使用事例TotalAgility Designer での認証プロバイダの設定

TotalAgility Designer での認証プロバイダの設定

TotalAgility Designer で、SAML 標準をサポートするフェデレーション セキュリティ認証プロバイダを設定します。

  1. TotalAgility Designer で、[システム] > [追加設定] > [ログオンおよび認証] > [フェデレーション セキュリティ] に移動します。

    Designer のシステム設定

    [フェデレーション セキュリティ] ダイアログ ボックスが表示されます。

    [フェデレーション セキュリティ] ダイアログ ボックス
  2. 新しいプロバイダを追加するには、[追加] アイコン をクリックします。
  3. 次のタブを使用して、認証プロバイダの設定を構成します。
  4. [保存] をクリックします。
    認証プロバイダが TotalAgility に追加され、[フェデレーション セキュリティ] ダイアログ ボックスが表示されます。

認証プロバイダを TotalAgility に追加した後に、フェデレーション セキュリティを有効にする必要があります。

全般

[全般] タブを使用して一般設定を構成します。

設定 説明

名前

任意のテキストを使用して認証プロバイダの名前を入力します。

エンドポイント タイプ

エンドポイント タイプとして [SAML] を選択します。

エンドポイント タイプは、プロバイダがサポートするフェデレーション認証のタイプに基づいて選択します。

エンドポイント URL

認証プロバイダのエンドポイント URL を入力します。

バインド タイプ

このプロバイダの認証バインド タイプを HTTP リダイレクトとして指定します。

認証バインド タイプは、プロバイダがサポートするバインド タイプによって異なります。

認証コンテキスト

ID プロバイダによるユーザーの認証方法を選択します。

リライング パーティ

空白のままにしておきます。

発行元

認証プロバイダの発行元の URL を入力します。

この URL はプロバイダによって定義されます。

サイン アウト URL

空白のままにしておきます。

ログアウト

TotalAgility

アクティブ

選択済み

リレー状態のみ

未選択のままにしておきます。

この設定は、SAML エンドポイント タイプでのみ使用できます。
認証プロバイダの追加 - 一般設定

応答の検証

[応答の検証] タブを使用して、認証プロバイダの応答の検証を設定します。

TotalAgility は、プロバイダからの署名付き認証応答を検証して、信頼できることを確認する必要があります。したがって、認証プロバイダから取得した証明書の拇印を追加する必要があります。「TotalAgility のドキュメント」ページにある「はじめに」セクションを展開すると、この目的のために用意されたサンプルの証明書 (Cert.txt) を取得できます。

証明書が、認証プロバイダによって提供されたものと一致していることを確認してください。

認証プロバイダからの応答を検証するために、最大 3 つの証明書の拇印を指定できます。複数の証明書は、断続的な更新が発生する、証明書のローリングを使用するプロバイダに役立ちます。

  1. Cert.txt をコンピュータにダウンロードします。

  2. Cert.txt をメモ帳で開きます。

  3. 内容全体をコピーし、[Certificate1] ボックスに貼り付けます。

認証プロバイダの追加 - 応答の検証

ユーザー クレーム マッピング

[ユーザー クレーム マッピング] タブを使用して、認証プロバイダから返されたセキュリティ トークン クレームから TotalAgility のユーザー設定へのマッピングを指定します。

設定 説明

次に一致

ユーザー名または電子メール アドレスに基づいて、ユーザーが TotalAgility で一致するかどうかを示します。これは、認証プロバイダによるログオンに成功した後に、ユーザーが TotalAgility にすでに存在するかどうかを判断するために使用します。

  1. [ユーザー名] を選択します。

ユーザー名

ユーザー名がセキュリティ トークン クレームからのものであるか、最初のログオン時に手動で入力されたものであるかを示します。これは、最初のログオン時にユーザーを TotalAgility に自動的に追加するときに使用します。

[次に一致] が [ユーザー名] に設定されている場合は、ユーザー名をクレーム タイプにマッピングする必要があります (ログオン時に入力することはできません)。マッピングされたクレーム タイプの値は、認証プロバイダ内のそのユーザーに対して一意である必要があります。

  1. [セキュリティ トークンから] を選択します。

  2. ユーザー名のセキュリティ トークン名として User.Username と入力します。

名前

名前がセキュリティ トークン クレームからのものであるか、最初のログオン時に手動で入力されたものであるかを示します。これは、最初のログオン時にユーザーを TotalAgility に自動的に追加するときに使用します。

  1. [セキュリティ トークンから] を選択します。

  2. 名前のセキュリティ トークン名として User.FirstName と入力します。

電子メール アドレス

電子メール アドレスがセキュリティ トークン クレームからのものであるか、最初のログオン時に手動で入力されたものであるかを示します。これは、最初のログオン時にユーザーを TotalAgility に自動的に追加するときに使用します。

