ADFS4用のCitrix Content Collaborationシングルサインオン構成ガイド

前提条件

  • ドメインは、Windows Server 2016 ホストに参加しました。
  • パブリックIPに関連付けられたパブリックアクセス可能なFQDN(例: <adfs>.yourdomain.com
  • サイトFQDNに関連付けられた有効なSSL証明書(ワイルドカードがサポートされています)
  • ポート443は、AD FS FQDNに関連付けられたパブリックIPでインバウンドとアウトバウンドを開きます

ADFSの役割を追加する

  • サーバーマネージャーを起動します。
  • 右上の[ 管理] をクリックします。
  • [ 役割と機能の追加]をクリックします。

adfs4画像1

  • Active Directory フェデレーションサービスを選択します。
  • [次へ] をクリックします。

adfs4画像2

  • [次へ] をクリックします。

adfs4画像3

  • [次へ] をクリックします。

adfs4画像4

  • 必要に応じて、[宛先サーバーを自動的に再起動する]を選択します。
  • [ インストール]をクリックし、再起動プロンプトに[ はい] と応答します。

adfs4画像5

  • ロールが正常にインストールされると、この画面が表示されます。[閉じる] をクリックします。

ADFSを構成する

  • サーバーマネージャーを開きます。
  • 黄色の注意記号が付いた旗のアイコンをクリックします。

adfs4画像6

  • [このサーバーでフェデレーションサービスを構成する] をクリックします。

adfs4画像7

  • [ フェデレーションサーバーファームに最初のフェデレーションサーバーを作成する ]ラジオボタンを選択します。
  • [次へ] をクリックします。

adfs4画像8

  • ドメイン管理者アカウントを定義して、ADFSを構成します。
  • [次へ] をクリックします。

adfs4画像9

  • パブリックSSL証明書を選択します。この証明書は、ADFSを構成する前にホストにインポートする必要があります。
  • フェデレーションサービス名を入力します。この名前は、ADFS用に作成したFQDNと一致する必要があります。 例: adfs2016.yourdomain.com
  • サービスの表示名を入力します。この名前は、フォームベースのログインページに表示されるテキストです。
  • [次へ] をクリックします。

adfs4画像10

  • ADFSが使用するサービスアカウントを指定します。
  • [次へ] をクリックします。

adfs4画像11

  • データベースの種類を選択します。
  • [次へ] をクリックします。

adfs4画像12

  • 変更を加える前に確認してください。
  • [次へ] をクリックします。

adfs4画像13

  • すべての前提条件チェックが正常に完了した場合は、[ 構成]を クリックします。

adfs4画像14

  • ADFSの構成が正常に完了すると、この画面が表示されます。
  • [閉じる] をクリックします。

IdPが開始するサインインを有効にする

IdPによって開始されるサインインページは、サービスプロバイダーの信頼を確立する前に、ADFSがドメイン資格情報を受け入れることを確認します。デフォルトでは、このページは Windows Server 2016 環境では無効になっています。PowerShellを使用して、IdPによって開始されるサインインを有効にします。

adfs4画像15

  • 管理者としてPowerShellを起動します。
  • set-adfsproperties –EnableIDPInitiatedSignonPage $Trueコマンドを実行します。
  • これで、 https://<adfs.domain.com>/adfs/ls/idpinitiatedsignon.aspx を参照してサインインできます。

adfs4画像16

トークン署名証明書のエクスポート

adfs4画像17

  • サーバーマネージャーからADFS管理コンソールを起動します。

adfs4画像18

  • サービスを展開します。
  • 証明書を選択します。
  • プライマリ トークン署名証明書を右クリックします。[ 証明書の表示…]を選択します。

adfs4画像19

  • [詳細]タブをクリックします。
  • [ ファイルにコピー…]をクリックします。

adfs4画像20

  • [次へ] をクリックします。

adfs4画像21

  • Base-64でエンコードされたX.509(.CER) ラジオボタンを選択します。
  • [次へ] をクリックします。
  • [Browse] をクリックします。

