ADFS3用のCitrix Content Collaborationシングルサインオン構成ガイド
インストールの前提条件
Active Directoryフェデレーションサービスで認証するようにCitrixContent Collaborationをセットアップするには、次のものが必要です。
- Windows Server 2012 R2
- CAからの公的に署名されたSSL証明書。自己署名証明書と署名なし証明書は受け入れられません。
- ADFSサーバーのFQDN
- シングルサインオンを構成する機能を備えたCitrix Content Collaboration内の管理者アカウントへのアクセス。
注:
Active DirectoryからCitrix Content Collaborationにユーザーをプロビジョニングするには、ユーザー管理ツールのインストールガイドを参照してください。
ADFS 3.0(役割ベースのインストール)
-
Microsoft Active Directory Federated Services 3.0を個別にダウンロードすることはできません。このバージョンでは、Windows 2012 R2サーバーを使用する必要があります。
-
ロールベースまたは機能ベースのインストールをインストールします。[次へ] をクリックします。
-
インストールするサーバーを選択し、[ 次へ]をクリックします。次に、[ ActiveDirectoryフェデレーションサービス]を選択します。[次へ] をクリックします。
-
[ サーバーの役割]、[AD FS]、[ 確認] 画面の[ 次へ]をクリックします。[再起動]チェックボックスをオンにし、次の画面で[ はい ]と言って、[ インストール]をクリックします。
-
ADFSをインストールしたら、これがActive Directoryの最初のADFSサーバーである場合は、展開後のアクティビティを完了する必要があります。このステップでは、独自の構成情報を使用してください。
ADFS3.0のセットアップ
- ADFS 3.0管理コンソールで、 構成ウィザードを起動します。
-
ウィザードが起動したら、[ 新しいフェデレーションサービスの作成 ]を選択し、[ 次へ]をクリックします。
-
ワイルドカード証明書を使用するため、 フェデレーションサービス名を決定する必要があります。ワイルドカードSSL証明書を使用していない場合は、この手順を実行する必要がない場合があります。次に、[ 次 へ]をクリックして続行します。
-
[ 次へ] をクリックして構成します。
-
すべての構成がエラーなしで完了したことを確認し、[ 閉じる ]をクリックしてウィザードを終了します。
-
管理コンソール で[ サービス]ノードを展開します。トークン署名証明書を選択し、右側の列の[証明書の表示 ]をクリックします。
-
[ 証明書] ウィンドウで、[ 詳細 ]タブを選択し、[ ファイルにコピー]をクリックします。
-
[次へ] をクリックして続行します。
-
証明書のエクスポート形式として Base-64エンコードX.509(.CER) を選択し、[ 次へ]をクリックします。
-
証明書ファイルを保存して、[ 次へ]をクリックします。
-
[ 完了] をクリックしてファイルを保存します。
-
証明書をエクスポートしたフォルダーを参照し、メモ帳で開きます。
-
メモ帳内のすべてのテキストを選択してコピーします。
- Internet Explorerを開き、Citrix Content Collaborationアカウント(
https://<yoursubdomain>.sharefile.com
)に移動します。管理者アカウントでサインインします。管理者設定> セキュリティ > ログインする & セキュリティポリシーに移動します。「シングルサインオン/SAML 2.0構成」を探します。- [ SAMLを有効にする] 設定を[ はい]に切り替えます。
-
ShareFile発行者/ エンティティID :
https://<subdomain>.sharefile.com/saml/info
-
IDP発行者/ エンティティID :
https://<adfs>.yourdomain.com
- X.509証明書: 前のセクションからエクスポートされた証明書の内容を貼り付けます
-
ログインURL:
https://<adfs>.yourdomain.com/adfs/ls
-
オプション設定で、以下の値を変更します。
- Web 認証を有効にする: はい (チェックマーク付き)
- SP が開始する認証コンテキスト: ユーザ名とパスワード — 最小
-
Internet Explorerを最小化し、 ADFS管理コンソールに戻ります。[ 信頼関係]ノードを展開し、[ 証明書利用者の信頼]を選択します。次に、コンソールの右側から[ 証明書利用者信頼の追加… ]をクリックします。これにより、 信頼の追加ウィザードが起動します。
-
[ 開始]をクリックして、証明書利用者の信頼の指定を開始します。
-
SAMLサイトからメタデータを取得すると、信頼を自動的に構成できます。フェデレーションメタデータアドレス(ホスト名またはURL)として
https://<yoursubdomain>.sharefile.com/saml/metadata
を使用します。[次へ] をクリックします。 -
表示名を指定します。通常、これを
<yoursubdomain>.sharefile.com
として保持するため、相互に異なる信頼を識別できます。 -
すべてのユーザーにこの証明書利用者へのアクセスを許可します。[次へ] をクリックします。
-
情報が正しいことを確認し、[ 次へ]をクリックします。
-
[ウィザードを閉じるときに、この証明書利用者信頼の要求ルールの編集ダイアログを開く] チェックボックスがオンになっていることを確認します。[閉じる] をクリックします。
-
[ 発行変換ルール ]タブで、[ ルールの追加]をクリックします。
-
最初のルールは、 LDAP属性をクレームとして送信することです。
-
Citrix Content Collaboration プラットフォームのユーザーは、メールアドレスで識別されます。クレームはUPNとして送信します。メールアドレスから メールアドレス など、説明的な 要求ルール名を指定します。属性ストアとして Active Directoryを 選択します。最後に、 LDAP 属性 として [ メールアドレス ] を選択し、[ 送信要求の種類 ] として [ メールアドレス] を選択します。[完了] をクリックします。
-
2番目のルールを作成します。このルールは 、着信クレームを変換するために使用されます。[次へ] をクリックします。
-
受信要求の種類は、メールアドレスを電子メール形式の送信名 ID 要求の種類に変換します。メールアドレスに名前付き IDなど、わかりやすい名前を付けます。受信 要求の種類は [ メールアドレス] で、 送信 要求の種類は [ 名前 ID] です。送信 名の形式は Eメールです。[完了] をクリックします。
-
クレームが正しいことを確認し、[ OK]をクリックします。
-
任意のWebブラウザーに切り替えて、
https://<yoursubdomain>.sharefile.com/saml/login
に移動します。ADFSサービスにリダイレクトされます。サインインメールがADのユーザーにリンクされている場合は、AD資格情報を使用して認証できます。