[次に一致] が [電子メール アドレス] に設定されている場合は、電子メール アドレスをクレーム タイプにマッピングする必要があります (ログオン時に入力することはできません)。

  1. [セキュリティ トークンから] を選択します。

  2. 電子メール アドレスのセキュリティ トークン名として User.email と入力します。
認証プロバイダの追加 - ユーザー クレーム マッピング

ユーザー クレーム ルール

[ユーザー クレーム ルール] タブを使用して、ユーザー クレーム ルールを設定します。

初回ログオン時に認証プロバイダによる認証に成功した後に、TotalAgility で作成済みの、対応するユーザーのカテゴリ、作業カテゴリ、および作業グループを選択します。

この場合、各ユーザーはデフォルトのカテゴリとデフォルトの作業カテゴリに割り当てられ、「Users (ユーザー)」グループに追加されます。認証プロバイダの追加 - ユーザー クレーム ルール

ユーザー クレームのカスタム ルールの設定

一連のカスタム ルールを定義して、初回ログオン時に認証プロバイダによる認証に成功した後にユーザーが追加される TotalAgility のワーカー グループをさらに指定することができます。

必要に応じて、これらのルールを使用して、カテゴリ、作業カテゴリ、および作業グループをデフォルトのユーザー クレーム設定以外の値に設定できます。

複数のクレーム値に基づいて、TotalAgility でユーザーが追加されるすべての作業グループを指定できます。

また、TotalAgility は、同じクレーム タイプを複数回指定して、毎回異なる値を確認することができる複数値クレームもサポートしています。

カスタム クレーム ルールを追加するには、[ユーザー クレーム ルール] タブで、[カスタム ユーザー ルールの使用] を選択します。

最初のルールの追加

  1. [カスタム ユーザー ルール] の下の をクリックします。

    [カスタム ユーザー ルールの追加] ダイアログ ボックスが表示されます。

  2. 「Domain Admins (ドメイン管理者)」のクレーム値を持つユーザーにタイプ http://schemas.xmlsoap.org/claims/Groups のクレームがある場合は、以下に示すようにこのユーザーを TotalAgility の「Administrators (管理者)」作業グループに追加します (ユーザーが存在しない場合)。

    「Administrators (管理者)」ワーカー グループへのカスタム ルールの追加

  3. [保存] をクリックします。

2 番目のルールの追加

  1. [カスタム ユーザー ルール] の下の をクリックします。

    [カスタム ユーザー ルールの追加] ダイアログ ボックスが表示されます。

  2. 「Contributors (コントリビューター)」のクレーム値を持つユーザーにタイプ http://schemas.xmlsoap.org/claims/Groups のクレームがある場合は、以下に示すようにこのユーザーを TotalAgility の「Designers (設計者)」作業グループに追加します (ユーザーが存在しない場合)。

    「Designers (設計者)」グループへのカスタム ユーザー ルールの追加

  3. [保存] をクリックします。

3 番目のルールの追加

  1. [カスタム ユーザー ルール] の下の をクリックします。

    [カスタム ユーザー ルールの追加] ダイアログ ボックスが表示されます。

  2. 「Marketing Team (マーケティング チーム)」のクレーム値を持つユーザーにタイプ http://schemas.xmlsoap.org/claims/Groups のクレームがある場合は、このユーザーを TotalAgility の「Marketing (マーケティング)」作業グループに追加します (ユーザーが存在しない場合)。

    「Marketing (マーケティング)」グループへのカスタム ユーザー ルールの追加

  3. [保存] をクリックします。

4 番目のルールの追加

  1. [カスタム ユーザー ルール] の下の をクリックします。

    [カスタム ユーザー ルールの追加] ダイアログ ボックスが表示されます。

  2. 「Sales Team (販売チーム)」のクレーム値を持つユーザーにタイプ http://schemas.xmlsoap.org/claims/Groups のクレームがある場合は、以下に示すようにこのユーザーを TotalAgility の「Sales (販売)」作業グループに追加します (ユーザーが存在しない場合)。

    「Sales (販売)」グループへのカスタム ユーザー ルールの追加

  3. [保存] をクリックします。

署名設定

[署名設定] タブで、認証プロバイダに対して、TotalAgility の認証要求に署名するための証明書を指定します。この設定は、認証プロバイダのセキュリティ要件に依存します。認証プロバイダ - 署名設定

認証要求に署名するための証明書は TotalAgility によって発行される必要があるため、この使用事例ではこの設定をスキップします。