Microsoft Active Directory Federation Services SSO を構成する

Active Directory Federation Services is a standards-based service that allows the secure sharing of identity information between trusted business partners. Opsgenie supports single sign on with AD FS which means your organization can easily incorporate Opsgenie into your application base in AD FS, control which users have access to your Opsgenie account and let your users securely access Opsgenie.

Opsgenie のシングル サインオン機能に関する一般的な情報については、Opsgenie によるシングル サインオンのドキュメントをご参照ください。このドキュメントでは、AD FS を Opsgenie SSO と統合するために使用できる具体的な手順について説明します。

Active Directory フェデレーション サービスと Opsgenie の各アカウント間のシングル サインオン統合を設定するには、Opsgenie SSO ページに移動してプロバイダーとして「Microsoft ADFS」を選択し、以下の指示に従います。

Microsoft Active Directory フェデレーション サービス統合の設定

パート 1: 証明書利用者の信頼を追加する

• Open AD FS Management Tool. Expand Trust Relationships from left pane, select Relying Party Trusts and click Add Relying Party Trust from right pane. Add Relying Party Trust Wizard will be opened.

• [ようこそ] ステップの [スタート] ボタンをクリックします。

• 表示名を指定して [次へ] をクリックします。*

• [Choose Profile (プロファイルの選択)] ステップで [AD FS Profile (AD FS プロファイル)] を選択して、[次へ] をクリックします。

• Leave Configure Certificate step as default, because we are encrypting none of the tokens. Click Next.

• [Enable support for the SAML 2.0 WebSSO protocol (SAML 2.0 WebSSO プロトコルのサポートを有効化)] を選択します。Opsgenie UI の SSO 設定ページに切り替えて、SAML 2.0 Service URLの値をコピーします。AD FS ウィザードの [証明書利用者 SAML 2.0] フィールドに、この URL を貼り付けます。[次へ] をクリックします。

• Opsgenie UI の SSO 設定ページに切り替えて、識別子の値をコピーします。AD FS ウィザードの [Relying party trust identifier (証明書利用者信頼識別子)] フィールドにこの値を貼り付けて、[追加]、[次へ] の順にクリックします。

• Please note that your Replying party trust identifiers maybe different than this. Please use identifier on your settings page of Opsgenie account.

• [I do not want to configure multi-factor authentication settings for this relying party trust at this time (この証明書利用者の信頼の多要素認証設定を現時点では構成しない)] を選択します。[次へ] をクリックします。

• [Permit all users to access this relying party (すべてのユーザーにこの証明書利用者へのアクセスを許可する)] をオンにして、[次へ] をクリックします。

[Ready to Add Trust (信頼を追加する準備完了)] ステップの設定を確認して、[次へ] をクリックします。

• [閉じる] をクリックしてウィザードを完了します。

パート 2: セキュア ハッシュ アルゴリズムの更新

• 最近追加した証明書利用者の信頼を右クリックして、[プロパティ] をクリックします。

• Switch to Advanced tab. Expand the drop down list from Secure hash algorithm and select SHA-1. Click Apply and then click OK.

3. 証明書利用者の信頼の要求ルールを編集する

• 最近追加した証明書利用者の信頼を右クリックして、*[クレーム ルールを編集する] をクリックします。

• *[ルールの追加] をクリックします。

• [Send LDAP Attributes as Claims (LDAP 属性を要求として送信)] を要求ルール テンプレートとして選択し、[次へ] をクリックします。

• [Claim rule name] に名前を入力して、属性ストアとして Active Directory を選択します。LDAP マッピング セクションで、LDAP 属性として [メール アドレス] を選択して、ドロップダウン リストから [Outgoing Claim Type (送信要求の種類)] として [メール アドレス] を選択します。[完了] をクリックします。

• [Add Rule (ルールを追加)] をもう一度クリックします。

• [Transform an Incoming Claim (受信要求を変換)] を選択して [次へ] をクリックします。*

• Give a name for Claim rule name. Select E-Mail Address as Incoming claim type, Name ID as Outgoing claim type and Email as Outgoing name ID format from the drop-down lists. Make sure that Pass through all claim values is selected. Click Finish.

• [適用]、[OK] の順にクリックします。

パート 4: 証明書のエクスポート

• 左側のウィンドウで [AD FS] > [サービス] > [証明書] の順に選択します。[Token-signing] セクションの下の証明書を右クリックして、[View Certificate] をクリックします。
  

• [詳細] タブに切り替えて [Copy to File... (ファイルにコピー...)] をクリックします。

• Certificate Export Wizard will be opened. Click Next.

• DER エンコード バイナリ X.509 (.CER) を形式として選択して、[次へ] をクリックします。

• エクスポート先を選択して [次へ] をクリックします。

• エクスポートが成功した場合は、[完了]、[OK] の順にクリックします。

The exported certificate is in DER format, however we need the certificate in PEM format. To perform this conversion, you can use SSL Shopper or Open SSL. SSL Shopper is used in this guide. Open SSL Shopper and click SSL Converter - Convert SSL Certificates to different formats.

• Select the certificate file that you have recently exported. Select DER/Binary as the current type and Standard PEM as the type to convert to. Click *Convert Certificate.

シェル

• 変換された証明書がダウンロードされたら、テキスト エディタ (メモ帳、テキスト エディタなど) で証明書を開きます。ファイルの内容をコピーします。

• Opsgenie の SSO 設定ページに戻って、証明書の内容を [X.509 証明書] フィールドに貼り付けます。

• Paste your SAML 2.0 Federation Endpoint (Login URL) to SAML 2.0 Endpoint field. Your Login URL is generally the URL of your ADFS service with /adfs/ls/ suffix. Click Apply SSO Settings.

• これで、AD FS 内のユーザーはディレクトリ資格情報を使用して SSO 経由で Opsgenie にログインできます。