ADFS3用のCitrix Content Collaborationシングルサインオン構成ガイド

インストールの前提条件

Active Directoryフェデレーションサービスで認証するようにCitrixContent Collaborationをセットアップするには、次のものが必要です。

  • Windows Server 2012 R2
  • CAからの公的に署名されたSSL証明書。自己署名証明書と署名なし証明書は受け入れられません。
  • ADFSサーバーのFQDN
  • シングルサインオンを構成する機能を備えたCitrix Content Collaboration内の管理者アカウントへのアクセス。

注:

Active DirectoryからCitrix Content Collaborationにユーザーをプロビジョニングするには、ユーザー管理ツールのインストールガイドを参照してください。

ADFS 3.0(役割ベースのインストール)

  1. Microsoft Active Directory Federated Services 3.0を個別にダウンロードすることはできません。このバージョンでは、Windows 2012 R2サーバーを使用する必要があります。

    adfs3画像1

  2. ロールベースまたは機能ベースのインストールをインストールします[次へ] をクリックします。

    adfs3画像2

  3. インストールするサーバーを選択し、[ 次へ]をクリックします。次に、[ ActiveDirectoryフェデレーションサービス]を選択します。[次へ] をクリックします。

    adfs3画像3

  4. [ サーバーの役割]、[AD FS]、[ 確認] 画面の[ 次へ]をクリックします。[再起動]チェックボックスをオンにし、次の画面で[ はい ]と言って、[ インストール]をクリックします。

    adfs3画像4

  5. ADFSをインストールしたら、これがActive Directoryの最初のADFSサーバーである場合は、展開後のアクティビティを完了する必要があります。このステップでは、独自の構成情報を使用してください。

    adfs3画像5

ADFS3.0のセットアップ

  1. ADFS 3.0管理コンソールで、 構成ウィザードを起動します。
  2. ウィザードが起動したら、[ 新しいフェデレーションサービスの作成 ]を選択し、[ 次へ]をクリックします。

    adfs3画像6

    adfs3画像7

  3. ワイルドカード証明書を使用するため、 フェデレーションサービス名を決定する必要があります。ワイルドカードSSL証明書を使用していない場合は、この手順を実行する必要がない場合があります。次に、[ へ]をクリックして続行します。

    adfs3画像8

  4. [ 次へ] をクリックして構成します。

    adfs3画像9

  5. すべての構成がエラーなしで完了したことを確認し、[ 閉じる ]をクリックしてウィザードを終了します。

    adfs3画像10

    adfs3画像11

  6. 管理コンソール で[ サービス]ノードを展開します。トークン署名証明書を選択し、右側の列の[証明書の表示 ]をクリックします。

    adfs3画像12

  7. [ 証明書] ウィンドウで、[ 詳細 ]タブを選択し、[ ファイルにコピー]をクリックします。

    adfs3画像13

  8. [次へ] をクリックして続行します。

    adfs3画像14

  9. 証明書のエクスポート形式として Base-64エンコードX.509(.CER) を選択し、[ 次へ]をクリックします。

    adfs3画像15

  10. 証明書ファイルを保存して、[ 次へ]をクリックします。

    adfs3画像16

  11. [ 完了] をクリックしてファイルを保存します。

    adfs3画像17

  12. 証明書をエクスポートしたフォルダーを参照し、メモ帳で開きます。

    adfs3画像18

  13. メモ帳内のすべてのテキストを選択してコピーします。

    adfs3画像19

  14. Internet Explorerを開き、Citrix Content Collaborationアカウント(https://<yoursubdomain>.sharefile.com)に移動します。管理者アカウントでサインインします。管理者設定> セキュリティ > ログインする & セキュリティポリシーに移動します。「シングルサインオン/SAML 2.0構成」を探します。
    • [ SAMLを有効にする] 設定を[ はい]に切り替えます。
    • ShareFile発行者/ エンティティID : https://<subdomain>.sharefile.com/saml/info
    • IDP発行者/ エンティティID : https://<adfs>.yourdomain.com
    • X.509証明書: 前のセクションからエクスポートされた証明書の内容を貼り付けます
    • ログインURL: https://<adfs>.yourdomain.com/adfs/ls

    adfs3画像20

  15. オプション設定で、以下の値を変更します。
    • Web 認証を有効にする: はい (チェックマーク付き)
    • SP が開始する認証コンテキスト: ユーザ名とパスワード — 最小

    adfs3画像21

  16. Internet Explorerを最小化し、 ADFS管理コンソールに戻ります。[ 信頼関係]ノードを展開し、[ 証明書利用者の信頼]を選択します。次に、コンソールの右側から[ 証明書利用者信頼の追加… ]をクリックします。これにより、 信頼の追加ウィザードが起動します。

    adfs3画像22

  17. [ 開始]をクリックして、証明書利用者の信頼の指定を開始します。

    adfs3画像23

  18. SAMLサイトからメタデータを取得すると、信頼を自動的に構成できます。フェデレーションメタデータアドレス(ホスト名またはURL)として https://<yoursubdomain>.sharefile.com/saml/metadata を使用します。[次へ] をクリックします。

    adfs3画像24

  19. 表示名を指定します。通常、これを <yoursubdomain>.sharefile.comとして保持するため、相互に異なる信頼を識別できます。

    adfs3画像25

    adfs3画像26

  20. すべてのユーザーにこの証明書利用者へのアクセスを許可します。[次へ] をクリックします。

    adfs3画像27

  21. 情報が正しいことを確認し、[ 次へ]をクリックします。

    adfs3画像28

  22. [ウィザードを閉じるときに、この証明書利用者信頼の要求ルールの編集ダイアログを開く] チェックボックスがオンになっていることを確認します。[閉じる] をクリックします。

    adfs3画像29

  23. [ 発行変換ルール ]タブで、[ ルールの追加]をクリックします。

    adfs3画像30

  24. 最初のルールは、 LDAP属性をクレームとして送信することです。

    adfs3画像31

  25. Citrix Content Collaboration プラットフォームのユーザーは、メールアドレスで識別されます。クレームはUPNとして送信します。メールアドレスから メールアドレス など、説明的な 要求ルール名を指定します。属性ストアとして Active Directoryを 選択します。最後に、 LDAP 属性 として [ メールアドレス ] を選択し、[ 送信要求の種類 ] として [ メールアドレス] を選択します。[完了] をクリックします。

    adfs3画像32

  26. 2番目のルールを作成します。このルールは 、着信クレームを変換するために使用されます。[次へ] をクリックします。

    adfs3画像33

  27. 受信要求の種類は、メールアドレスを電子メール形式の送信名 ID 要求の種類に変換します。メールアドレスに名前付き IDなど、わかりやすい名前を付けます。受信 要求の種類は [ メールアドレス] で、 送信 要求の種類は [ 名前 ID] です。送信 名の形式は Eメールです。[完了] をクリックします。

    adfs3画像34

  28. クレームが正しいことを確認し、[ OK]をクリックします。

    adfs3画像35

  29. 任意のWebブラウザーに切り替えて、 https://<yoursubdomain>.sharefile.com/saml/loginに移動します。ADFSサービスにリダイレクトされます。サインインメールがADのユーザーにリンクされている場合は、AD資格情報を使用して認証できます。

    adfs3画像36

ADFS3用のCitrix Content Collaborationシングルサインオン構成ガイド