ADFS(Active Directory フェデレーション サービス)を利用したカスタム認証

ADFS(Active Directory フェデレーション サービス)を利用したカスタム認証

ADFSを利用したカスタム認証を設定すると、ADFSのSAML認証のシングルサインオン機能を使用してZoho Oneにサインインすることができます。シングルサインオン機能により、管理者や従業員はADFSにサインインするだけでZoho Oneにアクセスできるようになります。Zoho Oneにサインインする必要はありません。

ADFSを利用したカスタム認証を設定するには:

A. ADFSからサインインURL、サインアウトURL、証明書を取得します:
  1. ADFS 3.0サーバーにサインインして、[管理コンソール]を開きます。
  2. 左側のメニューから[サービス]を右クリックし、[フェデレーション サービスのプロパティの編集]を選択します。  
  3. [全般]で、DNSサーバーの情報と証明書名が正しく入力されていることを確認します。
  4. [フェデレーション サービス名]をコピーして、次のURLの「{federationservicename}」の部分に張り付けて、ブラウザーからURLにアクセスします:https://{federationservicename}.com/federationMetaData/2007-06/FederationMetaData.xml
  5. サインインURLとサインアウトURLは、移動先のXMLファイルの[SingleSignOnService][SingleLogoutService]タグにそれぞれ記載されています。
  6. トークン署名証明書をエクスポートします:
    1. 左側のメニューから[証明書]を右クリックして、[証明書の表示]をクリックします。
    2. [詳細]タブをクリックします。
    3. [ファイルにコピー]をクリックして、[次へ]ボタンをクリックします。
    4. [いいえ、秘密キーをエクスポートしません]が選択されていることを確認し、[次へ]をクリックします。
    5. [Base 64 encoded X.509(.cer)]を選択し、[次へ]をクリックします。
    6. ファイルの保存場所を選択して、名前を付けます。
    7. [次へ]をクリックします。
    8. [完了]を選択します。 
  7. これらのデータをZoho OneのSAMLの設定画面で入力します。

B. 証明書利用者信頼を追加します:
  1. 左側のメニューの[信頼関係]に移動します。[証明書利用者信頼]を右クリックし、[証明書利用者信頼の追加]を選択します。
  2. [データソースの選択]画面で、[証明書利用者についてのデータを手動で入力する]を選択します。
  3. [表示名の指定]画面で、[表示名]の欄に「zoho.com」と入力します。
  4. プロファイルの選択]画面で、[AD FS プロファイル]を選択します。
  5. [次へ]をクリックします。
  6. [URLの構成]画面で、[SAML 2.0 WebSSO プロトコルのサポートを有効にする]のチェックボックスにチェックを入れます。
  7. [証明書利用者SAML 2.0 WebSSO サービスの URL]の欄に、Zoho Oneのカスタム認証ページに記載されているACS URLを入力します。



  8. [識別子の構成]画面で、[証明書利用者信頼の識別子]の欄で[one.zoho.com]を選択します。
  9. [今すぐ多要素認証を構成しますか?]の画面で、[現時点ではこの証明書利用者信頼に多要素認証を構成しない。]を選択します。
  10. [発行承認規則の選択]画面で、[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する]を選択します。
  11. [完了]をクリックします。

C. 要求規則を作成します:
証明書利用者の信頼を作成すると、要求規則を作成できます。通常では、証明書利用者信頼の作成後に要求規則の編集画面が表示されます。
  1. [規則の追加]をクリックして、新しいルールを作成します。 
  2. [規則の種類の選択]画面で、ドロップダウンから[LDAP 属性を要求として送信]選択します。
  3. [次へ]をクリックします。
  4. [要求規則の構成]画面で、次の操作を実施します:
    1. [要求規則名]を入力します。
    2. [属性ストア]の欄で、ドロップダウンから[Active directory]を選択します。
    3. [LDAP属性の出力方向の要求の種類への関連付け]の[LDAP 属性]の欄で、[E-Mail Addresses]を選択します。
    4. [LDAP属性の出力方向の要求の種類への関連付け]の[出力方向の要求の種類]の欄で、[E-Mail Addresses]を選択します。
  5. [完了]をクリックします。
  6. 別の要求規則を作成します。[要求規則テンプレート]で、[入力方向の要求を変換]を選択します。
  7. [要求規則の構成]画面で、次の操作を実施します:
    1. [要求規則名]を入力します。
    2. [入力方向の要求の種類]の欄で、[E-Mail Addresses]を選択します。
    3. [出力方向の要求の種類]の欄で、[名前 ID]を選択します。
    4. [出力方向の名前 ID の形式]の欄で、[Email]を選択します。
  8. [すべての要求値をパス スルーする]を選択します。
  9. [完了]をクリックします。