ADFS3用のCitrix Content Collaborationシングルサインオン構成ガイド

インストールの前提条件

Active Directoryフェデレーションサービスで認証するようにCitrixContent Collaborationをセットアップするには、次のものが必要です。

  • Windows Server 2012 R2
  • CAからの公的に署名されたSSL証明書。自己署名証明書と署名なし証明書は受け入れられません。
  • ADFSサーバーのFQDN
  • シングルサインオンを構成する機能を備えたCitrix Content Collaboration内の管理者アカウントへのアクセス。

注:

Active DirectoryからCitrix Content Collaborationにユーザーをプロビジョニングするには、ユーザー管理ツールのインストールガイドを参照してください。

ADFS 3.0(役割ベースのインストール)

  1. Microsoft Active Directory Federated Services 3.0を個別にダウンロードすることはできません。このバージョンでは、Windows 2012 R2サーバーを使用する必要があります。

    adfs3画像1

  2. ロールベースまたは機能ベースのインストールをインストールします[次へ] をクリックします。

    adfs3画像2

  3. インストールするサーバーを選択し、[次へ]をクリックします。次に、[ActiveDirectoryフェデレーションサービス]を選択します。[次へ] をクリックします。

    adfs3画像3

  4. [ サーバーの役割][AD FS][確認]画面の[次へ]をクリックします。[再起動]チェックボックスをオンにし、次の画面で[はい]と言って、[インストール]をクリックします。

    adfs3画像4

  5. ADFSをインストールしたら、これがActive Directoryの最初のADFSサーバーである場合は、展開後のアクティビティを完了する必要があります。このステップでは、独自の構成情報を使用してください。

    adfs3画像5

ADFS3.0のセットアップ

  1. ADFS 3.0管理コンソールで、 構成ウィザードを起動します。
  2. ウィザードが起動したら、[新しいフェデレーションサービスの作成]を選択し、[次へ]をクリックします。

    adfs3画像6

    adfs3画像7

  3. ワイルドカード証明書を使用するため、 フェデレーションサービス名を決定する必要があります。ワイルドカードSSL証明書を使用していない場合は、この手順を実行する必要がない場合があります。次に、[次 へ]をクリックして続行します。

    adfs3画像8

  4. [次へ] をクリックして構成します。

    adfs3画像9

  5. すべての構成がエラーなしで完了したことを確認し、[閉じる]をクリックしてウィザードを終了します。

    adfs3画像10

    adfs3画像11

  6. 管理コンソール[サービス]ノードを展開します。トークン署名** 証明書を選択し、右側の列の [証明書の表示]をクリックします。

    adfs3画像12

  7. [証明書] ウィンドウで、[詳細]タブを選択し、[ファイルにコピー]をクリックします。

    adfs3画像13

  8. [次へ] をクリックして続行します。

    adfs3画像14

  9. 証明書のエクスポート形式として Base-64エンコードX.509(.CER) を選択し、[次へ]をクリックします。

    adfs3画像15

  10. 証明書ファイルを保存して、[次へ]をクリックします。

    adfs3画像16

  11. [完了] をクリックしてファイルを保存します。

    adfs3画像17

  12. 証明書をエクスポートしたフォルダーを参照し、メモ帳で開きます。

    adfs3画像18

  13. メモ帳内のすべてのテキストを選択してコピーします。

    adfs3画像19

  14. Internet Explorerを開き、Citrix Content Collaborationアカウント(https://<yoursubdomain>.sharefile.com)に移動します。管理者アカウントでサインインします。管理者設定> セキュリティ > ログインする & セキュリティポリシーに移動します。「シングルサインオン/SAML 2.0構成」を探します。
    • [SAMLを有効にする] 設定を[はい]に切り替えます。
    • ShareFile発行者/ エンティティID : https://<subdomain>.sharefile.com/saml/info
    • IDP発行者/ エンティティID : https://<adfs>.yourdomain.com
    • X.509証明書: 前のセクションからエクスポートされた証明書の内容を貼り付けます
    • ログインURL: https://<adfs>.yourdomain.com/adfs/ls

    adfs3画像20

  15. オプション設定で、以下の値を変更します。
    • Web認証を有効にする: はい (チェックマーク)
    • SPが開始する認証コンテキスト: ユーザー名とパスワード–最小

    adfs3画像21

  16. Internet Explorerを最小化し、 ADFS管理コンソールに戻ります。[信頼関係] ノードを展開し、[証明書利用者の信頼]を選択します。次に、コンソールの右側から[証明書利用者信頼の追加…]をクリックします。これにより、 信頼の追加ウィザードが起動します。

    adfs3画像22

  17. [開始] をクリックして、 証明書利用者の信頼の指定を開始します。

    adfs3画像23

  18. SAMLサイトからメタデータを取得すると、信頼を自動的に構成できます。フェデレーションメタデータアドレス(ホスト名またはURL)として https://<yoursubdomain>.sharefile.com/saml/metadata を使用します。[次へ] をクリックします。

    adfs3画像24

  19. 表示名を指定します。通常、これを <yoursubdomain>.sharefile.comとして保持するため、相互に異なる信頼を識別できます。

    adfs3画像25

    adfs3画像26

  20. すべてのユーザーにこの証明書利用者へのアクセスを許可します。[次へ] をクリックします。

    adfs3画像27

  21. 情報が正しいことを確認し、[次へ]をクリックします。

    adfs3画像28

  22. [ウィザードを閉じるときに、この証明書利用者信頼の要求ルールの編集ダイアログを開く] チェックボックスがオンになっていることを確認します。[閉じる] をクリックします。

    adfs3画像29

  23. [発行変換ルール]タブで、[ルールの追加]をクリックします。

    adfs3画像30

  24. 最初のルールは、 LDAP属性をクレームとして送信することです。

    adfs3画像31

  25. Citrix Content Collaboration プラットフォームのユーザーは、メールアドレスで識別されます。クレームはUPNとして送信します。メールアドレスから メールアドレス など、説明的な 要求ルール名を指定します。属性ストアとして Active Directoryを 選択します。最後に、 LDAP 属性 として [メールアドレス] を選択し、[送信要求の種類] として [メールアドレス] を選択します。[完了] をクリックします。

    adfs3画像32

  26. 2番目のルールを作成します。このルールは 、着信クレームを変換するために使用されます。[次へ] をクリックします。

    adfs3画像33

  27. 受信要求の種類は、メールアドレスを電子メール形式の送信名 ID 要求の種類に変換します。メールアドレスに名前付き IDなど、わかりやすい名前を付けます。受信 要求の種類は [メールアドレス] で、 送信 要求の種類は [名前 ID] です。送信 名の形式は Eメールです。[完了] をクリックします。

    adfs3画像34

  28. クレームが正しいことを確認し、[OK]をクリックします。

    adfs3画像35

  29. 任意のWebブラウザーに切り替えて、 https://<yoursubdomain>.sharefile.com/saml/loginに移動します。ADFSサービスにリダイレクトされます。サインインメールがADのユーザーにリンクされている場合は、AD資格情報を使用して認証できます。

    adfs3画像36

ADFS3用のCitrix Content Collaborationシングルサインオン構成ガイド