1

SAML 認証のための

ADFS - IBM Connections Cloud 設定手順書

日本アイ・ビー・エム株式会社

古谷直之(第二 ESS SWサービス)

吉原洋樹(第二 ESS SWサービス)

日本アイ・ビー・エム システムズ・エンジニアリング株式会社

猶木光彦(オープン・ミドルウェア)

2

目次

1. はじめに.................................................................................... 3

1.1. 当ドキュメントについて .................................................................. 3

1.2. 環境設計................................................................................ 3

1.2.1. フロー・モデルの設計 ................................................................ 3

1.2.2. ログイン・タイプの決定 .............................................................. 4

1.2.3. その他情報の決定 .................................................................... 5

1.3. IBM Connections Cloudとの SAML連携手順 ................................................. 5

1.4. IBM Connections Cloud利用における制約事項 .............................................. 6

1.5. モバイル・アプリケーションを設定する場合 ................................................ 6

1.6. SAML連携設定の際に接続エラーが生じた場合 ............................................... 6

2. ADFSの構成① ............................................................................... 7

2.1. トークン署名証明書のエクスポート ........................................................ 7

2.2. フェデレーション・メタデータのエクスポート ............................................. 10

3. IBM Connections Cloudの構成 ............................................................... 11

3.1. 設計情報とデータの送付 ................................................................. 11

4. ADFSの構成② クラウド環境のフェデレーション・メタデータのインポート ....................... 12

5. 環境接続の確認 ............................................................................. 20

5.1. 設定の確認 ............................................................................. 20

5.2. 本番環境への接続 ....................................................................... 21

参考①：ログイン・タイプ毎のログイン画面遷移 .................................................. 22

参考②：ログイン・タイプの一括指定 ............................................................ 23

参考③：ADFSのインストール ................................................................... 23

参考④：AD/ADFS統合設定 ...................................................................... 27

3

1. はじめに

1.1. 当ドキュメントについて

当ドキュメントは IBM Connections Cloud(旧名 SmarterCloud for SocialBusiness)と Active Directory

Federation Server(以下、ADFS)の SAML連携設定における、ADFS側の設定手順および IBM Connections Cloud

側の設定手順について記載します。

また、Active Directory(以下、AD)および ADFS の導入については参考情報を記載しますが、当ドキュメント

の対象ではありませんのでその動作を保証するものではありません。

本手順は 2015 年 12 月時点のものであり、以降は適宜『IBM Knowledge Center フェデレーテッド ID 管理の

セットアップ (https://ibm.biz/BdH2tn)』を参照しながら進めて下さい。

当ドキュメントに記載の IBMサポートは cloudcsg@us.ibm.com になります。

1.2. 環境設計

SAML連携設定をするにあたり、事前に環境の設計と準備をします。

1.2.1. フロー・モデルの設計

フェデレーテッド ID の構成する際にサポートされているフロー・モデル、認証タイプを決定する必要があり

ます。IBM Connections Cloudでは 2つのフロー・モデルがサポートされています。

どちらかのフロー・モデルを使用するか決定してください

サポートされているフロー・モデル 概要

SP 開始ハイブリッド・フロー・モデル ユーザーは IBM Connections Cloudへアクセスし、

その後組織の認証に移ります。

モバイル・アプリケーションも使用可能です。

IdP 開始フロー・モデル ユーザーは組織の認証を使い SSOを行うので、IBM Connections

Cloudへのログインを省くことが可能です。

4

SP 開始ハイブリッド・フロー・モデル

本手順では SP開始 ハイブリッド・フロー・モデルを選択します。

1.2.2. ログイン・タイプの決定

ユーザーが組織の認証 / IBM Connections Cloudの認証のどちらを使用するか、そしてそれらを管理者/ユー

ザーのどちらが制御するかを指定します。ログイン・タイプは以下の 4つを選択できます。

どのログイン・タイプを使用するか決定してください。

ログイン・タイプ 概要

標準 (非フェデレーテッド)

※デフォルト

ユーザーは通常の IBM Connections Cloudの認証を使用します。

管理者はユーザー毎にログイン・タイプを変更することは出来ません。

フェデレーテッド

ユーザーは組織の認証を使用します。

管理者はユーザー毎にログイン・タイプを変更することは出来ません。

UserChoice

ユーザーは IBM Connections Cloud と組織の認証、どちらを使用するか

IBM Connections Cloud のログイン画面から、ユーザー自身が選択出来

ます。

管理者はユーザー毎にログイン・タイプを変更することは出来ません。

AdminChoice 管理者は「標準」「フェデレーテッド」「UserChoice」のいずれかのログ

イン方法をユーザー毎に管理者メニューから設定できます。

管理者はいつでもログイン・タイプを変更することが出来ます。

本手順では AdminChoiceを選択します。

5

1.2.3. その他情報の決定

1.2.1、1.2.2に加え以下の情報を決定します。

使用する SAMLのバージョン

(SAML1.1 / SAML2.0)

Web サーバーに実装する SAMLの種類

(Tivoli® Federated Identity Manager / OpenSAML / Active Directory Federation /

その他のフェデレーテッド ID マネージャー)

モバイル・アプリを設定するか

組織名、管理者 ID、カスタマーID

適用する SP の情報として必要になります。

(オプション) 2, 3個のメールアドレス

IBM サポートからの要求によって、接続テストに必要になる場合があります。

1.2.4 必要となるデータ

以下のデータを用意します。

トークン署名証明書

SSL を使用して通信する為に必要になります。

使用しているサーバー証明書を用意してください (自己証明書でも設定上は問題ありません)。

フェデレーション・メタデータ(ADFS)

IBM Connections Cloud側の SAML設定を行うために必要になります。

ADFSからエクスポートしてください。

1.3. IBM Connections Cloudとの SAML連携手順

IBM サポートとのフェデレーション・メタデータのやり取りが必要です。

主な以下の 3つの作業を実施します。

1. 自社の AD/ADFS(IdP環境)準備

2. IBM サポートへのフェデレーション有効化の依頼

― 必要情報とデータを送付します

3. IBM Connections Cloud(SP 環境)への SAML連携を確認

― IBMサポートから IBM Connections Cloud環境のフェデレーション・メタデータを受け取る

― フェデレーション・メタデータを ADFS へインポート

― SAML連携を確認。

※必要に応じて IBMサポートから SP のテスト環境の接続を求められる場合があります。

6

1.4. IBM Connections Cloud利用における制約事項

IBM Connections Cloud ではログイン IDとなるメールアドレスがユニークであることが必須です。

よって１ユーザー毎にユニークなメールアドレスを用意してください。

もし AD内で複数のユーザーが単一のメールアドレスを共有している場合、IBM Connections Cloudへユーザ

ー登録を行った際に最初に登録したユーザー以外は、残りのユーザーは重複チェックでエラーとなります。

1メールアドレスあたり 1アカウント１ユーザーの割り当てとなるからです。自社 ADで複数のユーザーが共

通のメールアドレスを使用しておりユーザー別に使用させる必要がある場合は、IBM Connections Cloudでユ

ーザー毎に固有のメールアドレスを設定してください。

また、使用するメールアドレスは必ず有効なものを使用してください。パスワードのリセットや、その他通知

メールが受信できなくなります。

1.5. モバイル・アプリケーションを設定する場合

本手順書ではモバイル・アプリケーションは対象ではありませんが参考情報を記載します。

1. 環境のセットアップ

以下の手順を参照してください。

『SAML フェデレーテッド ID の概念 ( https://ibm.biz/BdXpDH )』

2. 使用するモバイル・アプリケーションのセットアップ

IBM Verse 以外の 9.0.1.3 以下の IBM Notes Traveler、もしくはその他 IBM Connections Cloud モバイル・

アプリケーションをご利用の場合にはアプリケーション・パスワードが必要です。

以下を参照してモバイル・アプリケーションをセットアップしてください。

『アプリケーション・パスワードの有効化 ( https://ibm.biz/BdHp2b )』

『アプリケーション・パスワードの生成 (https://ibm.biz/BdHp28 )』

※SP 開始のフロー・モデルに対応した SAML2.0で利用した場合は、構成後でもモバイル・アプリケーション

を利用できます。SAML1.1の利用の場合には、モバイル・アプリケーションを利用できません。

1.6. SAML連携設定の際に接続エラーが生じた場合

以下を参照し、情報を IBMサポートへご連絡ください。

『IBM SmarterCloud の接続問題を調査する Fiddler の利用手順 ( https://ibm.biz/BdHnij )』

7

2. ADFSの構成①

ADFSサーバーからフェデレーション・メタデータのエクスポートを行います。

※AD/ADFSの統合設定が済んでいることが前提です。

2.1. トークン署名証明書のエクスポート

ADFSサーバーからトークン署名証明書をエクスポートします。本手順書では自己証明書を使用します。

1. [インターネットオプション] > [コンテンツ]タブ > [証明書]で証明書ウィンドウが表示されるので、そ

の中からエクスポートするトークン署名証明書を選択し、[エクスポート]をクリックします。

2. 証明書のエクスポートウィザードで「次へ」をクリックします。

8

3. ファイルのエクスポート形式として「DER encoded binary X.509(.CER)」を選択して、「次へ」をクリッ

クします。

4. エクスポートするディレクトリ／ファイル名を入力し、「次へ」をクリックします。

9

5. 「完了」ボタンをクリックし、エクスポートが正常に完了したことを確認します。

10

2.2. フェデレーション・メタデータのエクスポート

1. ADFS管理コンソールを表示します。「フェデレーション・メタデータ」のエンドポイントを選択し、メタ

データを確認します。

2. Web ブラウザーでエンドポイントを開きます。

(自己証明書を使用している場合はエラーが出ますが、その場合は「このサイトの閲覧を続行する(推奨されま

せん)。」をクリックして先へ進みます。)

