メインコンテンツへスキップ
MicrosoftのActive Directory Federation Services(ADFS)へのカスタム接続を作成して、マッピングを構成する際の柔軟性を高めます。カスタム接続を作成するには、次の操作を行う必要があります。
  1. ADFSを構成します。
  2. Auth0がサービスプロバイダーとして機能するSAML接続を作成します。
  3. ADFSで証明者利用者信頼を編集します。
  4. 統合を有効にしてテストします。

ADFSを構成する

証明者利用者信頼を追加する

証明者利用者信頼を追加する方法については、https://docs.microsoft.comの「証明者利用者信頼を作成する」をお読みください。

フェデレーションメタデータを使用して作成する

フェデレーションメタデータを使用して要求対応の証明者利用者信頼を作成する(MSDN)」の手順に従ってください。ステップ4の フェデレーションメタデータアドレス に入力するURLは、次のいずれかの形式にする必要があります。 米国:https://{yourTenantName}.auth0.com/samlp/metadata?connection={connectionName} EU:https://{yourTenantName}.eu.auth0.com/samlp/metadata?connection={connectionName} AU:https://{yourTenantName}.au.auth0.com/samlp/metadata?connection={connectionName} JP:https://{yourTenantName}.jp.auth0.com/samlp/metadata?connection=CONNECTION_NAME カスタムドメイン:https://{yourTenantName}/samlp/metadata?connection={connectionName} 証明者利用者信頼の作成が完了したら、次のセクションに進みます

手動で作成する

  1. ADFSのインスタンスを起動し、 [Add Relying Party Trust(証明者利用者信頼の追加)] ウィザードを開始します。
  2. [ようこそ] ページで、 [Claims aware(要求に対応する)] を選択し、 [開始] をクリックします。
  3. [Select Data Source(データソースの選択)] ページで [Enter data about relying party manually(証明書利用者についてのデータを手動で入力する)] を選択し、 [Next(次へ)] をクリックします。
  4. [Specify Display Name(表示名の指定)] ページで、証明書利用者のわかりやすい名前(通常の形式はurn:auth0:{yourTenant}:{yourConnectionName})を入力し、 [Notes(メモ)] に簡単な説明を入力します。{yourConnectionName}は一意の名前に置き換えます。これは後の手順でAuth0で接続を作成するときにも使用します。この時点で接続名が決まっていない場合は、後からいつでも編集できます。 [次へ] をクリックします。
  5. [Configure Certificate(証明書の構成)] ページで [Next(次へ)] をクリックします(証明書の構成については後ほど説明します)。
  6. [Configure URL(URLの構成)] ページで、 [Enable support for the SAML 2.0 WebSSO protocol(SAML 2.0 WebSSOプロトコルのサポートを有効にする)] チェックボックスを選択します。次に、ウィザードが [Relying party SAML 2.0 SSO service URL(証明書利用者SAML 2.0 SSOサービスURL)] を求めます。とりあえず、プレースホルダーURLを指定します。この手順は後でまた説明します。 [次へ] をクリックします。
  7. [Configure Identifiers(識別子の構成)] ページで [Relying party trust identifier(証明者利用者信頼の識別子)]urn:auth0:{yourTenant}:{yourConnectionName}(またはウィザードの開始時に表示名として使用した値)であることを示します。 [次へ] をクリックします。
  8. [Choose Access Control Policy(アクセス制御ポリシーの選択)] ページで [Permit everyone(すべてのユーザーを許可する)] を選択し、 [Next(次へ)] をクリックします。
  9. [Ready to Add Trust(信頼の追加準備完了)] ページで入力した設定内容を確認し、 [Next(次へ)] をクリックして情報を保存します。成功した場合は、 [Finish(完了)] ページにその旨を示すメッセージが表示されます。
  10. [Configure claims issuance policy for this application(このアプリケーションの要求発行ポリシーを構成する)] チェックボックスが選択されていることを確認し、 [Close(閉じる)] をクリックします。

