すべてのリモート ユーザについてアイデンティティ プロバイダ(IdP)を使用してSAML認証を実行するようにUnified Managerで設定するときは、Unified Managerに正しく接続できるように、いくつかの必要な設定を確認しておく必要があります。
Unified ManagerのURIとメタデータをIdPサーバに入力する必要があります。この情報は、Unified Managerの[SAML 認証]ページからコピーできます。Unified Managerは、Security Assertion Markup Language(SAML)標準のサービス プロバイダ(SP)とみなされます。
サポートされる暗号化標準
- Advanced Encryption Standard(AES):AES-128およびAES-256
- Secure Hash Algorithm(SHA):SHA-1およびSHA-256
検証済みのアイデンティティ プロバイダ
- Shibboleth
- Active Directoryフェデレーション サービス(ADFS)
ADFSの設定要件
- 3つの要求規則を次の順序で定義する必要があります。これらは、この証明書利用者信頼エントリに対するADFS SAML応答をUnified Managerで解析するために必要です。
| 要求規則 |
値 |
|---|
| SAM-account-name |
Name ID |
| SAM-account-name |
urn:oid:0.9.2342.19200300.100.1.1 |
| Token groups – Unqualified Name |
urn:oid:1.3.6.1.4.1.5923.1.5.1.1 |
- 認証方法を「フォーム認証」に設定する必要があります。これを行わないと、Internet Explorerを使用しているユーザがUnified Managerからログアウトするときにエラーが表示されることがあります。次の手順を実行します。
- ADFS管理コンソールを開きます。
- 左側のツリー ビューで[認証ポリシー]フォルダをクリックします。
- 右側の[操作]で、[グローバル プライマリ認証ポリシーの編集]をクリックします。
- [イントラネット認証方法]をデフォルトの「Windows認証」ではなく「フォーム認証」に設定します。
- Unified Managerのセキュリティ証明書がCA署名証明書の場合、IdP経由でのログインが拒否されることがあります。この問題の対処方法は2つあります。
その他の設定要件
- Unified Managerのクロック スキューは5分に設定されているため、IdPサーバとUnified Managerサーバの時間の差が5分を超えないようにします。時間の差が5分を超えると認証が失敗します。
- ユーザがInternet Explorerを使用してUnified Managerにアクセスしようとしたときに、「Webサイト側でページを表示できません」というメッセージが表示されることがあります。この場合は、で「HTTPエラー メッセージを簡易表示する」オプションをオフにします。