ADFS を使用した Adobe Workfront と SAML 2.0 の連携の設定
Adobe Workfront の管理者は、Active Directory Federation Services(ADFS)の使用中に、Workfront を、シングルサインオン用の Security Assertion Markup Language(SAML)2.0 ソリューションと統合できます。
このガイドでは、自動プロビジョニングまたは属性マッピングを使用しない ADFS の設定に焦点を当てています。自動プロビジョニングを設定する前に、設定を完了してテストすることをお勧めします。
アクセス要件
この記事の手順を実行するには、次のアクセス権が必要です。
| table 0-row-2 1-row-2 2-row-2 layout-auto html-authored no-header | |
|---|---|
| Adobe Workfront プラン | 任意 |
| Adobe Workfront プラン | プラン |
| アクセスレベル設定 |
Workfront 管理者である必要があります。 メモ:まだアクセス権がない場合は、アクセスレベルに追加の制限が設定されていないかどうか Workfront 管理者にお問い合わせください。Workfront 管理者がアクセスレベルを変更する方法について詳しくは、カスタムアクセスレベルの作成または変更を参照してください。 |
SAML 2.0 と連携する Workfront に対する認証の有効化
SAML 2.0 を使用してWorkfront web アプリケーションと Workfront モバイルアプリケーションに対する認証を有効にするには、次の節を完了します。
Workfront SSO メタデータファイルの取得 retrieve-the-workfront-sso-metadata-file
-
Adobe Workfront の右上隅にある メインメニュー アイコン
-
左側のパネルで、システム/シングルサインオン(SSO) をクリックします。
-
タイプ ドロップダウンメニューで「SAML 2.0」をクリックすると、追加の情報とオプションが表示されます。
-
メタデータ URL の後に表示される URL をコピーします。
-
証明書利用者信頼の設定の節に進みます。
証明書利用者信頼の設定 configure-relying-party-trusts
-
Windows Server 2008 R2(バージョンは異なる場合があります)を使用して、ADFS マネージャー を開きます。
-
開始 に移動します。
-
管理ツール をクリックします。
-
ADFS 2.0 管理 をクリックします。
-
ADFS を選択して、信頼関係 を展開します。
-
証明書利用者信頼 を右クリックし、「証明書利用者信頼を追加」をクリックして、証明書利用者信頼を追加ウィザードを開始します。
-
ようこそページ から、「開始」を選択します。
-
「日付のソースを選択」セクションで、Workfront からメタデータ URL をペーストします。
-
「次へ」をクリックします。
-
「OK」をクリックして、警告メッセージを確認します。
-
「表示名を指定」セクションに、表示名 および メモ を追加して、信頼を区別し、「次へ」をクリックします。
-
「すべてのユーザーがこの証明書利用者にアクセスすることを許可」(または、後で設定する場合は「なし」)を選択します。
-
「次へ」をクリックします。
これにより、「信頼の追加準備完了」セクションに移動します。
-
次の要求ルールの設定の節に進みます。
要求ルールの設定 configure-claim-rules
-
「信頼の追加準備完了」セクションで「次へ」をクリックして、「要求ルールを編集ダイアログボックスを開く」オプションが選択されていることを確認します。
これにより、後のステップで要求ルールを編集できます。
-
「閉じる」をクリックします。
-
「ルールを追加」をクリックします。
-
「LDAP 属性を要求として送信」を選択します。
-
「次へ」をクリックし、要求ルールの構成 手順を表示します。
-
要求ルールを構成するには、以下の最小要件を指定します(このルールは、ユーザー設定の 連合 ID に入って、ログインしているユーザーの区別に使用します)。
table 0-row-2 1-row-2 2-row-2 3-row-2 html-authored no-header 要求ルール名 要求ルールの名前を指定します。例えば「Workfront」。 属性ストア ドロップダウンメニューから Active Directory を選択します。 LDAP 属性 任意のタイプの属性を指定できます。この属性には SAM-Account-Name を使用することをお勧めします。 発信する要求のタイプ 発信する要求のタイプとして 名前 ID を選択する必要があります。 -
(オプション)自動プロビジョニングを確立するには、LDAP 属性と発信する要求のタイプの両方で次の要求を追加します。
- 名
- 姓
- メールアドレス
-
「完了」をクリックし、次の画面で「OK」をクリックします。
-
新しい 証明書利用者の信頼 を右クリックし、「プロパティ」を選択します。
-
「詳細」タブ を選択します。そして「セキュア ハッシュ アルゴリズム」で「SHA-1」または「SHA-256」を選択します。
note note NOTE 「セキュア ハッシュ アルゴリズム」で選択するオプションは、設定/システム/シングルサインオン (SSO) にある「Workfront」の「セキュア ハッシュ アルゴリズム」フィールドと一致する必要があります。 -
次の節メタデータファイルをアップロードして接続をテストに続きます。
メタデータファイルのアップロードと接続テスト upload-the-metadata-file-and-test-the-connection
-
ブラウザーを開き、
https://<yourserver>/FederationMetadata/2007-06/FederationMetadata.xmlにアクセスします。メタデータファイルの FederationMetadata.xml ファイルをダウンロードしてください。
-
IDプロバイダメタデータからフィールドを入力する の「ファイルを選択」をクリックし、FederationMetadata.xml ファイルを選択します。
-
(オプション)証明書の情報にメタデータファイルが入力されていない場合は、ファイルを個別にアップロードすることができます。「証明書」セクションの「ファイルを選択」を選択します。
-
「テスト接続」をクリックします。正しく設定されていると、次のようなページが表示されます。
note note NOTE 属性マッピングを設定する場合は、テスト接続からディレクトリ属性に属性をコピーします。詳しくは、ユーザー属性のマッピングを参照してください。 -
「管理の免除」を選択し、Workfront 管理者がバイパス URL のある Workfront 資格情報を使用してログインできるようにします。
<yourdomain>.my.workfront.com/login を指すブックマークがリダイレクトをバイパスします。 -
「有効にする」ボックスを選択して設定を有効にします。
-
「保存」をクリックします。
SSO のユーザーの更新について
このガイドに従うと、SSO ユーザー名 は対応する Active Directory ユーザー名 になります。
Workfront 管理者は、SSO のユーザーを一括更新できます。SSO のユーザーの更新について詳しくは、シングルサインオンのユーザーを更新を参照してください。
Workfront 管理者は、ユーザーのプロファイルを編集したり、「連合 ID」フィールドに入力したりして、連合 ID を手動で割り当てることもできます。ユーザーの編集について詳しくは、 ユーザーのプロファイルを編集を参照してください。
<yourdomain>.my.workfront.com/login)を使用して Workfront にログインできなくなります。