ADFS 認証 (SAML)

現在、Ivanti Neurons では、テナントの外部認証プロバイダとして ADFS (Active Directory フェデレーション サービス) を選択することができます。 ADFS 認証は、セキュリティ トークンを使用した1回のログインでユーザがさまざまなドメインのアプリケーションやリソースに安全にアクセスできるようにする、シングルサインオン (SSO) システムです。 これにより、ユーザ エクスペリエンスが合理化され、パスワードの再利用を減らすことでセキュリティが高まり、組織の ID 管理が簡素化されます。

ADFS 認証は SAML ベースのサインイン方法のみをサポートしています。

外部認証の構成と有効化

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。

    [認証] ページが表示されます。

  2. [外部認証] (SSO) セクションで、[構成して有効にする] をクリックします。

    [外部認証の有効化 (SSO)] ページが表示されます。

  3. [プロバイダ] ドロップダウンから [ADFS] を選択します。

    [ADFS SAML 2.0 構成設定] ページが表示されます。 このタブは、のちほど ADFS Service Manager コンソールで詳細を構成する際に参照するため、開いたままにしておくことをお勧めします。

  4. [ADFS SAML 2.0 構成設定] セクションでは、以下のオプションを選択できます。

    • 署名された申請を有効にする: デジタル署名された申請を外部認証プロバイダに送信し、署名された申請が Ivanti Neurons テナントからのものであるかどうかを検証するようにプロバイダを構成する場合に、このオプションを有効にします。 または、このオプションを無効にして、署名された申請の送信を停止できます。

    • 暗号化されたアサーションを有効にする: 外部認証プロバイダから暗号化されたユーザ情報を受信する場合に、このオプションを有効にします。情報を復号化するように Neurons テナントを構成できます。 または、このオプションを無効にして、暗号化されたユーザ情報の受信を停止できます。

  5. [変更を適用] をクリックします。
    変更を適用すると、SAML ベースの SSO システムのための、サービス プロバイダのメタデータや証明書などの ID 情報を、以下のようにダウンロードできます。

    • SP メタデータをダウンロード: XML 形式の証明書とともにサービス プロバイダのメタデータをダウンロードするには、このオプションをクリックします。

    • 証明書のみをダウンロード: 証明書 (.pem 形式) のみをダウンロードするには、このオプションを選択します。

  1. ADFS Service Manager コンソールにログインします。
    ダッシュボードが表示されます。

  2. Service Manager のダッシュボードから、[ツール] > [AD FS 管理]に移動します。
    AD FS 管理ウィザードが表示されます。

  3. [アクション] セクションで、AD FS を展開し、[証明書利用者の信頼の追加] オプションを選択します。

    証明書利用者の信頼の追加ウィザードが表示され、構成を実行するための複数の手順が示されます。

  4. [ようこそ] ステップで、[要求認識] オプションを選択し、[開始] をクリックします。

  5. [データ ソースの選択] ステップで、[証明書利用者の信頼に関するデータを手動で入力] を選択します。 その後、[次へ] をクリックします。

  6. [表示名を指定] ステップで、証明書利用者の信頼の名前を入力します。 その後、[次へ] をクリックします。

  7. [証明書の構成] ステップでは、Ivanti Neurons からダウンロードした暗号化証明書 (.cer 形式) をアップロードできます。
    暗号化証明書をアップロードするには、[参照] をクリックします。 これにより、ADFS の暗号化されたアサーションが構成されます。 その後、[次へ] をクリックします。

    証明書のダウンロードの詳細については、「外部認証の構成と有効化 (Ivanti Neurons プラットフォーム)」セクションの手順をご参照ください。

  1. [URL の構成] ステップで、[SAML 2.0 WebSSO プロトコルのサポートを有効にする] オプションを選択し、Neurons プラットフォーム からサービス URL をコピーして貼り付けします。 その後、[次へ] をクリックします。

    サービス URL については、Ivanti Neurons に戻り、[ADFS SAML 2.0 構成設定] セクションから [Assertion Consumer Service の URL] をコピーします。

  2. [ID の構成] ステップで、[証明書利用者の信頼 ID] を入力し、[追加] をクリックします。 その後、[次へ] をクリックします。

    証明書利用者の信頼 ID については、Ivanti Neurons に戻り、[ADFS SAML 2.0 構成設定] セクションの [エンティティ ID] をコピーします。

  1. [アクセス コントロール ポリシーの選択] ステップで、組織の要件に基づいて [アクセス コントロール ポリシー の選択] セクションでポリシーを選択します。 その後、[次へ] をクリックしてセットアップを完了します。

