システム追加設定ログオンおよび認証フェデレーション セキュリティフェデレーション セキュリティの構成

フェデレーション セキュリティの構成

認証プロバイダの追加、ユーザー クレーム ルールの構成、および証明書で署名された ID プロバイダへの SAML リクエストの指定を行って、フェデレーション セキュリティを構成します。

  1. [システム] > [追加設定] > [ログオンおよび認証] > [フェデレーション セキュリティ] に移動します。
    [フェデレーション セキュリティ] ダイアログ ボックスが表示されます。
  2. フェデレーション セキュリティはデフォルトでオフになっています。アクティブな認証プロバイダが構成されている場合にのみ、[フェデレーション セキュリティの使用] を有効にできます。

    フェデレーション セキュリティをオンにする場合は、Windows 認証をオフにします。この操作を行うには、構成ユーティリティを実行して設定を変更します。詳細については、『Tungsten TotalAgility 構成ユーティリティ ガイド』を参照してください。

  3. 認証プロバイダを構成するには、 をクリックします。

    [認証プロバイダの追加] ダイアログ ボックスが表示されます。

  4. [全般] タブで次のように設定を構成します。
    1. 認証プロバイダの表示 [名前] を入力します。
    2. [エンドポイント タイプ] リストで、エンドポイント タイプを選択して、エンド ポイントで [WS フェデレーション] または [SAML] をサポートするかどうかを指定します。(デフォルト: WS フェデレーション)
    3. [エンドポイント URL] リストで、プロバイダの WS フェデレーションまたは SAML エンドポイントの URL を指定します。
    4. [バインド タイプ] リストで、次の認証要求のタイプを選択します。
      • [HTTP - リダイレクト] (デフォルト): SAML リクエストは、HTTP リクエストのクエリ文字列パラメータとして送信されます。
      • [HTTP - Post]: SAML リクエストは HTTP リクエストの本文で送信され、署名が埋め込まれます。
      バインド タイプと認証コンテキストの設定は、[エンドポイント タイプ][SAML] の場合にのみ使用できます。
    5. [認証コンテキスト] リストから、[パスワードで保護された転送] など、使用する認証コンテキストを選択します。(デフォルト: いずれか)
    6. この項目は任意です。[リライング パーティ] の URL を指定します。

      フェデレーション セキュリティ プロバイダで証明書利用者 ID を TotalAgility オンプレミス/オンプレミス マルチテナント環境に対して https://<servername>/TotalAgility/ と指定し、TotalAgility Azure に対して https://<servername>// と指定した場合は、TotalAgility でフェデレーション セキュリティを構成するときに証明書利用者の URL を指定する必要はありません。フェデレーション セキュリティ プロバイダで別の証明書利用者 ID を指定した場合は、フェデレーション セキュリティ プロバイダで提供された識別子が TotalAgilityで指定した証明書利用者 URL と一致している必要があります。証明書利用者識別子は ADFS (Active Directory Federation Services) 用で、APP ID URI は Azure Active Directory 用です。TotalAgility Azure で証明書利用者識別子を指定していない場合は、APP ID URI を指定する必要があります。

    7. プロバイダの [発行元] ID を指定します。

      実行時に、この ID は、TotalAgility に渡されるクレームが正しいプロバイダからのものであることを確認するために役立ちます。

    8. [サイン アウト URL] を指定します。

      プロバイダからログオフすると、指定した URL が開きます。

    9. いずれかの設定を選択して、次のように [ログアウト] オプションを指定します。

      • [TotalAgility およびプロバイダ]: プロバイダおよび TotalAgility からログアウトします。

      • [TotalAgility] (デフォルト): TotalAgility からログアウトします。

    10. 認証プロバイダがアクティブであることを指定するには、[アクティブ] を選択します。(デフォルト: クリア)
    11. リレー状態は、ID プロバイダとサービス プロバイダの間でメッセージの受け渡しが実行されるときに、状態を通信するために使用されます。

