• 使用を開始する
  • 関連ドキュメント

Microsoft Active Directory Federation Services SSO を構成する

Active Directory Federation Services is a standards-based service that allows the secure sharing of identity information between trusted business partners. Opsgenie supports single sign on with AD FS which means your organization can easily incorporate Opsgenie into your application base in AD FS, control which users have access to your Opsgenie account and let your users securely access Opsgenie.

For general information about Opsgenie's Single Sign-On feature, refer to the Single Sign-On with Opsgenie document. This document describes the specific instructions you can use to integrate your AD FS with Opsgenie SSO.

Active Directory フェデレーション サービスと Opsgenie の各アカウント間のシングル サインオン統合を設定するには、Opsgenie SSO ページに移動してプロバイダーとして「Microsoft ADFS」を選択し、以下の指示に従います。

Microsoft Active Directory フェデレーション サービス統合の設定

This guide was prepared using Windows Server 2012 R2 standard; however, other recent versions should also work.

パート 1: 証明書利用者の信頼を追加する

  • AD FS 管理ツールを開きます。左ペインから [Trust Relationships (信頼関係)] を展開して [Relying Party Trusts (証明書利用者の信頼)] を選択し、右ペインから [Add Relying Party Trust (証明書利用者の信頼の追加)] をクリックします。証明書利用者の信頼の追加ウィザードが開きます。

AD FS 管理ツール

  • [ようこそ] ステップの [スタート] ボタンをクリックします。

  • 表示名を指定して [次へ] をクリックします。*

  • [Choose Profile (プロファイルの選択)] ステップで [AD FS Profile (AD FS プロファイル)] を選択して、[次へ] をクリックします。

  • トークンを暗号化しないため、[Configure Certificate (証明書の設定)] ステップは初期設定のままにします。[次へ] をクリックします。

  • [Enable support for the SAML 2.0 WebSSO protocol (SAML 2.0 WebSSO プロトコルのサポートを有効化)] を選択します。Opsgenie UI の SSO 設定ページに切り替えて、SAML 2.0 Service URLの値をコピーします。AD FS ウィザードの [証明書利用者 SAML 2.0] フィールドに、この URL を貼り付けます。[次へ] をクリックします。

証明書利用者の SAML 2.0

  • Opsgenie UI の SSO 設定ページに切り替えて、識別子の値をコピーします。AD FS ウィザードの [Relying party trust identifier (証明書利用者信頼識別子)] フィールドにこの値を貼り付けて、[追加]、[次へ] の順にクリックします。

SSO 設定ページ

  • 返信者の信頼 ID はこれとは異なる可能性があります。Opsgenie アカウントの設定ページの ID を使用してください。

返信者の信頼 ID

  • [I do not want to configure multi-factor authentication settings for this relying party trust at this time (この証明書利用者の信頼の多要素認証設定を現時点では構成しない)] を選択します。[次へ] をクリックします。

  • [Permit all users to access this relying party (すべてのユーザーにこの証明書利用者へのアクセスを許可する)] をオンにして、[次へ] をクリックします。

[Ready to Add Trust (信頼を追加する準備完了)] ステップの設定を確認して、[次へ] をクリックします。

信頼を追加する準備完了

  • [閉じる] をクリックしてウィザードを完了します。

パート 2: セキュア ハッシュ アルゴリズムの更新

  • 最近追加した証明書利用者の信頼を右クリックして、[プロパティ] をクリックします。

プロパティ

  • [詳細設定] タブに切り替えます。[Secure hash algorithm (セキュア ハッシュ アルゴリズム)] からドロップダウン リストを展開して、[SHA-1] を選択します。[適用]、[OK] の順にクリックします。

セキュア ハッシュ アルゴリズム

3. 証明書利用者の信頼の要求ルールを編集する

  • 最近追加した証明書利用者の信頼を右クリックして、*[クレーム ルールを編集する] をクリックします。

要求ルールを編集する

  • *[ルールの追加] をクリックします。

  • [Send LDAP Attributes as Claims (LDAP 属性を要求として送信)] を要求ルール テンプレートとして選択し、[次へ] をクリックします。

