SAMLを使用したZoho DeskのADFS設定

SAMLを使用したZoho DeskのADFS設定

Zoho Deskは、SAML 2.0(Security Assertion Markup Language 2.0)に対応しています。これにより、Active Directoryなどの企業のID情報を基に、シングルサインオン(SSO)機能を使用することができます。SAML 2.0を通じたシングルサインオン機能を有効にすると、ユーザー認証の処理はZoho Deskの外部で行われます。

ADFSは、Microsoftが提供するWindows Serverサービス機能の1つです。既存のActive Directoryの認証情報を使用して、Webアプリケーションにログインすることができます。この記事では、Active Directoryフェデレーションサービス(ADFS)サーバーとZoho Desk間の連携によるシングルサインオン機能の設定方法ついて説明します。
関連情報:ヘルプセンター用のSAMLシングルサインオンの設定
Info 必要な権限
この機能を利用するには、 システム管理者の権限が必要です。
各プランの機能と制限を確認する
前提条件
組織のIT担当部署と共に、次の前提条件がすべて満たされていることを確認する必要があります。
  1. Zoho Deskアカウントにログインでき、ヘルプセンターのSAML設定画面を開ける
  2. Active Directoryのインスタンスが設定されており、Zoho Deskのアカウント内のすべてのユーザーが同じメールアドレスのアカウントを持っている
  3. SAML 2.0/W-FederationURLを所有している(ADFSエンドポイントで確認できます)
上記の前提条件を満たした後、利用中のサーバーにADFSをインストールする必要があります。ADFSの設定、インストール手順に関する詳細については、こちらからMicrosoft KB(ナレッジベース)の記事をご参照ください。

手順1 - 証明書利用者信頼(RPT)の追加
ADFSとZoho Desk間の接続は、証明書利用者信頼(RPT)を使用して定義されます。初めに、AD FSの管理から証明書利用者信頼フォルダーを選択します。次に、操作のサイドバーから新しい証明書利用者信頼(RPT)を追加します。
  1. ADFSがインストールされているサーバーにログインします。
  2. ADFS管理コンソールを起動します。
  3. 左側のツリービューから、[証明書利用者信頼]を選択します。
  4. 右クリックして、[証明書利用者信頼の追加...]をクリックします。
  5. AD FSの管理から証明書利用者信頼フォルダーを選択します。次に、右側の操作のサイドバーから新しい証明書利用者信頼を追加します。
  6. データソースの選択画面で、[証明書利用者についてのデータを手動で入力する]をクリックして、[次へ]をクリックします。
  7. 証明書利用者信頼の追加の各画面で、情報を入力します。
    1. 今後のため、認識しやすい表示名(例:Zoho Desk Help Center Login)を入力し、AD FSプロファイルを選択して、[次へ]をクリックします。
    2. [次へ]をクリックして、[証明書の構成]をスキップします。
    3. URLの構成画面で、[SAML 2.0 WebSSOプロトコルのサポートを有効にする]のチェックボックスにチェックを入れます。Zoho DeskのヘルプセンターSAML画面からSAMLレスポンスURLをコピーして、サービスURLとして貼り付けます。
      メモ:URLの末尾にスラッシュはありません。
    4. 識別子の構成画面で、証明書利用者信頼の識別子を入力します。「zoho.com」と入力し、[追加]をクリックします。現在データがEUデータセンターに保存されている場合は、「zoho.eu」と入力します。INデータセンターの場合は「zoho.in」と入力し、AUデータセンターの場合は「zoho.au」と入力します。[次へ]をクリックします。
    5. [多要素認証の構成]を設定しない場合は、[次へ]をクリックしてスキップします。
    6. [次へ]をクリックして、発行承認規則の選択画面をスキップします
    7. 信頼の追加の準備完了画面で設定を確認して、[次へ]をクリックします。
    8. 最後の画面で[閉じる]ボタンをクリックして、終了します。要求規則の編集画面が表示されます。

手順2 - 要求規則の作成
証明書利用者信頼の作成後、要求規則を作成し、上記で設定していない証明書利用者信頼の内容を更新できます。
  1. 初期設定では、要求規則の編集画面が表示されます。
    [規則の追加]をクリックして、新しい規則を作成します。
  2. 要求規則テンプレートの一覧から、[LDAP属性を要求として送信]のテンプレートを選択し、[次へ]をクリックします。
  3. 次の画面で、属性ストアにActive Directoryを選択して、次の手順で規則を作成します:
    1. わかりやすい規則名を入力します。
    2. 属性ストアに[Active Directory]を選択します。
    3. 以下の関連付けを行います:
    4. LDAP属性の列で、メールアドレスを選択します。
    5. 出力方向の要求の種類から、メールアドレスを選択します。
    6. [OK]をクリックして、新しいルールを保存します。
  4. [規則の追加]をクリックして、別の新しいルールを作成します。ここではテンプレートに[入力方向の要求を変換]を選択して、[次へ]をクリックします。
  5. 次の画面で、以下の手順を実施します:
    1. わかりやすい規則名を入力します。
    2. [入力方向の要求の種類]メールアドレスを選択します
    3. [出力方向の要求の種類]名前IDを選択します。
    4. [出力方向の名前IDの形式]メールを選択します。
    5. 規則を初期設定の[すべての要求値をパススルーする]のままにします。
    6. [OK]をクリックして要求規則を作成し、再度[OK]をクリックして規則の作成を終了します。