要求発行ポリシーを編集する

[Add Trust(証明者利用者信頼の追加)] ウィザードを閉じると、 [Edit Claim Issuance Policy(要求発行ポリシーの編集)] ウィンドウが表示されます。
  1. [Add Rule…(規則の追加)] をクリックしてウィザードを起動します。
  2. [Claim rule template(要求規則テンプレート)][Send LDAP Attributes as Claims(LDAP属性を要求として送信)] を選択し、 [Next(次へ)] をクリックします。
  3. [Claim rule name(要求規則名)] に「LDAP Attributes(LDAP属性)」などの値を入力します(任意の値を指定できます)。
  4. [Attribute Store(属性ストア)] として [Active Directory] を選択します。
  5. LDAP属性を次の出力方向の要求の種類にマッピングします。
    LDAP属性送信クレーム
    E-Mail-Addresses(メールアドレス)メールアドレス
    Display-Name(表示名)Name
    User-Principal-Name(ユーザープリンシパル名)名前ID
    Given-Name(名)
    Surname(姓)
    正しいセッション処理を確実に行うには、出力方向の要求のName IDが常に存在している必要があります。最もよく使用される要求であるため、上記の要求すべて(特にE-Mail Address)を追加することを強くお勧めします。必要に応じて、他の要求マッピングを追加できます。
  6. [Finish(終了)]をクリックします。
  7. [Edit Claim Issuance Policy(要求発行ポリシーの編集)] ウィンドウで [Apply(適用)] をクリックします。これで、このウィンドウを終了できます。

署名証明書をエクスポートする

最後に、ADFSコンソールから署名証明書をエクスポートして、Auth0にアップロードする必要があります。
  1. 左側のナビゲーションペインを使用して、 [ADFS]>[Service(サービス)]>[Certificates(証明書)] に移動します。 [Token-signing(トークン署名)] 証明書を選択し、右クリックして [証明書の表示] を選択します。
  2. [詳細] タブで、 [ファイルにコピー…] をクリックします。これで [証明書のエクスポートウィザード] が起動します。 [次へ] をクリックします。
  3. 使用する形式として、 [Base-64 encoded X.509 (.CER)] を選択します。 [次へ] をクリックします。
  4. 証明書をエクスポートする場所を指定します。 [次へ] をクリックします。
  5. 証明書の設定が正しいことを確認し、 [完了] をクリックします。

Auth0をサービスプロバイダーとしてSAML接続を作成する

  1. Auth0がサービスプロバイダーとして機能するSAML接続を作成するチュートリアルに従います。プロンプトが表示されたら、ADFSからエクスポートした署名証明書をアップロードします。 サインインURLとサインアウトURLは通常、https://your.adfs.server/adfs/lsの形式です。
  2. [Save(保存)] をクリックします。ADFSで新しい証明者利用者信頼を作成する手順が記載されたページが表示され、Auth0アカウント/接続に必要な正確な値が表示されます。これらの値をメモしてください。以下に例を示します。
    パラメーター値の例
    Post-back URL(ポストバックURL)カスタムドメインが設定されている場合、https://<YOUR CUSTOM DOMAIN>/login/callback?connection=YOUR_CONNECTION_NAME
    カスタムドメインを使用しない場合、https://{yourDomain}/login/callback?connection=YOUR_CONNECTION_NAME
    Entity ID(エンティティID)urn:auth0:{yourTenant}:YOUR_CONNECTION_NAME

証明者利用者信頼を編集する

  1. ADFSコンソールで、左側のナビゲーションペインを使用して [ADFS]>[証明者利用者信頼] に移動します。先ほど作成した証明書利用者信頼を選択し、 [Property(プロパティ)] (右側のナビゲーションペイン)をクリックします。
  2. [Identifiers(識別子)] タブを選択し、前の画面の [Entity ID(エンティティID) 値を [Relying Party Identifier(証明者利用者の識別子)] に入力します。 [Add(追加)] をクリックして識別子をリストに追加します。
  3. [Endpoints(エンドポイント)] タブを選択し、前に指定したプレースホルダーURLを選択します。 [Edit…(編集)] をクリックします。
  4. [Trusted URL(信頼済みURL)][Post-back URL(ポストバック値)] を入力します。
  5. 最後に、 [Aapply(適用)] をクリックして[Properties(プロパティ)]ウィンドウを終了します。

署名要求を有効にする(任意)

任意で、ADFSサーバーへのSAML要求に署名できます。
  1. Auth0 Dashboardで、SAML-P IDプロバイダーの [Settings(設定)] ページに移動します。
  2. [Sign Requests(署名要求)] を有効にします。
  3. [Sign Requests(署名要求)] トグルのすぐ下に、証明書をダウンロードするためのリンクがあります。
  4. ADFSに戻り、証明者利用者プロパティダイアログの [Signatures(署名)] タブを使用して、ダウンロードした証明書を読み込みます。

統合を有効にしてテストする

統合をテストする前に、以下の手順を完了していることを確認してください。
  • 新しい接続をテストするために使用できるユーザーを1人、IDプロバイダーに作成します。
  • 少なくとも1つのアプリケーションに対して接続を有効にします。
  1. [Authentication(認証)]>[Enterprise(エンタープライズ)]>[SAML]に移動します。
  2. テストする接続を選択し、省略記号(…)をクリックしてから [Try(試す)] をクリックします。Microsoftのサインイン画面が表示されます。サインインして [Next(次へ)] をクリックします。

もっと詳しく

I