      • デフォルトでは、[TotalAgility] はクエリ文字列パラメータおよびリレー状態の使用を継続します (どちらが機能するかに依存します)。Assertion Consumer Service (ACS) URL のクエリ文字列パラメータに依存している場合は、ACS URL の完全一致を必要とするプロバイダで問題が発生する可能性があります。

      • プロバイダがリレー状態のみをサポートしている場合は、[リレー状態のみ] のチェック ボックスをオンにする必要があります。この場合、[TotalAgility] は ACS URL にクエリ文字列パラメータを含めず、リレー状態の設定のみに依存します。これは、アプリケーションとプロバイダの間でデータを中継する場合に推奨される方法です。

        「リレー状態のみ」オプションは、[エンドポイント タイプ] リストで「SAML」を選択した場合にのみ使用できます。

  5. 応答署名検証証明書を提供するには、次の操作を行います。
    1. [応答の検証] タブをクリックします。
    2. [Certificate1][Certificate2]、および [Certificate3] フィールドに、プロバイダの 3 つの異なる公開鍵を入力します。
      少なくとも 1 つの証明書を提供する必要があります。
      実行時に、3 つの証明書をすべて使用して、渡されたクレームが正しいプロバイダからのものであることを確認します。1 つ以上の証明書の確認に合格した場合、応答は有効と見なされます。
  6. 認証プロバイダを使用してログオンする場合に既存のユーザーを TotalAgility でどのように検索するかを指定するには、次の手順を実行します。
    1. [ユーザー クレーム マッピング] タブをクリックします。

      ユーザーが TotalAgility に存在しない場合、ユーザー クレーム マッピングが適用されます。

    2. ユーザーのユーザー名 (デフォルト) または電子メールを照合します。[次に一致] に以下のいずれかのオプションを選択します。

      [ユーザー名]

      1. デフォルトでは、ユーザー名はセキュリティ トークンから取得されます。

      2. [名前][電子メール アドレス] に対して、[ログイン時に入力] を選択して実行時に手動で名前を入力するか、[セキュリティ トークンから] をクリックして、セキュリティ トークンから名前を取得します。

      [電子メール]

      1. [ユーザー名][名前] に対して、[ログイン時に入力] をクリックして実行時に手動で名前を入力するか、[セキュリティ トークンから] をクリックして、セキュリティ トークンから名前を取得します。

      2. [電子メール アドレス] はセキュリティ トークンから取得されます (デフォルト)。

    3. [保存] をクリックします。
  7. プロバイダで正常に認証された後に新しいユーザーが追加される TotalAgility のカテゴリとグループを指定する一連のルールを定義するには、[ユーザー クレーム ルール] タブをクリックし、次の操作を実行します。
    クレームまたはユーザー クレーム ルールを変更すると、TotalAgility でリソースの作業グループとグループ メンバーシップが自動的に更新されます。
    1. [カテゴリ][作業カテゴリ] を選択します。
    2. この項目は任意です。[作業グループ] を選択します。
    3. [カスタム ユーザー ルールの使用] を選択し、ルールを定義します。

      1. をクリックします。

        [カスタム ユーザー ルールの追加] ダイアログ ボックスが表示されます。

      2. クレームのルールの [名前] を入力します。

      3. [クレーム タイプ][クレーム値] を指定します。

      4. カスタム ルールを満たす場合にユーザーが追加されるカテゴリを指定するには、[カテゴリ] を選択します。

      5. カスタム ルールを満たす場合にユーザーが追加される [作業カテゴリ] を指定するには、カテゴリを選択します。

      6. カスタム ルールを満たす場合にユーザーが追加される [作業グループ] を指定するには、グループを選択します。

        カスタム ユーザー ルールの前述のオプション設定から少なくとも 1 つを指定します。

      7. この項目は任意です。カスタム ルールを満たす場合にユーザーが追加されるリソース グループを追加するには、[グループ][追加] をクリックします。

        [関連グループの追加] ダイアログ ボックスが表示されます。

      8. 追加が必要なグループを選択し、[完了] をクリックします。

        [カスタム ユーザー ルールの追加] ダイアログ ボックスが表示されます。

        カスタム ユーザー ルールは、デフォルトのユーザー クレーム ルールよりも優先されます。

      9. [保存] をクリックします。

        ルールが、ルール名とクレーム タイプの詳細とともにテーブルに表示されます。カスタム ルールは変更または削除できます。

    4. [ログオン時にグループ メンバーシップを更新] 設定を使用すると、ユーザーが最後にログオンした後にこれらのユーザーのいずれかが変更された場合に、ユーザー クレームおよびユーザー クレーム ルールに基づいてユーザーのグループ メンバーシップを自動的に更新できます。

