システムシステム設定ログオンおよび認証フェデレーション セキュリティフェデレーション セキュリティの構成

フェデレーション セキュリティの構成

認証プロバイダの追加、ユーザー クレーム ルールの構成、および証明書で署名された ID プロバイダへの SAML リクエストの指定を行って、フェデレーション セキュリティを構成します。

  1. [システム] > [システム設定] > [ログオンおよび認証] > [フェデレーション セキュリティ] に移動します。
    [フェデレーション セキュリティ] ダイアログ ボックスが表示されます。
  2. フェデレーション セキュリティはデフォルトでオフになっています。アクティブな認証プロバイダが構成されている場合にのみ、[フェデレーション セキュリティの使用] を有効にできます。

    フェデレーション セキュリティをオンにする場合は、Windows 認証をオフにします。この操作を行うには、構成ユーティリティを実行して設定を変更します。詳細については、『Kofax TotalAgility 構成ユーティリティ ガイド』を参照してください。

  3. 認証プロバイダを構成するには、 をクリックします。

    [認証プロバイダの追加] ダイアログ ボックスが表示されます。

  4. [全般] タブで次のように設定を構成します。
    1. 認証プロバイダの表示 [名前] を入力します。
    2. [エンドポイント タイプ] リストで、エンドポイント タイプを選択して、エンド ポイントで [WS フェデレーション] または [SAML] をサポートするかどうかを指定します。(デフォルト: WS フェデレーション)
    3. [エンドポイント URL] リストで、プロバイダの WS フェデレーションまたは SAML エンドポイントの URL を指定します。
    4. [バインド タイプ] リストで、次の認証要求のタイプを選択します。
      • [HTTP - リダイレクト] (デフォルト): SAML リクエストは、http リクエストのクエリ文字列パラメータとして送信されます。
      • [HTTP - Post]: SAML リクエストは http リクエストの本文で送信され、署名が埋め込まれます。
      バインド タイプと認証コンテキストの設定は、[エンドポイント タイプ][SAML] の場合にのみ使用できます。
    5. [認証コンテキスト] リストから、[パスワードで保護された転送] など、使用する認証コンテキストを選択します。(デフォルト: いずれか)
    6. この項目は任意です。[リライング パーティ] の URL を指定します。

      フェデレーション セキュリティ プロバイダでリライング パーティ ID または APP ID URI をhttps://<servername>/TotalAgility/ として提供する場合、TotalAgility でフェデレーション セキュリティを構成する際に、リライング パーティの URL を指定する必要はありません。フェデレーション セキュリティ プロバイダで別のリライング パーティ ID を提供する場合、フェデレーション セキュリティ プロバイダで提供される ID が TotalAgility で指定されたリライング パーティ URL と一致する必要があります。リライング パーティ ID は ADFS 用、APP ID の URI は Azure AD 用です。

    7. プロバイダの [発行元] ID を指定します。

      実行時に、この ID は、TotalAgility に渡されるクレームが正しいプロバイダからのものであることを確認するために役立ちます。

    8. [サイン アウト URL] を指定します。

      プロバイダからログオフすると、指定した URL が開きます。

    9. いずれかの設定を選択して、次のように [ログアウト] オプションを指定します。

      • [TotalAgility およびプロバイダ]: プロバイダと同時に、TotalAgility からもログアウトします。

      • [TotalAgility] (デフォルト): TotalAgility からログアウトします。

    10. 認証プロバイダがアクティブであることを指定するには、[アクティブ] を選択します。(デフォルト: クリア)
  5. 応答署名検証証明書を提供するには、次の操作を行います。
    1. [応答の検証] タブをクリックします。
    2. [証明書1][証明書2]、および [証明書3] フィールドに、プロバイダの 3 つの異なる公開鍵を入力します。
      少なくとも 1 つの証明書を提供する必要があります。
      実行時には、3 つの証明書すべてを使用して、渡されたクレームが正しいプロバイダからのものであることを確認します。1 つ以上の証明書の確認に成功した場合、応答は有効と見なされます。
  6. 認証プロバイダを使用してログオンする場合に既存のユーザーを TotalAgility でどのように検索するかを指定するには、次の手順を実行します。
    1. [ユーザー クレーム マッピング] タブをクリックします。

      ユーザーが TotalAgility に存在しない場合、ユーザー クレーム マッピングが適用されます。

    2. ユーザーをユーザー名 (デフォルト) または電子メールに一致させます。[次に一致] に以下のいずれかのオプションを選択します。

      [ユーザー名]

      1. デフォルトでは、[ユーザー名][セキュリティ トークンから] 取得されます。

      2. [名前][電子メール アドレス] に対して、[ログイン時に入力] を選択して実行時に手動で名前を入力するか、[セキュリティ トークンから] をクリックして、セキュリティ トークンから名前を取得します。

      [電子メール]

      1. [ユーザー名][名前] に対して、[ログイン時に入力] を選択して実行時に手動で名前を入力するか、[セキュリティ トークンから] をクリックして、セキュリティ トークンから名前を取得します。