  • [Claim rule name] に名前を入力して、属性ストアとして Active Directory を選択します。LDAP マッピング セクションで、LDAP 属性として [メール アドレス] を選択して、ドロップダウン リストから [Outgoing Claim Type (送信要求の種類)] として [メール アドレス] を選択します。[完了] をクリックします。

変換要求ルールの追加ウィザード

  • [Add Rule (ルールを追加)] をもう一度クリックします。

  • [Transform an Incoming Claim (受信要求を変換)] を選択して [次へ] をクリックします。*

  • [Claim rule name (ルール名を請求)] に名前を入力します。ドロップダウン リストから、[Incoming claim type (受信要求タイプ)] として [メール アドレス] を、[Outgoing claim type (発信要求タイプ)] として [名前 ID] を、[Outgoing name ID format (発信名前 ID 形式)] として [メール] を選択します。[Pass through all claim values (すべての要求値を通過)] が選択されていることを確認します。[Finish (完了)] をクリックします。

変換要求ルールの追加ウィザード

  • [適用]、[OK] の順にクリックします。

要求ルールを編集する

パート 4: 証明書のエクスポート

  • 左側のウィンドウで [AD FS] > [サービス] > [証明書] の順に選択します。[Token-signing] セクションの下の証明書を右クリックして、[View Certificate] をクリックします。

証明書を表示

  • [詳細] タブに切り替えて [Copy to File... (ファイルにコピー...)] をクリックします。

  • 証明書のエクスポート ウィザードが開きます。[次へ] をクリックします。

  • DER エンコード バイナリ X.509 (.CER) を形式として選択して、[次へ] をクリックします。

  • エクスポート先を選択して [次へ] をクリックします。

  • エクスポートが成功した場合は、[完了]、[OK] の順にクリックします。

証明書エクスポート ウィザード

The exported certificate is in DER format, however we need the certificate in PEM format. To perform this conversion, you can use SSL Shopper or Open SSL. SSL Shopper is used in this guide. Open SSL Shopper and click SSL Converter - Convert SSL Certificates to different formats.

SSL Shopper

  • 最近エクスポートした証明書ファイルを選択します。現在のタイプとして [DER/Binary] を、変換先のタイプとして [Standard PEM] を選択します。*[Convert Certificate (証明書を変換)] をクリックします。

証明書を変換する

Open SSL を使用して証明書の種類を変換する場合は、次のコマンドを使用できます。

シェル

openssl x509 -inform der -in certificate_in_name.cer -out certificate_out_name.pem

  • 変換された証明書がダウンロードされたら、テキスト エディタ (メモ帳、テキスト エディタなど) で証明書を開きます。ファイルの内容をコピーします。

テキスト エディタを使用した証明書

  • Opsgenie の SSO 設定ページに戻って、証明書の内容を [X.509 証明書] フィールドに貼り付けます。

  • SAML 2.0 フェデレーション エンドポイント (ログイン URL) を [SAML 2.0 エンドポイント] フィールドに貼り付けます。ログイン URL は通常、ADFS サービスの URL で /adfs/ls/ サフィックスがあります。[Apply SSO Settings (SSO 設定を適用)] をクリックします。

SSO 設定ページ

  • これで、AD FS 内のユーザーはディレクトリ資格情報を使用して SSO 経由で Opsgenie にログインできます。

Opsgenie と Active Directory フェデレーション サービスの両方で、ユーザーのメール アドレスがまったく同じであることを確認します。

さらにヘルプが必要ですか?

アトラシアン コミュニティをご利用ください。
コミュニティに質問
このページの内容Microsoft Active Directory フェデレーション サービス統合の設定パート 1: 証明書利用者の信頼を追加するパート 2: セキュア ハッシュ アルゴリズムの更新3. 証明書利用者の信頼の要求ルールを編集するパート 4: 証明書のエクスポート
コミュニティ質問、ディスカッション、記事