    これにより、証明書利用者の信頼の追加ウィザードが閉じ、証明書利用者の信頼構成が作成されます。

  1. AD FS 管理ウィザードで、証明書利用者の信頼フォルダを選択します。
    これにより、作成した証明書利用者信頼構成が表示されます。

  2. 作成した証明書利用者信頼構成をダブルクリックし、[署名] タブに移動します。

  3. [追加] をクリックして、署名検証証明書を参照してアップロードします。

    証明書のダウンロードの詳細については、「外部認証の構成と有効化 (Ivanti Neurons プラットフォーム)」セクションの手順をご参照ください。

ADFS 構成に、Ivanti Neurons に適用できる必要な要求が含まれていることを確認します。

  1. AD FS 管理ウィザードで、[アクション] セクションの [要求発行ポリシーの編集] オプションをクリックします。

    作成して選択した証明書利用者の信頼構成の [要求発行ポリシーの編集] ウィザード。

  2. [ルールを追加] をクリックします。

    変換要求ルールの追加ウィザードが構成ステップとともに表示されます。

  3. [ルールタイプの選択] ステップで、[要求として LDAP 属性を送信] オプションを選択し、[次へ] をクリックします。

  4. 要求ルールの構成ステップで、要求名を入力し、属性ストアを選択し、LDAP 属性に必要なマッピングを実行します。

    次のマッピングが構成されていることを確認します。

    • 電子メール アドレス -> 電子メール アドレス

    • 名 -> 名

    • 姓 -> 姓

    • 電子メール アドレス -> 名前 ID

  5. 次に、[完了] をクリックします。
    要求発行ポリシーの編集ウィザードが表示されます。

  6. [適用] をクリックします。

ADFS 構成が完了した後、Ivanti Neurons アプリケーションで ID プロバイダのメタデータ エンドポイント URL を適用する必要があります。

  1. ADFS プロバイダのメタデータ URL を特定し、コピーします。

    ADFS プロバイダの IdP メタデータ URL は、次の形式になります。
    https://<adfs-federation-service-name>/FederationMetadata/2007-06/FederationMetadata.xml"

  2. Ivanti Neurons プラットフォーム に戻り、[ID プロバイダのメタデータ エンドポイント URL] フィールドに URL を貼り付けます。
    これにより、URL が検証されます。

  3. [続行] をクリックして続行します。

ADFS サーバと接続して、接続設定を検証する必要があります。

  1. [接続設定の検証] ページで、[設定の検証] をクリックします。

    検証が自動的に行われます。 ログインが成功した場合は、確認画面が表示されます。

  2. [接続設定の検証] ページに戻り、ログイン成功を確認するチェックボックスをオンにします。

  3. [続行] をクリックして [Ivanti Neurons プラットフォーム アカウントの変換] ページに進みます。

これで ADFS が構成されましたが、まだ有効化されていません。

有効にするには、ADFS を使用するように、Ivanti Neurons プラットフォーム アカウントを変換する必要があります。

  1. [Ivanti Neurons プラットフォーム アカウントの有効化] ページで、[サインアウトして有効にする] をクリックします。
    Ivanti Neurons のサインイン ページが表示されます。
  2. [ADFS でサインイン] を選択し、ADFS 認証資格情報を入力すると、変換が完了します。
    検証するには、Neurons にログインし、[管理者] > [認証] に移動して、[ADFS] が外部認証プロバイダになっていることを確認します。

    3. 「アクセスが拒否されました」エラーを避けるためには、ADFS 認証の構成と、Ivanti Neurons へのサインインおよび認証資格情報の検証を、同じユーザが行う必要があります。

すべてのメンバーは、アカウントが変換され、今後は ADFS 認証資格情報を使用してテナントにアクセスする必要があることを確認する電子メールを受信します。 メンバーに ADFS 認証資格情報がない場合は、Ivanti Neurons にアクセスできません。

外部認証 (SSO) と [有効] ステータスが表示されます。

自動プロビジョニングの構成

自動プロビジョニングを有効にすると、手動の招待プロセスを行わなくても、ADFS 登録内のすべてのメンバーに対して Ivanti Neurons へのアクセス権が自動的に付与されます。 新規メンバーの初回ログイン時に、[Ivanti Neurons] > [メンバー] に新規 Ivanti Neurons プラットフォーム アカウントがプロビジョンされます。 自動プロビジョニングされたすべての新規メンバーには、設定で定義されたアクセス コントロール ロールが付与されます。

  1. Ivanti Neurons プラットフォームで、[セットアップ] > [認証] に移動します。

    [認証方法] ページが表示されます。

  2. [外部認証] セクションで [アクション] をクリックして、[自動プロビジョニングを有効にする] を選択します。

  3. [既定のロール] ドロップダウンで、新しいすべてのメンバーに割り当てるアクセス コントロール ロールを選択します。

    ロールを設定するには、[Ivanti Neurons] > [管理者] > [ロール] に移動します。

  4. [自動プロビジョニングを有効にする] をクリックして、ロール選択を確認し、すべての新しいメンバーの自動プロビジョニングを有効にします。

有効にすると、既定のアクセス コントロール ロールを編集し、自動プロビジョニングを無効化できます。 これらの変更は、変更後にプロビジョンされたメンバーにのみ適用され、既存のメンバーには影響しません。

(オプション) プロバイダ設定の更新 (Ivanti Neurons プラットフォーム)

