Active Directoryフェデレーションサービス (AD FS) 認証は、同期エージェントとAD FSサーバを使用して、ユーザの同期と認証を行います。同期エージェントはActive Directory同期を提供します。この認証方式は、極めて高いセキュリティが提供されるソリューションを希望する場合で、AD FSサーバを所有しているときに使用できます。Active Directoryのアカウントとパスワードは、 TMWSaaS を経由しません。
複数のドメインがある場合、各ドメインで同じ認証方式 (直接、AD FS、エージェント、Okta、Azure AD、Google) を使用します。同じ認証方式でも設定はドメインごとに変えることができます。
- [管理] > [ユーザと認証] > [ディレクトリサービス] に移動します。
- [ディレクトリサービス] 画面の上部領域で [ここ] をクリックします。
-
表示される画面で、
[AD FS]
を選択して、
[保存]
をクリックします。
同期エージェントをまだインストールしていない場合、 [同期エージェントのダウンロード] をクリックして、イントラネットにインストールします。詳細については、 同期エージェントの設定 を参照してください。
-
設定するドメインに対応する
[ADとの連携]
で
[無効]
の横にある
をクリックします。
-
表示される
[ADとの連携設定の編集]
画面で、次のパラメータを設定します。
項目
設定
ドメイン名
このフィールドは変更できません。
認証方式
このフィールドは変更できません。
ADとの連携の有効化
必要に応じて [オン] または [オフ] をクリックします。
同期されていないユーザを許可する
組織のADユーザのデータが TMWSaaS と同期されていない場合に TMWSaaS を介したWebサイトへのアクセスを許可するかどうかに応じて、 [オン] または [オフ] をクリックします。
注:この設定は、 TMWSaaS ゲートウェイで [ユーザ認証] が [透過認証] に設定されている場合のみ有効になります。
前回の同期
Active Directoryユーザおよびグループの前回の同期が行われた日時。
-
[AD FS IDプロバイダの設定]
セクションを設定します。
項目
設定
AD FSサービスURL
URLを入力します。URLはAD FS IDプロバイダのXMLメタデータから取得できます。
例: https://<adfs_domain_name>/adfs/ls/
ログオン名属性
TMWSaaS で、Active Directoryユーザを userid@domain という形式に変換する際に使用する属性を入力します。
userid の値は、Active Directory同期設定に指定された [ユーザ名属性] を使用してActive Directoryから同期されます。 [ログオン名属性] は、Active Directory同期設定の [ユーザ名属性] (初期値の [sAMAccountName] ) と同じ値にする必要があります。
公開鍵証明書
[選択] をクリックし、デジタル署名の検証に使用するAD FS IDプロバイダの公開鍵証明書を選択し、 [アップロード] をクリックします。
-
[AD FSサービスプロバイダの設定]
セクションを設定します。
項目
設定
署名済みSAML要求が必要
AD FSサービスプロバイダがSAML要求の署名を必要とする場合はオンにします。
サービスプロバイダ情報
リンクをクリックしてサービスプロバイダのデータを表示します。
サービスプロバイダメタデータは、AD FSサーバを設定する際に使用します。
ADFS設定スクリプト
リンクをクリックしてAD FSの自動設定パッケージをダウンロードします。
AD FSを簡単に設定できるように、 TMWSaaS ではPowerShellスクリプトを提供しており、 TMWSaaS で使用するAD FSサーバを自動的に設定できます。詳細については、 AD FSの自動設定 を参照してください。
- [保存] をクリックします。