はじめに
ADFS のシングルサインオン(SSO)ソリュ―ションを使用して、Domoにサインインできます。
必要条件
ADFSを使って Domo にログインするには、システムに以下のコンポーネントが必要です:
-
全ての Domo ユーザーにメールアドレス属性がある Active Directory インスタンス
-
シングルサインオン機能がオンになっている Domo インスタンス
-
Microsoft Server 2012 または 2008 を実行しているサーバー
-
ADFS ログインページで署名するための SSL 証明書と指紋認証
これらの基本条件を満たした後、ADFS をサーバーにインストールする必要があります。 ADFS の構成とインストールについてはこのトピックの範囲を超えていますが、Microsoft KBのアーティクルに詳細が記述されています。
ADFS のインストールが完了したら、ADFS エンドポイントセクションの"SAML 2.0/W-Federation" URL を書きとめておきます。 デフォルトインストールをした場合は、「/adfs/ls/」となります。
証明書利用者信頼の追加
サーバーに証明書で ADFS を構成した後、証明書利用者信頼として Domo を追加することができます。
証明書利用者信頼を追加するには、
-
ADFS を開きます。
-
スクリーン左のフォルダーリストで、信頼関係 > 証明書利用者信頼を選択します。
-
スクリーン右側の枠の、証明書利用者信頼を追加をクリックします。
証明書利用者信頼の追加ウィザードが開きます。 -
開始をクリックします。
-
証明書利用者についてのデータを手動で入力を選択し、次へをクリックします。
-
名前の表示フィールドでユーザーに見せるアプリケーション名を入力し、次へをクリックします。
-
AD FS プロファイルページを選択し、次へをクリックします。
-
証明書を設定画面で次へをクリックします。
-
Domo で、
> 管理者を選択します。
管理者設定が開きます。 -
セキュリティ > シングルサインオンを選択します。
-
SAML アサーションエンドポイント URL をコピーします。
-
ADFS の URL の構成スクリーンで、SAML 2.0 WebSSO プロトコルのサポートを有効にするを選択します。
-
SAML アサーションエンドポイント URL をテキストフィールドに貼り付け、次へを選択します。
-
識別子を設定画面の証明書利用者信頼の識別子フィールドに subdomain.domo.com を入力し、subdomain を会社の Domo サブドメインと入れ替えます。 この URL は、Domo の管理者設定 > セキュリティ > シングルサインオンタブのエンティティ ID フィールドと同じである必要があります。
-
追加をクリックし、証明書利用者信頼の識別子として URL を追加します。
-
次へをクリックします。
-
今すぐ Multifactor Authentication を構成のスクリーンで、次へをクリックします。
-
発行承認規則を選択画面で、会社の Domo インスタンスにログインしようとする全てのユーザーを許可するか拒否するかを選び、次へをクリックします。
注記: 全てのユーザーを拒否することを選択する場合、Domo インスタンスで指定するユーザーのみに限定して許可するルールを作ることができます。
-
信頼の追加の準備完了スクリーンで次へをクリックします。
-
完了のスクリーンでチェックしたボックスを確認してから、閉じるをクリックします。
クレームルールを作成する
このステップでは、クレームルールを ADFS で作成する必要があります。
-
前のステップで作成した証明書利用者信頼を ADFS で選択し、要求規則を編集をクリックします。
要求規則を編集ウィザードが開きます。 -
規則を追加をクリックします。
-
要求規則テンプレートのドロップダウンで、LDAP属性を要求として送信を選択し、次へをクリックします。
-
要求規則名フィールドに「Domo Claims」と入力します。
-
属性ストアで、Active Directoryを選択します。
-
以下の概要のとおり、出力方向クレームタイプをマップします:
LDAP 属性
出力方向の要求の種類
E-Mail-Addresses (必須)
メール
Display-Name (必須)
名前
Is-Member-of-DL
グループ
役職
役職
注記:含めたグループは、Domo ではユーザーグループとして扱われます。 グループに関する詳細は、ユーザーとグループを管理するを参照してください。 -
終了をクリックします。
-
適用をクリックします。
-
OKをクリックしてウィザードを閉じます。
Domo へのアクセスの設定(条件付き)
前のステップで全てのユーザーの Domo へのアクセスを拒否することを選択した場合、Domoに残して置きたいユーザーの為に発行承認規則を追加する必要があります。
発行承認規則を追加するには、
-
ADFSで、作成した証明書利用者信頼のための要求規則を編集ウィザードを開始します。
-
発行承認規則タブを開きます。
-
規則を追加をクリックします。
-
規則の種類を選択のスクリーンで次へをクリックします。
-
要求規則の構成の画面で、要求規則名フィールドにルール名を入力します。
-
Domo へのアクセスを許可または拒否するために使用するクレームとその値を指定します。
-
終了をクリックします。
-
適用をクリックします。
-
OKをクリックしてウィザードを閉じます。
Domo を ADFS で構成する(条件付き)
署名用証明書をわかりやすいファイルロケーションにまだコピーしていない場合、このセクションのステップに従います。
Domo をADFSで構成するには、
-
ADFSで、フォルダーパネルのサービス > 証明書を選択します。
-
トークン署名証明書を選択します。
-
証明書を表示をクリックします。
-
詳細タブを開きます。
-
ファイルにコピーを選択します。
-
証明書を Base-64 コード X.509 ファイルとして保存します。
-
終了をクリックします。
-
Domo で、
> 管理者を選択します。
管理者設定が開きます。 -
セキュリティ > シングルサインオンを選択します。
-
Domo が SAMLRequest を送るべきロケーションをアイデンティティエンドポイントURL フィールドに入力します。
これは、通常自分のADFSサーバーの名前に/adfs/ls/をつけたものです。 例: ssp.example.com/adfs/ls/ -
エンティティID フィールドで、証明書利用者信頼のセットアップで使用した固有識別名(subdomainem.domo.com)を入力します。
-
トークン署名証明書を Domo にアップロードします。
-
Domo に、LDAP グループを自動的にインポートしたいかを指定します。
-
構成が正常に作動するか確認するため、接続をテストをクリックします。
コメント
0件のコメント
サインインしてコメントを残してください。