お使いの Elastic Desktop Service がエンタープライズ Active Directory (AD) システムに接続されている場合、このトピックでは、Active Directory Federation Services (AD FS) と Elastic Desktop Service の間でシングルサインオン (SSO) を設定する方法について説明します。 SSO が設定されると、エンドユーザーが AD アカウントを使用して Elastic Desktop Service にログインするときに、AD FS ページで認証する必要があります。
準備
エンタープライズ AD システムを Elastic Desktop Service に接続し、エンタープライズ AD オフィスネットワークを作成済みであること。 詳細については、「エンタープライズ AD アカウントのオフィスネットワークの作成と管理」をご参照ください。
手順
このトピックでは、Windows Server 2012 R2 上の AD FS を使用して SSO を設定する方法を例として説明します。
ステップ 1: Elastic Desktop Service で AD FS を信頼できる SAML IdP として設定する
ID プロバイダー (IdP) メタデータファイルを取得します。
ブラウザに次の URL を入力して、IdP メタデータファイルを取得します。
URL: https://<AD server>/FederationMetadata/2007-06/FederationMetadata.xml。 URL の <AD Server> を AD FS サーバーのドメイン名または IP アドレスに置き換えます。
メタデータファイルをお使いのコンピューターにダウンロードします。
Elastic Desktop Service コンソールで IdP メタデータファイルをアップロードします。
WUYING Workspace コンソールにログインします。
左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [オフィスネットワーク] を選択します。
[オフィスネットワーク] ページで、SSO を有効にする AD オフィスネットワークを見つけ、その ID をクリックします。
オフィスネットワーク詳細ページの左側のナビゲーションウィンドウで、[その他の情報] を選択します。
[その他の情報] セクションで、SSO を有効にし、IdP メタデータファイルをアップロードできます。
[SSO 設定]: SSO 機能を有効にします。
この機能はデフォルトで無効になっています。 この機能が無効になっている場合、SSO 設定は有効になりません。
[IdP メタデータ]: [ファイルのアップロード] をクリックして、エンタープライズ IdP のメタデータファイルをアップロードします。
[IdP メタデータ] のステータスが [完了] の場合、エンタープライズ IdP が信頼できる Security Assertion Markup Language (SAML) IdP として設定されていることを意味します。
ステップ 2: AD FS で Elastic Desktop Service を信頼できる SAML サービスプロバイダー (SP) として設定する
Elastic Desktop Service からメタデータファイルをダウンロードします。
WUYING Workspace コンソールにログインします。
左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [オフィスネットワーク] を選択します。
[オフィスネットワーク] ページで、SSO が有効になっている AD オフィスネットワークを見つけ、オフィスネットワーク ID をクリックします。
オフィスネットワーク詳細ページの左側のナビゲーションウィンドウで、[その他の情報] を選択します。
[その他の情報] セクションの [アプリケーションメタデータ] で、[アプリケーションメタデータファイルのダウンロード] をクリックします。
メタデータファイルを AD FS にアップロードします。
AD FS がデプロイされているサーバーにログインし、サーバーマネージャーを開きます。
右上隅で、 を選択します。
[AD FS] ダイアログボックスの左側のナビゲーションウィンドウで、 を選択します。
証明書利用者信頼を追加します。
右側の [操作] セクションで、[証明書利用者信頼の追加] をクリックします。
ウィザードに従って、証明書利用者信頼を追加します。
データソースの選択を求められたら、[ファイルから証明書利用者についてのデータをインポートする] を選択し、前のステップで取得した SP メタデータファイルをインポートします。
要求規則を編集します。
証明書利用者信頼のリストで、新しく追加された証明書利用者信頼を右クリックし、[要求規則の編集] を選択します。
ダイアログボックスで、[規則の追加] をクリックします。
ウィザードに従って規則を設定します。
設定の詳細は次のとおりです。
[要求規則テンプレート] で、[LDAP 属性を要求として送信] を選択します。
要求規則を設定するときは、[属性ストア] として [Active Directory] を選択します。 LDAP 属性と送信要求の種類のマッピングで、[SAM-Account-Name] から [名前 ID] へのマッピング、または [ユーザープリンシパル名 (UPN)] から [名前 ID] へのマッピングを追加します。
次のステップ
SSO 機能を使用してクライアントにログインする前に、お使いのコンピューターから AD FS ドメイン名にアクセスできることを確認してください。
SSO を設定した後、エンタープライズ AD アカウントを持つエンドユーザーが WUYING 端末にログインすると、ユーザーはオフィスネットワーク ID を入力します。 AD FS ページが自動的に開きます。 エンドユーザーは AD アカウントのユーザー名とパスワードを入力する必要があります。 ID が認証されると、ユーザーは正常にログインします。
FAQ
AD のユーザー名とパスワードを入力してもログインできない場合、AD FS でのログイン認証が失敗した可能性があります。 考えられる原因と解決策は次のとおりです。
AD のユーザー名またはパスワードが正しくありません。
この場合、AD ドメインサーバーにログインして AD ユーザー名を確認するか、パスワードをリセットします。
AD FS の設定が正しくありません。 AD FS サーバーにログインして、証明書利用者信頼と規則の設定を確認します。
パスワードをリセットするときは、[ユーザーは次回ログオン時にパスワードの変更が必要] オプションを選択しないでください。 ユーザーの作成時またはパスワードのリセット時にこのオプションを選択すると、SSO を使用する前にパスワードを変更するように求められます。 その後、ユーザーは AD ユーザー名と新しいパスワードを入力して WUYING 端末にログインできます。