      この設定はデフォルトで選択されています。以前のバージョンからアップグレードすると、既存のフェデレーション セキュリティ プロバイダに対してこの設定はオフになります。

    5. [プロセス] リストで、初期化パラメータとして「ResourceId」文字列変数を使用して構成されたプロセスを選択します。または、[新しいプロセスの作成] ハイパーリンクをクリックして、新しいプロセスを作成します。新しく作成されたプロセスがビジネス プロセス リスト ページに表示され、プロセスに初期化パラメータとして「ResourceId」文字列変数が自動的に追加されます。

      フェデレーション セキュリティ ログオン中、実行時に TotalAgility リソースが自動的に追加されると、このプロセスに基づいてジョブが作成され、リソース ID が渡されます。

  8. 証明書で署名された ID プロバイダへの SAML 要求を構成および指定するには、次の手順を実行します。
    1. [署名設定] タブをクリックします。
      このタブは、[全般] タブの[エンドポイント タイプ] 設定が [SAML] の場合にのみ使用できます。
    2. SAML 要求に署名するためにアップロードする証明書 (秘密キーを含む) を参照します。
    3. [パスワード] を入力して、証明書を復号化します。
    4. [アルゴリズム] リストで、署名に使用するアルゴリズム (RSA-SHA1 など) を選択します。
      署名アルゴリズムは、ID プロバイダに構成されているアルゴリズムと一致する必要があります。
    5. [保存] をクリックします。
      SAML リクエストが署名されます。
  9. [保存] をクリックします。
  10. [フェデレーション セキュリティの使用] を選択します。
    Azure テナントでフェデレーション セキュリティが使用されており、統合サーバーに接続されている場合、統合サーバーも同じセキュリティ設定を使用します。新しい Azure テナントの構成設定を有効にするには、統合サーバーで TotalAgility アプリケーション プールを再起動する必要があります。
  11. [閉じる] をクリックします。

フェデレーション セキュリティを使用した TotalAgility Designer の起動

認証プロバイダが追加され、フェデレーション セキュリティが有効になると、TotalAgility Designer へのログオン時に、ユーザーは構成済みの認証プロバイダ URL にリダイレクトされます。

複数の認証プロバイダが構成されている場合、ユーザーはその 1 つを選択でき、認証プロバイダ ログオン ページが開きます。

ユーザーがプロバイダに認証されると、ユーザーは TotalAgility にログオンします。

  • ユーザーが TotalAgility に存在し、クレーム マッピングを使用する TotalAgility ユーザーと一致する場合、ユーザーは TotalAgility にログオンします。

  • ユーザーが TotalAgility に存在しない場合、ユーザーはユーザー クレーム ルールに基づいて追加され、TotalAgility にログオンします。

回復モードでの TotalAgility Designer の起動

フェデレーション セキュリティが正しく構成されていない場合は、TotalAgility Designer を回復モードで起動して、フェデレーション セキュリティ構成を変更します。

  1. 次の URL を使用します: http://[サーバー名]/TotalAgility/Designer/#/logon/recovery
  2. 回復モードのセッション IDを指定して、検証をクリックします。

    回復モードのセッション ID は一意であり、TotalAgility Designer の [システム設定] > [ユーザー セッション] に保存されます。

  3. 有効なユーザー名パスワードを入力し、ログインをクリックします。

    回復モードでログインするには、TotalAgility Designer のアクセス許可に加えて、設定のアクセス制御リストへの読み取り/書き込み、またはフル コントロールのアクセス許可が必要です。「TotalAgility のさまざまな領域へのアクセス許可の割り当て」を参照してください。