adfs4画像22

  • トークン署名証明書をエクスポートする場所を選択します。
  • トークン署名証明書に名前を付けます。
  • [保存] をクリックします。

adfs4画像23

  • [次へ] をクリックします。

adfs4画像24

  • [完了] をクリックします。

adfs4画像25

  • エクスポートされたトークン署名証明書を右クリックします。
  • [プログラムから 開く…]をクリックします。
  • メモ帳を選択します。

adfs4画像26

  • トークン署名証明書の内容をコピーします

Citrix Content Collaborationアカウントを構成する

  • Webブラウザーを使用してCitrix Content Collaborationアカウントにサインインします。
  • 左側のパネルで[ 設定] をクリックします。
  • [ 管理者設定]をクリックします。

adfs4画像27

  • [ セキュリティ]を展開します。
  • ログインをクリックします & セキュリティポリシー。ページの一番下までスクロールします。

adfs4画像28

adfs4画像29

  • ShareFile発行者/エンティティID: https://<subdomain>.sharefile.com/saml/info
  • IdP発行者 / エンティティID: https://<adfs>.yourdomain.com
  • X.509証明書:前のセクションからエクスポートされた証明書の内容を貼り付けます
  • ログインURL: https://<adfs>.yourdomain.com/adfs/ls
  • Web認証を有効にする:はい(チェックマークが付いています)
  • SPが開始する認証コンテキスト:ユーザー名とパスワード–最小
  • 変更を保存します。

サービスプロバイダーの信頼を構築する

adfs4画像30

  • サーバーマネージャー から ADFS管理を起動します。

adfs4画像31

  • 証明書利用者の信頼を選択します。
  • [ 証明書利用者信頼の追加]をクリックします。

adfs4画像32

  • クレーム対応 ラジオボタンを選択します。
  • [Start]をクリックします。

adfs4画像33

  • Citrix Content CollaborationアカウントのメタデータURLを入力します。例:https://<subdomain>.sharefile.com/saml/metadata
  • ファイルを使用してSAMLメタデータをインポートする場合は、このURLを参照して内容をコピーし、.xmlファイルとして保存することもできます。また、3番目のラジオボタンを選択して、この情報を手動で入力することもできます。
  • [次へ] をクリックします。

adfs4画像34

  • [次へ] をクリックします。

adfs4画像35

  • [次へ] をクリックします。

adfs4画像36

  • [閉じる] をクリックします。

adfs4画像37

  • [ルールの追加] をクリックします。

adfs4画像38

  • メニューから[ LDAP属性をクレームとして送信 ]を選択します。
  • [次へ] をクリックします。

adfs4画像39

  • ルールに名前を付けます。
  • [ 属性ストア ]メニューから[ Active Directory ]を選択します。
  • 最初の [ LDAP 属性 ] メニューで [ メールアドレス ] を選択します。
  • 最初の [ 送信要求タイプ ] メニューから [ メールアドレス ] を選択します。
  • [完了] をクリックします。

adfs4画像40

  • [ルールの追加] をクリックします。

adfs4画像41

  • [ 受信クレームの変換]を選択します。
  • [次へ] をクリックします。

adfs4画像42

  • ルールに名前を付けます。
  • [ 受信要求タイプ: ] で [ メールアドレス] を選択します。
  • 送信クレームタイプの名前IDを選択します。
  • 送信名ID形式 として[ 電子メール]を選択します。

adfs4画像43

  • [Apply] をクリックします。
  • OKをクリックします。

構成をテストする

Citrix Content CollaborationアカウントのSAMLログインURLを参照します。これで、ADFSホストにリダイレクトされ、資格情報が要求されます。ADFSホストがフェデレーションサービスを提供しているドメインに関連付けられた資格情報を使用してサインインします。ADユーザーの電子メールアドレスは、Citrix Content Collaborationのユーザーの電子メールアドレスと一致する必要があります。資格情報が正しく、電子メールアドレスがCitrix Content Collaborationユーザーと一致する場合、電子メールに関連付けられているCitrix Content Collaborationアカウントにサインインしています。

ADFS4用のCitrix Content Collaborationシングルサインオン構成ガイド