      2. [電子メール アドレス][セキュリティ トークンから] (デフォルト) 取得されます。

    3. [保存] をクリックします。
  7. プロバイダで正常に認証された後に新しいユーザーが追加される TotalAgility のカテゴリとグループを指定する一連のルールを定義するには、[ユーザー クレーム ルール] タブをクリックし、[デフォルトのユーザー クレーム][カスタム ユーザー ルール] を構成します。
    クレームまたはユーザー クレーム ルールを変更すると、TotalAgility でリソースの作業グループとグループ メンバーシップが自動的に更新されます。
    1. [カテゴリ][作業カテゴリ] を選択します。
    2. この項目は任意です。[作業グループ] を選択します。
    3. [カスタム ユーザー ルールの使用] を選択し、ルールを定義します。

      1. をクリックします。

        [カスタム ユーザー ルールの追加] ダイアログ ボックスが表示されます。

      2. クレームのルールの [名前] を入力します。

      3. [クレーム タイプ][クレーム値] を指定します。

      4. カスタム ルールを満たす場合にユーザーが追加されるカテゴリを指定するには、[カテゴリ] を選択します。

      5. カスタム ルールを満たす場合にユーザーが追加される [作業カテゴリ] を指定するには、カテゴリを選択します。

      6. カスタム ルールを満たす場合にユーザーが追加される [作業グループ] を指定するには、グループを選択します。

        カスタム ユーザー ルールの前述のオプション設定から少なくとも 1 つを指定します。

      7. この項目は任意です。カスタム ルールを満たす場合にユーザーが追加されるリソース グループを追加するには、[グループ][追加] をクリックします。

        [関連グループの追加] ダイアログ ボックスが表示されます。

      8. 追加が必要なグループを選択し、[完了] をクリックします。

        [カスタム ユーザー ルールの追加] ダイアログ ボックスが表示されます。

        カスタム ユーザー ルールは、デフォルトのユーザー クレーム ルールよりも優先されます。

      9. [保存] をクリックします。

        ルールが、ルール名とクレーム タイプの詳細とともにテーブルに表示されます。カスタム ルールは変更または削除できます。

  8. 証明書で署名された ID プロバイダへの SAML 要求を構成および指定するには、次の手順を実行します。
    1. [署名設定] タブをクリックします。
      このタブは、[エンドポイント タイプ][SAML] の場合にのみ使用できます。
    2. SAML 要求に署名するためにアップロードする証明書 (秘密キーを含む) を参照します。
    3. [パスワード] を入力して、証明書を復号化します。
    4. [アルゴリズム] リストで、署名に使用するアルゴリズム (RSA-SHA1 など) を選択します。
      署名アルゴリズムは、ID プロバイダに構成されているアルゴリズムと一致する必要があります。
    5. [保存] をクリックします。
      SAML リクエストが署名されます。
  9. [保存] をクリックします。
  10. [フェデレーション セキュリティの使用] を選択します。
    Azure テナントでフェデレーション セキュリティが使用されており、統合サーバーに接続されている場合、統合サーバーも同じセキュリティ設定を使用します。新しい Azure テナントの構成設定を有効にするには、統合サーバーで TotalAgility アプリケーション プールを再起動する必要があります。
  11. [閉じる] をクリックします。

フェデレーション セキュリティを使用した TotalAgility Designer の起動

認証プロバイダが追加され、フェデレーション セキュリティが有効になると、TotalAgility Designer へのログオン時に、ユーザーは構成済みの認証プロバイダ URL にリダイレクトされます。

複数の認証プロバイダが構成されている場合、ユーザーはその 1 つを選択でき、認証プロバイダ ログオン ページが開きます。

ユーザーがプロバイダに認証されると、ユーザーは TotalAgility にログオンします。

  • ユーザーが TotalAgility に存在し、クレーム マッピングを使用する TotalAgility ユーザーと一致する場合、ユーザーは TotalAgility にログオンします。

  • ユーザーが TotalAgility に存在しない場合、ユーザーはユーザー クレーム ルールに基づいて追加され、TotalAgility にログオンします。

回復モードでの TotalAgility Designer の起動

フェデレーション セキュリティが正しく構成されていない場合は、TotalAgility Designer を回復モードで起動して、フェデレーション セキュリティ構成を変更します。

  1. 次の URL を使用します: http://[サーバー名]/TotalAgility/Designer/#/logon/recovery
  2. 回復モードのセッション IDを指定して、検証をクリックします。

    回復モードのセッション ID は、次の設定から Web.config に保存されます。

    <add key= "RecoveryModeSessionId" value= <回復モードのセッション ID>/>
    回復モードのセッション ID は一意です。インストールごとに、Web.config の値は新しい ID で更新されます。
  3. 有効なユーザー名パスワードを入力し、ログインをクリックします。

    構成を更新するには、サーバーに対する読み取り/書き込みまたはフル コントロールのアクセス許可が必要です。「アクセス制御リスト」を参照してください。