利用可能なプラン:Enterprise プラン、Business プラン
設定者:会社の管理者
Miro は、SAML 2.0 によるシングルサインオン(SSO)ログインに対応しています。
SAML 2.0 ID プロバイダー(IDP)は多くの形式を取ることができますが、そのうちの 1 つに、セルフホストされた Active Directory フェデレーション サービス(ADFS)サーバーがあります。ADFS は、Microsoft が Windows Server の標準的な機能として提供しているサービスで、既存の Active Directory の資格情報を使用した Web ログインを提供します。
このガイドでは、Server 2012R2 のスクリーンショットを使用していますが、他のバージョンでもこの手順は利用することができます。
まず、サーバーに ADFS をインストールします。ADFS の設定とインストールは、このガイドの説明範囲外ですが、Microsoft のこちらの記事で詳しく説明しています。
テストをする際は、作業ステーションとテストの認証で使用するメールアドレスが同じであることを確認してください。同じでなければ、ADFS の設定とプロフィールが正しくてもログインすることができません。
💡 お使いのブラウザーのシークレットモードのウィンドウを新たに開けて、SSO を設定することを強くお勧めします。そうすることで、セッションを標準ウィンドウに保ち、誤った設定があった場合に、SSO 認証をオフにすることができます。
本番環境で SSO を有効にする前にテストインスタンスを設定したい場合は、アカウント担当者または営業担当者にご連絡ください。SSO を設定するユーザーのみがこのテストインスタンスに追加されます。
⚠️ ルール、サポートされている機能、Miro 側でのオプション設定については、SSO に関する主要記事をこちらでご覧ください。
ステップ 1 ー 証明書利用者信頼の追加
1) ADFS サーバーにログインし、ADFS Management Console(ADFS 管理コンソール)を起動します。
2) AD FS 管理コンソールから 証明書利用者信頼のフォルダーを選択し、アクション サイドバーから新しい 標準証明書利用者信頼 を追加します。上記の設定が完了すると、新しい信頼証明書設定ウィザードが開始されます。
利用者信頼を追加
3) データソースの選択画面の一番下にある [Enter Data About the Party Manually](利用者のデータを手動で入力する)にチェックを入れます。
Enter Data About the Party Manually(利用者のデータを手動で入力する)を選択する
4) 後からでも分かるように、表示名とメモを入力しておきます。
表示名を追加
5) ADFS FS(ADFS 2.0)プロフィールボタンを選択します。
請求の暗号化と復号化に必要な証明書を参照するよう求められます。この設定はオプションなので、[次へ] を押してスキップすることも可能です。
6) [Enable Support for the SAML 2.0 WebSSO protocol](SAML 2.0 WebSSO プロトコルサポートを有効化する)にチェックを入れます。
サービス URL には、https://miro.com/sso/saml を入力します。
URL の末尾にはスラッシュがないことにご注意ください。
SAML 2.0 WebSSO プロトコルサポートの有効化
7) 証明書利用者信頼識別子に https://miro.com/ を追加します。
証明書利用者信頼識別子の追加
次の画面では、多要素認証を設定することができますが、これはこのガイドの説明範囲外です。
多要素認証の設定を拒否するオプション
8) [Permit all users to access this relying party](すべてのユーザーにこの証明書利用者へのアクセスを許可する)ボタンを選択します。
すべてのユーザーに証明書利用者へのアクセスを許可するオプション
次に表示される 2 つの画面のウィザードには、設定の概要が表示されます。
最後に表示される画面で、[閉じる] ボタンをクリックして、コンソールを終了し、[Claim Rules](要求規則)エディターを開きます。
証明書利用者信頼の追加の終了
また、設定に署名済みのアサーションが含まれていることを確認してください。
ステップ 2 ー 要求規則の作成
証明書利用者信頼が作成されると、要求規則が作成できるようになります。
デフォルトでは、証明書利用者信頼を作成すると、要求規則エディターが開きます。
1) 新しい規則を作成するには、[規則を追加] をクリックします。
新しい規則の追加
2) テンプレートに [LDAP 属性を要求として送信する](]end LDAP Attributes as Claims)を選択して、新しい規則を作成します。
新しい規則の作成
3) 次の画面で規則に名前をつけて、Active Directory を属性ストアとして、以下のようにマッピングします。
LDAP 属性 | 送信要求タイプ |
---|---|
E-Mail-Addresses(メールアドレス) | E-Mail Address(メールアドレス) |
Given-Name(名) | FirstName(姓) |
Surname(姓) | LastName(名) |
LDAP 属性のマッピング
[OK] をクリックして、新しい規則を保存します。
4) [ルールを追加] をクリックして別の新しいルールを作成します。ここではテンプレートに [Transform an Incoming Claim](受信した規則を変換する)を選択します。
テンプレートにTransform an Incoming Claim(受信した規則を変換する)を選択
5) 次に、規則に名前をつけて、以下のパラメータを設定します。
受信要求タイプ |
メールアドレス |
送信要求タイプ |
名前 ID |
送信名 ID フォーマット |
メール |
規則パラメータの設定
最後に、[OK] をクリックして要求規則を作成し、その後、再度 [OK] をクリックして規則の作成を終了します。
これでADFSの設定は完了です。以降は、Miro プランの SSO 機能を有効にするだけで、エンドユーザによる SAML を使用した Miro の認証が可能になります。