Microsoft Active Directory Federation Services SSO を構成する

Active Directory フェデレーション サービスは、信頼できるビジネス パートナー間で ID 情報を安全に共有できる標準ベース サービスです。Opsgenie は AD FS によるシングル サインオンをサポートしています。つまり、組織は AD FS のアプリケーション ベースに Opsgenie を簡単に組み込み、Opsgenie アカウントにアクセスできるユーザーを制御してユーザーが Opsgenie に安全にアクセスできるようにできます。

Opsgenie のシングル サインオン機能に関する一般的な情報については、Opsgenie によるシングル サインオンのドキュメントをご参照ください。このドキュメントでは、AD FS を Opsgenie SSO と統合するために使用できる具体的な手順について説明します。

Active Directory フェデレーション サービスと Opsgenie の各アカウント間のシングル サインオン統合を設定するには、Opsgenie SSO ページに移動してプロバイダーとして「Microsoft ADFS」を選択し、以下の指示に従います。

Microsoft Active Directory フェデレーション サービス統合の設定

パート 1: 証明書利用者の信頼を追加する

• AD FS 管理ツールを開きます。左ペインから [Trust Relationships (信頼関係)] を展開して [Relying Party Trusts (証明書利用者の信頼)] を選択し、右ペインから [Add Relying Party Trust (証明書利用者の信頼の追加)] をクリックします。証明書利用者の信頼の追加ウィザードが開きます。

• [ようこそ] ステップの [スタート] ボタンをクリックします。

• 表示名を指定して [次へ] をクリックします。*

• [Choose Profile (プロファイルの選択)] ステップで [AD FS Profile (AD FS プロファイル)] を選択して、[次へ] をクリックします。

• トークンを暗号化しないため、[Configure Certificate (証明書の設定)] ステップはデフォルトのままにします。[次へ] をクリックします。

• [Enable support for the SAML 2.0 WebSSO protocol (SAML 2.0 WebSSO プロトコルのサポートを有効化)] を選択します。Opsgenie UI の SSO 設定ページに切り替えて、SAML 2.0 Service URLの値をコピーします。AD FS ウィザードの [証明書利用者 SAML 2.0] フィールドに、この URL を貼り付けます。[次へ] をクリックします。

• Opsgenie UI の SSO 設定ページに切り替えて、識別子の値をコピーします。AD FS ウィザードの [Relying party trust identifier (証明書利用者信頼識別子)] フィールドにこの値を貼り付けて、[追加]、[次へ] の順にクリックします。

• 返信者の信頼 ID はこれとは異なる可能性があります。Opsgenie アカウントの設定ページで ID を使用してください。

• [I do not want to configure multi-factor authentication settings for this relying party trust at this time (この証明書利用者の信頼の多要素認証設定を現時点では構成しない)] を選択します。[次へ] をクリックします。

• [Permit all users to access this relying party (すべてのユーザーにこの証明書利用者へのアクセスを許可する)] をオンにして、[次へ] をクリックします。

[Ready to Add Trust (信頼を追加する準備完了)] ステップの設定を確認して、[次へ] をクリックします。

• [閉じる] をクリックしてウィザードを完了します。

パート 2: セキュア ハッシュ アルゴリズムの更新

• 最近追加した証明書利用者の信頼を右クリックして、[プロパティ] をクリックします。

• [詳細設定] タブに切り替えます。[Secure hash algorithm (セキュア ハッシュ アルゴリズム)] からドロップダウン リストを展開して、[SHA-1] を選択します。[適用]、[OK] の順にクリックします。

3. 証明書利用者の信頼の要求ルールを編集する

• 最近追加した証明書利用者の信頼を右クリックして、*[クレーム ルールを編集する] をクリックします。

• *[ルールの追加] をクリックします。

• [Send LDAP Attributes as Claims (LDAP 属性を要求として送信)] を要求ルール テンプレートとして選択し、[次へ] をクリックします。

• [Claim rule name] に名前を入力して、属性ストアとして Active Directory を選択します。LDAP マッピング セクションで、LDAP 属性として [メール アドレス] を選択して、ドロップダウン リストから [Outgoing Claim Type (送信要求の種類)] として [メール アドレス] を選択します。[Finish (完了)] をクリックします。

• [Add Rule (ルールを追加)] をもう一度クリックします。

• [Transform an Incoming Claim (受信要求を変換)] を選択して [次へ] をクリックします。*

• [Claim rule name (ルール名を請求)] に名前を入力します。ドロップダウン リストから、[Incoming claim type (受信要求タイプ)] として [メール アドレス] を、[Outgoing claim type (発信要求タイプ)] として [名前 ID] を、[Outgoing name ID format (発信名前 ID 形式)] として [メール] を選択します。[Pass through all claim values (すべての要求値を通過)] が選択されていることを確認します。[Finish (完了)] をクリックします。

• [適用]、[OK] の順にクリックします。

パート 4: 証明書のエクスポート

• 左側のウィンドウで [AD FS] > [サービス] > [証明書] の順に選択します。[Token-signing] セクションの下の証明書を右クリックして、[View Certificate] をクリックします。
  

• [詳細] タブに切り替えて [Copy to File... (ファイルにコピー...)] をクリックします。

• 証明書のエクスポート ウィザードが開きます。[次へ] をクリックします。

• DER エンコード バイナリ X.509 (.CER) を形式として選択して、[次へ] をクリックします。

• エクスポート先を選択して [次へ] をクリックします。

• エクスポートが成功した場合は、[完了]、[OK] の順にクリックします。

エクスポートされた証明書は DER 形式ですが、PEM 形式の証明書が必要です。SSL Shopper または Open SSL を使用して、この変換を実行できます。このガイドでは、SSL Shopper を使用しています。SSL Shopper を開いて、[SSL Converter - Convert SSL Certificates to different formats (SSL Converter - SSL 証明書を別の形式に変換する)] をクリックします。

• 最近エクスポートした証明書ファイルを選択します。現在のタイプとして [DER/Binary] を、変換先のタイプとして [Standard PEM] を選択します。*[Convert Certificate (証明書を変換)] をクリックします。

シェル

• 変換された証明書がダウンロードされたら、テキスト エディタ (メモ帳、テキスト エディタなど) で証明書を開きます。ファイルの内容をコピーします。

• Opsgenie の SSO 設定ページに戻って、証明書の内容を [X.509 証明書] フィールドに貼り付けます。

• SAML 2.0 フェデレーション エンドポイント (ログイン URL) を [SAML 2.0 エンドポイント] フィールドに貼り付けます。ログイン URL は通常、ADFS サービスの URL で /adfs/ls/ サフィックスがあります。[Apply SSO Settings (SSO 設定を適用)] をクリックします。

• これで、AD FS 内のユーザーはディレクトリ資格情報を使用して SSO 経由で Opsgenie にログインできます。