ADFS3用のCitrix Content Collaborationシングルサインオン構成ガイド

インストールの前提条件

Active Directoryフェデレーションサービスで認証するようにCitrixContent Collaborationをセットアップするには、次のものが必要です。

• Windows Server 2012 R2
• CAからの公的に署名されたSSL証明書。自己署名証明書と署名なし証明書は受け入れられません。
• ADFSサーバーのFQDN
• シングルサインオンを構成する機能を備えたCitrix Content Collaboration内の管理者アカウントへのアクセス。

注：

Active DirectoryからCitrix Content Collaborationにユーザーをプロビジョニングするには、ユーザー管理ツールのインストールガイドを参照してください。

ADFS 3.0（役割ベースのインストール）

1. Microsoft Active Directory Federated Services 3.0を個別にダウンロードすることはできません。このバージョンでは、Windows 2012 R2サーバーを使用する必要があります。

   

2. ロールベースまたは機能ベースのインストールをインストールします。［次へ］ をクリックします。

   

3. インストールするサーバーを選択し、[次へ]をクリックします。次に、[ActiveDirectoryフェデレーションサービス]を選択します。［次へ］ をクリックします。

   

4. [ サーバーの役割]、[AD FS] 、[確認]画面の[次へ]をクリックします。[再起動]チェックボックスをオンにし、次の画面で[はい]と言って、[インストール]をクリックします。

   

5. ADFSをインストールしたら、これがActive Directoryの最初のADFSサーバーである場合は、展開後のアクティビティを完了する必要があります。このステップでは、独自の構成情報を使用してください。

   

ADFS3.0のセットアップ

1. ADFS 3.0管理コンソールで、 構成ウィザードを起動します。

2. ウィザードが起動したら、[新しいフェデレーションサービスの作成]を選択し、[次へ]をクリックします。

   

   

3. ワイルドカード証明書を使用するため、 フェデレーションサービス名を決定する必要があります。ワイルドカードSSL証明書を使用していない場合は、この手順を実行する必要がない場合があります。次に、[次 へ]をクリックして続行します。

   

4. [次へ] をクリックして構成します。

   

5. すべての構成がエラーなしで完了したことを確認し、[閉じる]をクリックしてウィザードを終了します。

   

   

6. 管理コンソール で[サービス]ノードを展開します。トークン署名** 証明書を選択し、右側の列の [証明書の表示]をクリックします。

   

7. [証明書] ウィンドウで、[詳細]タブを選択し、[ファイルにコピー]をクリックします。

   

8. ［次へ］ をクリックして続行します。

   

9. 証明書のエクスポート形式として Base-64エンコードX.509（.CER） を選択し、[次へ]をクリックします。

   

10. 証明書ファイルを保存して、[次へ]をクリックします。

    

11. [完了] をクリックしてファイルを保存します。

    

12. 証明書をエクスポートしたフォルダーを参照し、メモ帳で開きます。

    

13. メモ帳内のすべてのテキストを選択してコピーします。

    

14. Internet Explorerを開き、Citrix Content Collaborationアカウント（https://<yoursubdomain>.sharefile.com）に移動します。管理者アカウントでサインインします。管理者設定> セキュリティ > ログインする & セキュリティポリシーに移動します。「シングルサインオン/SAML 2.0構成」を探します。
    • [SAMLを有効にする] 設定を[はい]に切り替えます。
    • ShareFile発行者/ エンティティID : https://<subdomain>.sharefile.com/saml/info
    • IDP発行者/ エンティティID : https://<adfs>.yourdomain.com
    • X.509証明書: 前のセクションからエクスポートされた証明書の内容を貼り付けます
    • ログインURL: https://<adfs>.yourdomain.com/adfs/ls

    

15. オプション設定で、以下の値を変更します。
    • Web認証を有効にする: はい （チェックマーク）
    • SPが開始する認証コンテキスト: ユーザー名とパスワード–最小

    

16. Internet Explorerを最小化し、 ADFS管理コンソールに戻ります。[信頼関係] ノードを展開し、[証明書利用者の信頼]を選択します。次に、コンソールの右側から[証明書利用者信頼の追加…]をクリックします。これにより、 信頼の追加ウィザードが起動します。

    

17. [開始] をクリックして、 証明書利用者の信頼の指定を開始します。

    

18. SAMLサイトからメタデータを取得すると、信頼を自動的に構成できます。フェデレーションメタデータアドレス（ホスト名またはURL）として https://<yoursubdomain>.sharefile.com/saml/metadata を使用します。［次へ］ をクリックします。

    

19. 表示名を指定します。通常、これを <yoursubdomain>.sharefile.comとして保持するため、相互に異なる信頼を識別できます。

    

    

20. すべてのユーザーにこの証明書利用者へのアクセスを許可します。［次へ］ をクリックします。

    

21. 情報が正しいことを確認し、[次へ]をクリックします。

    

22. ［ウィザードを閉じるときに、この証明書利用者信頼の要求ルールの編集ダイアログを開く］ チェックボックスがオンになっていることを確認します。［閉じる］ をクリックします。

    

23. [発行変換ルール]タブで、[ルールの追加]をクリックします。

    

24. 最初のルールは、 LDAP属性をクレームとして送信することです。

    

25. Citrix Content Collaboration プラットフォームのユーザーは、メールアドレスで識別されます。クレームはUPNとして送信します。メールアドレスから メールアドレス など、説明的な 要求ルール名を指定します。属性ストアとして Active Directoryを 選択します。最後に、 LDAP 属性 として [メールアドレス] を選択し、[送信要求の種類] として [メールアドレス] を選択します。［完了］ をクリックします。

    

26. 2番目のルールを作成します。このルールは 、着信クレームを変換するために使用されます。［次へ］ をクリックします。

    

27. 受信要求の種類は、メールアドレスを電子メール形式の送信名 ID 要求の種類に変換します。メールアドレスに名前付き IDなど、わかりやすい名前を付けます。受信 要求の種類は [メールアドレス] で、 送信 要求の種類は [名前 ID] です。送信 名の形式は Eメールです。［完了］ をクリックします。

    

28. クレームが正しいことを確認し、[OK]をクリックします。

    

29. 任意のWebブラウザーに切り替えて、 https://<yoursubdomain>.sharefile.com/saml/loginに移動します。ADFSサービスにリダイレクトされます。サインインメールがADのユーザーにリンクされている場合は、AD資格情報を使用して認証できます。