手順3 - 信頼設定の調整
証明書利用者信頼(RPT)の一部の設定を調整する必要があります。この設定にアクセスするには、証明書利用者信頼(RPT)の選択時に右側に表示される操作のサイドバーから、[プロパティ]を選択します。
  1. AD FSの管理画面に移動します。
  2. 証明書利用者信頼の一覧から、作成した証明書利用者オブジェクトをダブルクリックします
    (または、証明書利用者信頼の選択時に、    [操作] > [プロパティ]の順に選択します)。
  3. [詳細設定]タブをクリックします。
  4. セキュアハッシュアルゴリズムにSHA-256を指定してください。
  5. [エンドポイント]タブで[SAMLの追加]をクリックして、新しいエンドポイントを追加します。
  6. エンドポイントの種類に[SAMLログアウト]を選択します。
  7. バインド[POST]を選択します。
  8. 信頼されたURLで、以下を使用してURLを作成します:
    1. ADFSサーバーのWebアドレス
    2. 上記で作成したADFSのSAMLのエンドポイント
    3. 文字列「wa=wsignout1.0
    4. 信頼されたURLは、次のようになります:https://sso.yourdomain.tld/adfs/ls/?wa=wsignout1.0
  9. [応答URL]を空のままにします。
  10. [OK]を2回クリックします。以上で、Zoho Deskの証明書利用者信頼が機能するようになります。

手順4 -  AD FSサーバーから証明書のエクスポート
次に、トークン署名証明書をbase64エンコード化してエクスポートする必要があります。この証明書は、Zoho DeskでSAML認証を設定する際に使用されます。
  1. AD FS 2.0 MMCを開いて、[サービス] > [証明書]の順に移動します。
    こちらから、Zoho DeskからのSAML接続の認証に使用されるAD FSサーバーのトークン署名証明書を確認できます。
  2. トークン署名画面で、証明書を右クリックして[証明書の表示]を選択します。
  3. [詳細]タブをクリックして、[ファイルへコピー]をクリックします。
    証明書のエクスポート画面が開きます。
  4. [次へ]をクリックします。
  5. エクスポートファイルの形式画面で[Base-64 encoded X.509 (.CER)]オプションを選択して、[次へ]をクリックします。
  6. エクスポートするファイル名を指定して、[次へ]をクリックします。(例:TokenSigningCert.cer)
    新しいファイル名を入力しても、設定に影響はありません。
  7. [完了]をクリックして、ファイルをエクスポートします。
    「正しくエクスポートされました」というメッセージが表示されます。
  8. [OK]をクリックして、メッセージを閉じます。
  9. MMCを閉じます。

Notes
メモ:
  1. トークン署名証明書は.cer形式でダウンロードされます。Zoho Deskではこの形式の証明書に対応していないため、.txt形式のファイルで保存してください。

手順5 -  Zoho Deskの設定
ADFSの設定後、SAML 2.0を使用して認証するようにZoho Deskを設定する必要があります。
  1. 上部のバーの設定アイコンクリックし、[経路]の欄にある[ヘルプセンター]をクリックします。
  2. SAMLを使用してユーザーを認証するヘルプセンターを選択します。
  3. [ヘルプセンター]のサブメニューにある[ユーザー認証]をクリックします。
  4. [SAML]画面で、以下の詳細を入力します:
    • リモートログインのURL:リモートログインのURLに「https://sso.yourdomain.tld/adfs/ls」と入力します。
    • リモートログアウトのURL:リモートログアウトのURLに「https://sso.yourdomain.tld/adfs/ls/?wa=wsignout1.0」と入力します。
    • パスワードリセットのURL:パスワードリセットのURLに「https://sso.yourdomain.tld/adfs/ls」と入力します。
    • 公開鍵:証明書(base-64 encoded X.509)をテキスト形式でアップロードします。詳細については、手順4をご参照ください。 
    • アルゴリズム:メニューからRSAを選択します。
  5. [保存する]をクリックします。
以上で、ADFSシングルサインオン機能がZoho Deskで利用できるようになります。