このアクションでは、署名された申請を使用するか、暗号化されたアサーションを使用するか、またはその両方を使用するかを選択できます。

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。

    [認証] ページが表示されます。

  2. [外部認証] セクションで、[アクション] > [プロバイダ設定を更新] をクリックします。

    [SAML プロバイダを更新] ページが表示されます。

  3. [ADFS 構成設定] では、以下を選択できます。

    • 署名された申請を有効にする: デジタル署名された申請を外部認証プロバイダに送信し、署名された申請が Ivanti Neurons テナントからのものであるかどうかを検証するようにプロバイダを構成する場合に、このオプションを有効にします。 または、このオプションを無効にして、署名された申請の送信を停止できます。

    • 暗号化されたアサーションを有効にする: 外部認証プロバイダから暗号化されたユーザ情報を受信する場合に、このオプションを有効にします。情報を復号化するように Neurons テナントを構成できます。 または、このオプションを無効にして、暗号化されたユーザ情報の受信を停止できます。

  4. [変更を適用] をクリックします。

    これで、要件に基づいて、更新されたサービス プロバイダのメタデータ ファイルと証明書をダウンロードできるようになりました。

    更新された暗号化された証明書をダウンロードした後、新しい証明書が ADFS システム マネージャにアップロードされていることを確認してください。 証明書をアップロードするには、ADFS セットアップ (サーバ マネージャ コンソール) セクションをご参照ください。

  5. [続行] をクリックしてメタデータを検証します。

  6. [SAML プロバイダ設定の検証] ページで、[設定の検証] をクリックします。

  7. 組織のサインイン ページに新規タブが開きます。 認証資格情報を入力してサインインします。

    検証が自動的に行われます。 ログインが成功した場合は、確認画面が表示されます。

  8. [新規プロバイダ設定の検証] ページに戻り、ログイン成功を確認するチェックボックスをオンにします。

  9. [続行] をクリックして続行します。

  10. [変更を保存] をクリックして、手順を完了します。

    クライアント シークレットが正常に更新されたことを示す通知が送られます。

(オプション) 証明書の更新 (Ivanti Neurons プラットフォーム)

このオプションを使用して、期限切れの証明書を更新するか、証明書の有効期限が切れようとしているときに更新できます。

更新機能は、使用率が低い時間帯に使用することを目的としています。 Neurons は、証明書を更新すると、すぐにその使用を開始します。 これにより、IdP が更新されて新しい証明書が予期されるまで、ID プロバイダで認証イベントが失敗します。 それに応じた計画をして、IdP ソフトウェアで調整された変更が行われるようにしてください。

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。
    [認証] ページが表示されます。

  2. [外部認証] セクションで、[アクション] > [証明書を更新] をクリックします。
    [証明書の更新] 画面が表示されます。

  3. [続行] をクリックします。
    [更新] タブが表示されます。

  4. [更新] タブでは、サービス プロバイダのメタデータと証明書をダウンロードできます。

    暗号化された証明書をダウンロードした後、検証前に新しい証明書が ID プロバイダ コンソールにアップロードされているようにしてください。

  5. [続行] をクリックして、[新しい証明書を検証する] ページに移動します。

  6. [証明書を検証] をクリックします。
    検証が自動的に行われます。 ログインが成功した場合は、確認画面が表示されます。

  7. [接続設定の検証] ページに戻り、ログインを確認するチェックボックスをオンにします。

  8. [続行] をクリックします。
    [新しい証明書を保存] ページが表示されます。

  9. [変更を保存] をクリックします。

(オプション) SP メタデータまたは証明書のダウンロード (Ivanti Neurons プラットフォーム)

問題またはエラーのために ADFS の外部認証設定をやり直す必要がある場合は、証明書または SP メタデータのいずれかが必要です。 これらは、以下のように、Ivanti Neurons のアクション ドロップダウンからダウンロードできます。

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。

    [認証] ページが表示されます。

  2. [外部認証] (SSO) セクションで、[アクション] をクリックします。 ドロップダウンから、以下をクリックできます。

    • SP メタデータをダウンロード: XML 形式の証明書とともにサービス プロバイダのメタデータをダウンロードするには、このオプションをクリックします。

    • 証明書のみをダウンロード: 証明書 (.pem 形式) のみをダウンロードするには、このオプションを選択します。

    SP メタデータ ファイルには、おそらく最後に保存されたバージョンのプロバイダ構成設定が含まれていて、証明書はおそらく最後のアクティブな証明書です。

(任意) 認証方法の削除 (Ivanti Neurons プラットフォーム)

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。

    [認証] ページが表示されます。

  2. [外部認証] (SSO) セクションで、[アクション] > [認証方法の削除] をクリックします。

    [外部認証の削除] 画面が表示されます。

  3. [サインアウトして再認証] をクリックします。

    Ivanti Neurons からサインアウトされます。

  4. [メール アドレスとパスワードでサインイン] をクリックします。

  5. 認証資格情報を入力し、[サインイン] をクリックします。

  6. [管理] > [認証] > [外部認証] に移動し、[アクション] > [認証方法の削除] をクリックします。

    [外部認証の削除] 画面が表示されます。

  7. [認証方法の削除] をクリックします。

    これで既存の認証方法が削除されました。