ADFS4用のCitrix Content Collaborationシングルサインオン構成ガイド
前提条件
- ドメインは、Windows Server 2016 ホストに参加しました。
- パブリックIPに関連付けられたパブリックアクセス可能なFQDN(例:
<adfs>.yourdomain.com
) - サイトFQDNに関連付けられた有効なSSL証明書(ワイルドカードがサポートされています)
- ポート443は、AD FS FQDNに関連付けられたパブリックIPでインバウンドとアウトバウンドを開きます
ADFSの役割を追加する
- サーバーマネージャーを起動します。
- 右上の[ 管理] をクリックします。
- [ 役割と機能の追加]をクリックします。
- Active Directory フェデレーションサービスを選択します。
- [次へ] をクリックします。
- [次へ] をクリックします。
- [次へ] をクリックします。
- 必要に応じて、[宛先サーバーを自動的に再起動する]を選択します。
- [ インストール]をクリックし、再起動プロンプトに[ はい] と応答します。
- ロールが正常にインストールされると、この画面が表示されます。[閉じる] をクリックします。
ADFSを構成する
- サーバーマネージャーを開きます。
- 黄色の注意記号が付いた旗のアイコンをクリックします。
- [このサーバーでフェデレーションサービスを構成する] をクリックします。
- [ フェデレーションサーバーファームに最初のフェデレーションサーバーを作成する ]ラジオボタンを選択します。
- [次へ] をクリックします。
- ドメイン管理者アカウントを定義して、ADFSを構成します。
- [次へ] をクリックします。
- パブリックSSL証明書を選択します。この証明書は、ADFSを構成する前にホストにインポートする必要があります。
- フェデレーションサービス名を入力します。この名前は、ADFS用に作成したFQDNと一致する必要があります。
例:
adfs2016.yourdomain.com
- サービスの表示名を入力します。この名前は、フォームベースのログインページに表示されるテキストです。
- [次へ] をクリックします。
- ADFSが使用するサービスアカウントを指定します。
- [次へ] をクリックします。
- データベースの種類を選択します。
- [次へ] をクリックします。
- 変更を加える前に確認してください。
- [次へ] をクリックします。
- すべての前提条件チェックが正常に完了した場合は、[ 構成]を クリックします。
- ADFSの構成が正常に完了すると、この画面が表示されます。
- [閉じる] をクリックします。
IdPが開始するサインインを有効にする
IdPによって開始されるサインインページは、サービスプロバイダーの信頼を確立する前に、ADFSがドメイン資格情報を受け入れることを確認します。デフォルトでは、このページは Windows Server 2016 環境では無効になっています。PowerShellを使用して、IdPによって開始されるサインインを有効にします。
- 管理者としてPowerShellを起動します。
-
set-adfsproperties –EnableIDPInitiatedSignonPage $True
コマンドを実行します。 - これで、
https://<adfs.domain.com>/adfs/ls/idpinitiatedsignon.aspx
を参照してサインインできます。
トークン署名証明書のエクスポート
- サーバーマネージャーからADFS管理コンソールを起動します。
- サービスを展開します。
- 証明書を選択します。
- プライマリ トークン署名証明書を右クリックします。[ 証明書の表示…]を選択します。
- [詳細]タブをクリックします。
- [ ファイルにコピー…]をクリックします。
- [次へ] をクリックします。
- Base-64でエンコードされたX.509(.CER) ラジオボタンを選択します。
- [次へ] をクリックします。
- [Browse] をクリックします。
- トークン署名証明書をエクスポートする場所を選択します。
- トークン署名証明書に名前を付けます。
- [保存] をクリックします。
- [次へ] をクリックします。
- [完了] をクリックします。
- エクスポートされたトークン署名証明書を右クリックします。
- [プログラムから 開く…]をクリックします。
- メモ帳を選択します。
- トークン署名証明書の内容をコピーします
Citrix Content Collaborationアカウントを構成する
- Webブラウザーを使用してCitrix Content Collaborationアカウントにサインインします。
- 左側のパネルで[ 設定] をクリックします。
- [ 管理者設定]をクリックします。
- [ セキュリティ]を展開します。
- ログインをクリックします & セキュリティポリシー。ページの一番下までスクロールします。
- ShareFile発行者/エンティティID:
https://<subdomain>.sharefile.com/saml/info
- IdP発行者 / エンティティID:
https://<adfs>.yourdomain.com
- X.509証明書:前のセクションからエクスポートされた証明書の内容を貼り付けます
- ログインURL:
https://<adfs>.yourdomain.com/adfs/ls
- Web認証を有効にする:はい(チェックマークが付いています)
- SPが開始する認証コンテキスト:ユーザー名とパスワード–最小
- 変更を保存します。
サービスプロバイダーの信頼を構築する
- サーバーマネージャー から ADFS管理を起動します。
- 証明書利用者の信頼を選択します。
- [ 証明書利用者信頼の追加]をクリックします。
- クレーム対応 ラジオボタンを選択します。
- [Start]をクリックします。
- Citrix Content CollaborationアカウントのメタデータURLを入力します。例:
https://<subdomain>.sharefile.com/saml/metadata
- ファイルを使用してSAMLメタデータをインポートする場合は、このURLを参照して内容をコピーし、.xmlファイルとして保存することもできます。また、3番目のラジオボタンを選択して、この情報を手動で入力することもできます。
- [次へ] をクリックします。
- [次へ] をクリックします。
- [次へ] をクリックします。
- [閉じる] をクリックします。
- [ルールの追加] をクリックします。
- メニューから[ LDAP属性をクレームとして送信 ]を選択します。
- [次へ] をクリックします。
- ルールに名前を付けます。
- [ 属性ストア ]メニューから[ Active Directory ]を選択します。
- 最初の [ LDAP 属性 ] メニューで [ メールアドレス ] を選択します。
- 最初の [ 送信要求タイプ ] メニューから [ メールアドレス ] を選択します。
- [完了] をクリックします。
- [ルールの追加] をクリックします。
- [ 受信クレームの変換]を選択します。
- [次へ] をクリックします。
- ルールに名前を付けます。
- [ 受信要求タイプ: ] で [ メールアドレス] を選択します。
- 送信クレームタイプの名前IDを選択します。
- 送信名ID形式 として[ 電子メール]を選択します。
- [Apply] をクリックします。
- OKをクリックします。
構成をテストする
Citrix Content CollaborationアカウントのSAMLログインURLを参照します。これで、ADFSホストにリダイレクトされ、資格情報が要求されます。ADFSホストがフェデレーションサービスを提供しているドメインに関連付けられた資格情報を使用してサインインします。ADユーザーの電子メールアドレスは、Citrix Content Collaborationのユーザーの電子メールアドレスと一致する必要があります。資格情報が正しく、電子メールアドレスがCitrix Content Collaborationユーザーと一致する場合、電子メールに関連付けられているCitrix Content Collaborationアカウントにサインインしています。
ADFS4用のCitrix Content Collaborationシングルサインオン構成ガイド
コピー完了
Failed!