Elastic Desktop Service (EDS) は、Security Assertion Markup Language (SAML) 2.0 ベースのシングルサインオン (SSO) をサポートしています。これにより、エンドユーザーは既存の ID プロバイダー (IdP) を介して EDS 端末にアクセスでき、個別の EDS 認証情報を入力する必要がなくなります。これを有効にするには、EDS (サービスプロバイダー、SP として機能) と IdP の間でメタデータを交換し、相互信頼を確立します。
EDS は、次の 2 つのデプロイメントコンテキストで SAML ベースの SSO をサポートしています:
オフィスネットワーク:SSO は特定のオフィスネットワークに限定されます。SSO を有効にすると、そのネットワークの EDS 端末のログインページが IdP のログインページに置き換えられます。
組織:SSO は、エンタープライズ ID ソースを介して組織全体に適用されます。
前提条件
開始する前に、以下をご確認ください:
SAML 2.0 をサポートする IdP (Azure AD、AD FS、IDaaS など)
EDS コンソールと IdP の両方への管理者アクセス権
オフィスネットワークの SSO の場合:SSO を有効にできる状態の EDS オフィスネットワーク
組織の SSO の場合:EDS コンソールの [ユーザーとログイン] > [エンタープライズ ID ソース] へのアクセス権
オフィスネットワークの SSO の設定
オフィスネットワークの SSO の設定には、EDS を信頼された SP として IdP に登録し、IdP メタデータを EDS にアップロードし、対応するユーザーアカウントを作成するという 3 つのステップが含まれます。
ステップ 1:EDS を信頼された SP として IdP に登録
EDS コンソールにログインします。
左側のナビゲーションウィンドウで、ネットワークとストレージ > オフィスネットワーク を選択します。
上部のナビゲーションバーの左上で、リージョンを選択します。
[オフィスネットワーク] ページで、SSO を有効にするオフィスネットワークを見つけ、そのオフィスネットワーク ID をクリックします。
オフィスネットワークの詳細ページで、[その他の情報] セクションを見つけ、[表示] をクリックして展開し、[アプリケーションメタデータ] の右側にある [メタデータファイルのダウンロード] をクリックします。
IdP で、SAML SP アプリケーションを作成し、ダウンロードしたメタデータファイルをインポートして、EDS を信頼された SP として登録します。
ステップ 2:IdP メタデータを EDS にアップロード
オフィスネットワークの詳細ページの [その他の情報] セクションで、[SSO] をオンにします。
SSO を有効にすると、このオフィスネットワークの EDS 端末のログインページが IdP のログインページに置き換えられます。エンドユーザーは EDS の認証情報を入力する代わりに、IdP を介してログインします。SSO を有効にする前に、この変更をユーザーに通知してください。
[IdP メタデータ] の右側にある [ファイルのアップロード] をクリックし、IdP メタデータファイルをアップロードします。
メタデータファイルは、IdP のログインアドレスと X.509 証明書を含む XML ドキュメントです。EDS はこの証明書を使用して、IdP によって発行された SAML アサーションの有効性を検証します。
ステップ 3:対応するユーザーアカウントの作成
EDS コンソールで、対応する IdP ユーザーとユーザー名が一致するユーザーを作成します。詳細については、「簡便アカウントの作成」または「エンタープライズ AD アカウントの作成と管理」トピックの「エンタープライズ AD アカウントの作成」セクションをご参照ください。
両方のアカウントが同じユーザー名を共有している場合でも、EDS ユーザーのパスワードは IdP ユーザーのパスワードと異なっていてもかまいません。
組織の SSO の設定
組織の SSO の設定にも 3 つのステップが含まれますが、順序は逆になります。まず IdP を信頼された ID ソースとして EDS に追加し、次に EDS を信頼された SP として IdP に登録し、最後に一致するユーザーアカウントを作成します。
ステップ 1:IdP を信頼された ID ソースとして EDS に追加
左側のナビゲーションウィンドウで、[ユーザーとログイン] > [エンタープライズ ID ソース] を選択します。
[エンタープライズ ID ソース] ページで、IdP を追加します:
エンタープライズ ID ソースが存在しない場合は、[SAML] をクリックします。
エンタープライズ ID ソースが既に存在する場合は、左上隅の [エンタープライズ ID ソースの追加] をクリックし、[エンタープライズ ID ソースの追加] パネルで [SAML] をクリックします。
[エンタープライズ ID ソースの追加] パネルで、次のパラメーターを設定し、[確認] をクリックします。
| パラメーター | 説明 |
|---|---|
| エンタープライズ ID ソース名 | EDS でこの IdP を識別するための名前。 |
| エンタープライズ ID ソースタイプ | [SAML] を選択します。 |
| IdP メタデータ | [ファイルのアップロード] をクリックして、IdP メタデータファイルをアップロードします。 |
| ユーザーアカウントタイプ | [コンビニエンスアカウント] または [エンタープライズ AD アカウント] を選択します。[エンタープライズ AD アカウント] を選択した場合は、AD ドメイン名も選択します。 |
ステップ 2:EDS を信頼された SP として IdP に登録
左側のナビゲーションウィンドウで、[ユーザーとログイン] > [エンタープライズ ID ソース] を選択します。
[エンタープライズ ID ソース] ページで、追加した ID ソースを見つけ、[操作] 列の [編集] をクリックします。
[エンタープライズ ID ソースの編集] パネルで、[アプリケーションメタデータ] の下にある [ファイルのダウンロード] をクリックします。
IdP で、SAML SP アプリケーションを作成し、ダウンロードしたメタデータファイルをインポートして、EDS を信頼された SP として登録します。
ステップ 3:対応するユーザーアカウントの作成
EDS コンソールで、対応する IdP ユーザーとユーザー名が一致するユーザーを作成します。詳細については、「簡便アカウントの作成」または「エンタープライズ AD アカウントの作成と管理」トピックの「エンタープライズ AD アカウントの作成」セクションをご参照ください。
両方のアカウントが同じユーザー名を共有している場合でも、EDS ユーザーのパスワードは IdP ユーザーのパスワードと異なっていてもかまいません。
次のステップ
特定の IdP を使用したエンドツーエンドの設定例については、以下をご参照ください:
ログイン方法の概要については、「ログイン方法の設定」をご参照ください。