ADFS- QuestionProとのSSO設定

Active Directory Federation Service (ADFS)は、Windows Serverオペレーティングシステムのユーザーにシングルサインオン(SSO)認証を提供するMicrosoftソフトウェアコンポーネントです。ADFSにより、ユーザーは単一のログイン資格情報セットを使用して、組織の境界を越えてWindows Serverオペレーティングシステムのアプリケーションにアクセスできます。

ADFSにより、ある組織のユーザーは、標準のActive Directory資格情報(AD)を使用してパートナー組織のアプリケーションにアクセスできます。また、ADFSを使用すると、ユーザーは標準の組織のAD資格情報を使用して、Webインターフェース経由でリモート作業中にAD統合アプリケーションにアクセスできます。

SAML 2.0を使用してADFSとQuestionProを接続するには、以下の手順に従ってください:

• ADFSをインストールします
• 次の場所に移動します: スタート » すべてのプログラム » 管理ツール、ADFS管理をクリックします
• ADFS管理ウィンドウで、証明書利用者信頼を右クリックし、証明書利用者信頼の追加をクリックします

• セットアップウィザードで、要求に対応を選択し、開始ボタンをクリックします

• 2番目のステップで、証明書利用者に関するデータを手動で入力するオプションを選択し、次へボタンをクリックします。

• 3番目のステップで、証明書利用者信頼の名前を入力し、次へボタンをクリックします。

• 4番目のステップで、QuestionPro SP証明書をアップロードし、次へボタンをクリックします。QuestionPro SP証明書の取得方法については、こちらをご覧ください。

• 5番目のステップで、SAML 2.0 SSOサービスURLのサポートを有効にするを選択し、QuestionProアカウントからACS URLを入力して、次へボタンをクリックします。QuestionProアカウントからACS URLを取得する方法については、こちらをご覧ください。

• 6番目のステップで、証明書利用者信頼識別子を入力し、右側の追加ボタンをクリックします。識別子URL: https://www.questionpro.com/saml2

• 証明書利用者信頼識別子セクションに識別子が追加されたことを確認します。次に、次へボタンをクリックします。

• 7番目のステップで、組織のこのアプリの権限を確認し、次へボタンをクリックします。

• 8番目のステップで、証明書利用者信頼に追加されたすべての詳細を確認し、次へボタンをクリックします。

• 最後の9番目のステップで、閉じるボタンをクリックします。

• 要求発行ポリシーを追加するための新しいウィンドウが開きます。この新しいウィンドウで、規則の追加ボタンをクリックして、QuestionPro用の新しい要求ポリシー規則を追加します

• ポップアップで、要求規則テンプレートの下でLDAP属性を要求として送信を選択し、次へボタンをクリックします。

• 要求規則名としてemailAddressを入力し、LDAP属性としてE-Mail-Addressを選択し、送信要求タイプとしてemailAddressを入力します。完了ボタンをクリックします。

• QuestionProの要求ポリシーの下に新しい要求規則が追加されたことを確認します。適用ボタンをクリックし、次にOKボタンをクリックして設定を完了します。

• ADFSでのすべてのステップが完了したら、 QuestionProアカウント » ユーザープロフィール » グローバル設定 » SSO認証に移動し、以下の情報をアップロードします:
• 発行者/エンティティID: 発行者またはエンティティIDは、https://ADFS_SERVER/adfs/services/trust という形式になります。ADFS_SERVERをADFSドメインに置き換えてください
• 署名証明書: ADFSから署名証明書を抽出する方法については、こちらをご覧ください。

• SSO接続をテストするには、https://ADFS_SERVER/adfs/ls/IDpInitiatedSignOn.aspx にアクセスします(ADFS_SERVERをADFSサーバー名に置き換えてください)。次のいずれかのサイトにサインインする:オプションを選択し、QuestionProアプリを選択してサインインボタンをクリックします。AD資格情報の入力を求められ、認証が成功すると、QuestionProアカウントにリダイレクトされます。

注意: SP主導型SSOは、ADFSとQuestionPro SSO接続ではサポートされていません。

QuestionProアカウントからSP証明書とACS URLを取得するには、以下の手順に従ってください:

• SP証明書とACS URLを取得するには、QuestionProアカウントにログイン>> ユーザープロフィールアイコンをクリック>> グローバル設定をクリック します。
• グローバル設定の下で、左側のナビゲーションメニューのSSO認証をクリックします。SSO認証ドロップダウンメニューからSAML(署名付き)オプションを選択します。
• ここで、ACS URLとSP証明書をダウンロードするオプションが表示されます。

注意: これらの設定は、デフォルトで組織のプライマリユーザーに表示され、ユーザーロールと権限を使用して他のユーザーにアクセスを提供できます。

ADFSから署名証明書を抽出するには、以下の手順に従ってください:

• 次の場所に移動します: ADFS管理 » サービス » 証明書。トークン署名証明書をダブルクリックするか、トークン署名証明書を右クリックして証明書の表示をクリックします。

• ポップアップウィンドウで、詳細タブに移動し、ファイルへコピーボタンをクリックして証明書をエクスポートします。

• 証明書エクスポートウィザードが開きます。次へボタンをクリックしてプロセスを開始します。

• 2番目のステップで、Base-64エンコード X.509 (.CER)オプションを選択し、次へボタンをクリックします。

• 3番目のステップで、証明書をエクスポートするパスを選択し、ファイル名を入力して、次へボタンをクリックします。

• 最後のステップで、完了ボタンをクリックします

はい、新しいユーザーを特定のビジネスユニット/チームにマッピングすることは可能です。QuestionProアカウントのビジネスユニット名/チーム名を含む"teamName"という名前の要求をSAMLアサーションで渡すことができます。これにより、その特定のビジネスユニット/チームの下に新しいユーザーが追加されます。スクリーンショットに示されている以下の例では、ユーザーのプロファイルの「部門」フィールドを使用して、SAMLアサーションで渡されるユーザーのチーム名を保存しています: