証明書利用者についてのデータをファイルからインポートする を選択し 保存した IBM Connections Cloud 環境のフェデレーション メタデータ (.xml) を入力し 次へ をクリックします 4. 表示名の指定 IBM Connections Cloud ( 任意の値 ) と入力し 次へ をクリックします 13
5. 今すぐ多要素認証を構成しますか? 現時点ではこの証明書利用者信頼に多要素認証を構成しない を選択し 次へ をクリックします 6. 発行承認規則の選択 すべてのユーザーに対してこの証明書利用者へのアクセスを許可する を選択し 次へ をクリック します 14
7. 信頼の追加の準備完了 各タブの表示内容を確認します 署名 タブをクリックします 署名 タブに IBM Connections Cloud サーバーの証明書情報が登録されていることを確認します 次へ をクリックします 15
8. 完了 ウィザードの終了時にこの証明書利用者信頼の [ 要求規則の編集 ] ダイアログを開く にチェックを入れ て 閉じる をクリックします 9. 開いた 要求規則の編集 ダイアログで 規則の追加 をクリックします 16
10. 規則の種類の選択 要求規則テンプレート に LDAP 属性を要求として送信 を選択して 次へ をクリックします 17
11. 要求規則の構成以下のように登録して 完了 をクリックします 要求規則名 : EmailAddresstoNameID ( 任意の値 ) 属性ストア : Active Directory LDAP 属性 : E-Mail-Address ( 自社環境のユニークなメールアドレスが格納されたフィールドを選択 ) 出力方向の要求の種類 : 名前 ID 18
12. 登録した規則が追加されていることを確認して OK をクリックします 13. ADFS 管理コンソールを表示します 信頼関係 - 証明書利用者信頼 をクリックして登録した証明書 利用者信頼が追加されていることを確認します 19
5. 環境接続の確認本番環境の接続を確認します 5.1. 設定の確認 1. IBM Connections Cloud の管理者メニューにアクセスし [ システム設定 ] > [ セキュリティ ] を表示します ログイン タイプ と ログイン/ ログアウト URL が変更されていることを確認します ログイン タイプ : ユーザーが IBM Connections Cloud のログイン ページを使用するか 組織のログイン ページを使用するか どちらのページでもよいことにするかを ユーザーごとにいつでも指定できます (AdminChoice の場合 ) Web ブラウザーのログイン URL: 組織の認証ページの URL が表示されます 2. ログイン タイプの選択 ( AdminChoice のみ ) AdminChoice を選択した場合に限り 管理者はユーザー毎にログイン タイプを指定することが出来ます アイコン > ログイン情報の編集テスト環境への接続 1. 4. ADFS の構成 2では 環境の接続の為の構成を行いました apps.ap.collabserv.com に ( 北米データセンターを使用している場合は ap を na に置き換える ) 接続し ログイン ID を入力します 2. メールを開くと 招待メールが届いているのでリンクをクリックします 3. apps.collabservnext.com( テスト環境 ) の登録を行います 4. ログアウトし 再び apps.collabservnext.com にログインします ADFS との SAML 連携を確認するため テスト用のユーザーを選択し [ 組織のログイン ページを使用 ] を設定します 20
5.2. 本番環境への接続 1. apps.ap.collabserv.com( 北米データセンターを使用している場合は ap を na に置き換える ) に接続し テ スト用のユーザーのログイン ID を入力します 2. 組織の認証画面にリダイレクトされます 3. ログインできたことを確認します 21 以上
参考 1: ログイン タイプ毎のログイン画面遷移管理者メニューでログイン タイプを変更した際のユーザーのログイン画面が以下のように変化します ログイン タイプ概要いずれかのログイン ページを使用ユーザーはログイン画面で IBM Connections Cloud のログインを使うか 組織 (ADFS) のログインを使うか自身で選択できます ( UserChoice と同様 ) 組織のログインを使用組織 (ADFS) のログインを使います ( フェデレーテッドと同様 ) IBM Connections Cloud IBM Connections Cloud のログインを使います ログイン ページを使用ログイン タイプ画面遷移図 22
参考 2: ログイン タイプの一括指定 統合サーバー (LLIS) を使用することで CSV によって一括設定を行います AdminChoice を選択した場合にのみ 可能です ( ユーザー プロビジョニング変更ファイルの作成 https://ibm.biz/bdee4w ) 例えば ログイン タイプで " いずれかのログイン ページを使用 " を指定する場合には 統合サーバー (LLIS) のユーザー プロビジョニング変更ファイルで FederationType の項目に "MODIFIED_FEDERATED" を指定してください 参考 3:ADFS のインストール 1. [ サーバー マネージャー ] [ ダッシュボード ] を開き [ 役割と機能の追加 ] をクリックします 2. 開始する前に [ 次へ ] をクリックします 23
3. インストールの種類 [ 役割ベースまたは機能ベースのインストール ] を選択し [ 次へ ] をクリックします 4. サーバーの選択 [ サーバープールからサーバーを選択 ] から ADFS に設定するサーバーを選択し [ 次へ ] をクリックします 24
5. サーバーの役割 [Active Directory Federation Services] を選択し [ 次へ ] をクリックします 6. 機能 デフォルトのままで [ 次へ ] をクリックします 25
7. 確認 Active Directory Federation Services が選択されていることを確認して [ インストール ] をクリックしま す 8. 結果 インストールが正常に行われたことを確認し [ このサーバーにフェデレーションサービスを構成します ] をクリックし AD と ADFS の連携に移ります 26
参考 4:AD/ADFS 統合設定 1. ようこそ AD と ADFS の統合設定を行っていない場合は [ フェデレーションサーバーファームに最初のフェデレーションサーバーを追加します ] を選択し [ 次へ ] をクリックします 2. AD DS への接続 Active Directory ドメイン管理者のアクセス許可を持っているアカウントを選択します 27
3. サービスのプロパティの指定 SSL 証明書とサービス名を選択します サービスの表示名は任意で構いません 4. サービスアカウントの指定 グループ管理アカウントを新規作成する場合は任意のアカウント名を入力します 28
5. データベースの指定 既存のデータベースを持っていない場合は [Windows Internal Database を使用してサーバーにデータベース を作成します ] を選択します 6. オプションの確認 選択内容を確認して 問題がなければ [ 次へ ] をクリックします 29
7. 前提条件の確認 前提条件を確認し 問題がなければ [ 構成 ] をクリックします 8. 結果 構成の結果を確認し [ 閉じる ] をクリックします 30
ADFS の仮のログイン ページが正常に動作するか確認します 1. ADFS ログイン ページにアクセスします ホスト名 アカウント名はご自身の環境のものに置き換えてください 例 :https://adqit.ibmverse.jp/adfs/ls/idpinitiatedsignon.htm 2. サインインできることを確認します 以上 31