メインコンテンツまでスキップ

Active Directory Federation Servicesとの連携

Active Directory Federation Services をIdP としてSAML 認証を行うための設定例を説明します。

注記

Accel-Mart Quick上の操作は、「Accel-Mart Quick システム管理者」ロールを持つユーザで実施してください。

バージョン

以下のバージョンを前提として説明します。

  • Windows Server 2022

前提条件

  • Accel-Mart Quick に連携対象のユーザが存在すること
  • Active Directory Federation Services の初期設定まで完了していること

設定方法

Active Directory Federation Services のメタデータをダウンロード

以下のURL からActive Directory Federation Services のメタデータをダウンロードします。

  • https://<server name>/federationmetadata/2007-06/federationmetadata.xml

Accel-Mart Quick にActive Directory Federation Services を登録

  1. 「外部システム連携設定」→「SAML認証設定」→「IdP一覧」をクリックします。

  2. 「新規作成」ボタンをクリックします。

  3. 下記を参考に必要な項目を入力します。

    項目名設定値
    状態有効
    IdP名任意の値
    IdPメタデータActive Directory Federation Serviceからダウンロードしたフェデレーション メタデータの内容

    IdP新規作成

    備考

    「ログインボタン設定」や「高度な設定」の設定を行う場合は「Accel-Mart QuickにIdPの情報を設定する」を参考に各項目の設定を行ってください。

  4. 「新規登録」ボタンをクリックします。

Accel-Mart Quick のメタデータをダウンロード

IdPを新規登録すると、「IdP一覧」画面に登録したIdPが表示されます。
「SPメタデータダウンロード」のアイコンをクリックし、SPメタデータをダウンロードしてください。

IdP一覧

Accel-Mart Quick ユーザとActive Directory Federation Services ユーザをマッピング

  1. 「Accel-Mart Quick システム管理者」ロールを持つユーザでログインし、「管理」→「外部システム連携設定」→「SAML認証設定」→「SAMLユーザマッピング」をクリックします。

  2. 「新規作成」ボタンをクリックし、以下のように設定し登録します。

    項目名設定値
    IdPユーザAD FSのユーザ名
    ユーザAccel-Mart Quick で連携させたいユーザのユーザコード

    SAML ユーザマッピング登録

Active Directory Federation Services にメタデータをインポート

  1. AD FS の「信頼関係」→「証明書利用者信頼」→「証明書利用者信頼の追加」をクリックします。

    AD FS

  2. 「要求に対応する」を選択して、「開始」をクリックします。

    AD FS

  3. 「証明書利用者についてのデータをファイルからインポートする」を選択し、「参照」から「Accel-Mart Quick のメタデータをダウンロード」で取得したメタデータを設定します。

    AD FS

  4. 「次へ」をクリックします。

  5. 「表示名」に任意の値を設定し、「次へ」をクリックします。

    AD FS

  6. 「アクセス制御ポリシーの選択」ステップではデフォルトのまま「次へ」をクリックします。

    AD FS

  7. 「信頼の追加の準備完了」ステップの「次へ」をクリックします。

    AD FS

  8. これでメタデータのインポートは完了です。

要求規則の編集

メタデータインポート後、規則の追加を行います。

  1. 「要求発行ポリシーの編集」 - 「規則の追加」をクリックします。

    AD FS

  2. 下記を設定例を参考に要求規則の追加を行ってください。

    項目名設定値
    要求規則テンプレートLDAP 属性を要求として送信
    属性ストアActive Directory
    LDAP属性User-Principal-Name
    出力方向の要求の種類名前ID
    注意

    「出力方向の要求の種類」が「名前ID」となる規則を必ず含めてください。 レスポンスの要素が不足して認証エラーが発生します。

    注記

    「User-Principal-Name」は「ユーザ名@ドメイン名」です。

Active Directory Federation Services のユーザで Accel-Mart Quick にログイン

上記設定が完了すると、 Accel-Mart Quick の「一般ユーザログイン」画面に SAML 認証を行うボタンが表示されます。
ボタンをクリックすると、Active Directory Federation Serviceの認証画面に遷移します。アプリケーションに割り当てを行ったユーザの認証情報を入力します。
認証に成功すると Accel-Mart Quick にログインできます。

ログイン

注意事項

Accel-Mart Quick のメタデータが変更された場合

IdPの設定を更新して Accel-Mart Quick のメタデータに変更があった場合はActive Directory Federation Services でメタデータのインポートと要求規則の編集を再度実行する必要があります。

シングルログアウトについて

Active Directory Federation Services のシングルログアウトは署名が必須です。
IdP登録時に署名処理に「署名する」を選択してください。