利用可能なプラン:Enterprise、Business
設定者:会社の管理者
Miro は、SAML 2.0 によるシングルサインオン(SSO)ログインに対応しています。
SAML 2.0 ID プロバイダー(IDP)は、多くの形式を取ることができますが、そのうちの 1 つにセルフホストされた Active Directory フェデレーション サービス(ADFS)サーバーがあります。ADFS は、Microsoft が Windows Server の標準的な機能として提供しているサービスで、既存の Active Directory の資格情報を使用した Web ログインを提供します。
このガイドでは、Server 2012R2 のスクリーンショットを使用していますが、他のバージョンでもこの手順は利用することができます。
まず、サーバーに ADFS をインストールします。ADFS の設定とインストールは、このガイドの説明範囲外ですが、Microsoft のこちらの記事で詳しく説明しています。
テストをする際は、作業ステーションとテストの認証で使用するメールアドレスが同じであることを確認してください。同じでなければ、ADFS の設定とプロフィールが正しくてもログインすることができません。
ステップ 1 ー Relying Party Trust(証明書利用者信頼)の追加
1) ADFS サーバーにログインし、ADFS Management Console(ADFS 管理コンソール)を起動します。
2) AD FS Management(AD FS 管理コンソール)から Relying Party Trusts(証明書利用者信頼)フォルダーを選択し、Actions(アクション) サイドバーから新しい Standard Relying Party Trust(信頼証明書設定ウィザード) を追加します。上記の設定が完了すると、新しい信頼証明書の設定ウィザードが開始されます。
Party Trust(利用者信頼)を追加
3) Select Data Source(データソースの選択)セクションの一番下にある [Enter Data About the Party Manually](利用者のデータを手動で入力する)にチェックを入れます。
Enter Data About the Party Manually(利用者のデータを手動で入力する)を選択する
4) 追加した証明書利用者信頼が後からでも識別できるように、Display name(表示名) と Notes(説明)を入力しておきます。
Display name(表示名)を追加
5) [ADFS FS (ADFS 2.0) profile](ADFS FS(ADFS 2.0)プロフィール)ボタンを選択します。
請求の暗号化と復号化に必要な証明書を参照するよう求められます。この設定はオプションなので、[Next](次へ)を押してスキップすることも可能です。
6) [Enable Support for the SAML 2.0 WebSSO protocol](SAML 2.0 WebSSO プロトコルサポートを有効化する)にチェックを入れます。
サービス URL には、https://miro.com/sso/saml を入力します。
URL の末尾にはスラッシュがないことにご注意ください。
SAML 2.0 WebSSO プロトコルサポートの有効化
7) Relying party trust identifier(証明書利用者信頼識別子)に https://miro.com/ を追加します。
Relying party trust identifier(証明書利用者信頼識別子) の追加
次の画面では、Multi-factor Authentication(多要素認証)を設定することができますが、こちらはこのガイドの説明範囲外です。
Multi-factor Authentication(多要素認証)を設定しないオプション
8) [Permit all users to access this relying party](すべてのユーザーにこの証明書利用者へのアクセスを許可する) ボタンを選択します。
Permitting all users to access the relying party(すべてのユーザーに証明書利用者へのアクセスを許可する)オプション
次に表示される 2 つの画面のウィザードには、設定の概要が表示されます。
最後に表示される画面で、[Close](閉じる) ボタンをクリックして、コンソールを終了し、Claim Rules(要求規則)エディターを開きます。
Relying Party Trust(証明書利用者信頼)の追加の終了
また、設定にSigned Assertion(署名済みのアサーション)が含まれていることを確認してください。
ステップ 2 ー Claim Rules(要求規則)の作成
証明書利用者信頼が作成されると、要求規則が作成できるようになります。
デフォルトでは、証明書利用者信頼を作成すると、Claim Rules(要求規則)エディターが開きます。
1) 新しい規則を作成するには、[Add Rule](規則を追加)をクリックします。
新しい規則の追加
2) Send LDAP Attributes as Claims(LDAP 属性を要求として送信する)の規則を作成します。
新しい規則の作成
3) 次の画面で規則に名前をつけて、Attribute store(属性ストア)で Active Directory(アクティブ ディレクトリ)を選択して、以下のようにマッピングします。
| LDAP 属性 | 送信要求タイプ |
|---|---|
| E-Mail-Addresses(メールアドレス) | E-Mail Address(メールアドレス) |
| Given-Name(名) | FirstName(姓) |
| Surname(姓) | LastName(名) |
LDAP 属性のマッピング
[OK] をクリックして、新しい規則を保存します。
4) [Add Rule](ルールを追加)をクリックして別の新しいルールを作成します。ここではテンプレートに [Transform an Incoming Claim](受信した規則を変換する)を選択します。
テンプレートにTransform an Incoming Claim(受信した規則を変換する)を選択
5) 次に、規則に名前をつけて、以下のパラメータを設定します。
受信要求タイプ |
E-mail Address(メールアドレス) |
送信要求タイプ |
Name ID(名前 ID) |
送信名 ID フォーマット |
Email(メール) |
規則パラメータの設定
最後に、[OK] をクリックして要求規則を作成し、その後、再度 [OK] をクリックして規則の作成を終了します。
これでADFSの設定は完了です。以降は、Miro プランの SSO 機能を有効にするだけで、エンドユーザによる SAML を使用した Miro の認証が可能になります。