(例) https://adqit.ibmverse.jp/federationmetadata/2007-06/FederationMetadata.xml

3. 名前を付けて XML ファイルとして保存します。

11

3. IBM Connections Cloud の構成

自社の AD/ADFS(IdP環境)の準備が出来次第、SAMLの有効化の為に IBMサポートへの依頼を行います。

3.1. 設計情報とデータの送付

1. 環境の準備の確認とデータを準備します。

事前確認項目 チェック

ディレクトリー・サーバーを SAML サービスに統合しているか 済

IBM お客様サービス担当員に ID プロバイダー・メタデータを送信す

るための SAML メタデータ・ファイルを作成したか

済

※可能であれば SPのテスト環境となるアプリケーションサーバーを構築し、SAML連携が有効なことも確認し

てください。

上記が確認できたら、以下のデータを用意してください。

・ADFSのフェデレーション・メタデータ(xml)

・ADFSのトークン署名証明書

2. 設計を決定します

設計情報の種類 記入例(本手順の場合)

使用する SAML のバージョン

(SAML1.1 / SAML2.0)

SAML2.0

使用するフェデレーションのタイプ

(フェデレーテッド / UserChoice / AdminChoice)

AdminChoice

使用するフロー・モデル

(IdP 開始フロー・モデル / SP 開始ハイブリッド・フロー・モデル)

SP 開始ハイブリッド・フロー・モ

デル

Web サーバーに実装した SAML

(Tivoli® Federated Identity Manager / OpenSAML / Active Directory

Federation / その他のフェデレーテッド ID マネージャー)

Active Directory Federation

モバイル・アプリを設定するか

※モバイル・アプリケーションは、SP 開始フロー・モデルでのみ機能。

モバイル・アプリケーションを設

定しない

組織名、管理者 ID、カスタマーID

(IBM Connections Cloud管理者メニューから登録情報を確認)

組織名：IVJ

管理 ID：

ibmversejapan@ibmverse.jp

カスタマーID：*******

(オプション) メール受信が可能な 2,3 のメールアドレス

※接続確認の為にテスト SP環境の接続を IBMサポートから求められる

場合があります。IBM サポートから指示を受けた際に用意しても問題あ

りません。

a******@ibmverse.jp

b******@ibmverse.jp

3. 以上のデータと情報を全て、IBMサポートへ SRから送付します。問題がなければ数日中に IBMサポートよ

り、IBM Connections Cloud環境への接続確認依頼が届きます。

12

4. ADFSの構成② クラウド環境のフェデレーション・メタデータのインポート

接続確認依頼時に IBM Connections Cloud 環境のフェデレーション・メタデータ(xml)がリンクとして添付さ

れた形で送付されますので保存し、インポートを行います。

1. ADFS管理コンソールを表示します。「証明書利用者信頼の追加」をクリックします。

2. ようこそ

「証明書利用者信頼の追加ウィザード」が起動するので、「開始」をクリックします。

13

3. 「データソースの選択」

「証明書利用者についてのデータをファイルからインポートする」を選択し、保存した IBM Connections

Cloud環境のフェデレーション・メタデータ(.xml)を入力し、「次へ」をクリックします。

4. 「表示名の指定」

“IBM Connections Cloud”(任意の値)と入力し「次へ」をクリックします。

14

5. 「今すぐ多要素認証を構成しますか？」

「現時点ではこの証明書利用者信頼に多要素認証を構成しない」を選択し、「次へ」をクリックします。

6. 「発行承認規則の選択」

「すべてのユーザーに対してこの証明書利用者へのアクセスを許可する」を選択し、「次へ」をクリック

します。

15

7. 「信頼の追加の準備完了」

各タブの表示内容を確認します。「署名」タブをクリックします。

「署名」タブに IBM Connections Cloudサーバーの証明書情報が登録されていることを確認します。「次

へ」をクリックします。

16

8. 完了

「ウィザードの終了時にこの証明書利用者信頼の[要求規則の編集]ダイアログを開く」にチェックを入れ

て「閉じる」をクリックします。

9. 開いた「要求規則の編集」ダイアログで「規則の追加」をクリックします。

17

10. 「規則の種類の選択」

「要求規則テンプレート」に「LDAP 属性を要求として送信」を選択して「次へ」をクリックします。

18

11. 要求規則の構成

以下のように登録して「完了」をクリックします。

要求規則名 ：「EmailAddresstoNameID」(任意の値)

属性ストア ：「Active Directory」

LDAP属性 ：「E-Mail-Address」

(自社環境のユニークなメールアドレスが格納されたフィールドを選択)

出力方向の要求の種類 ：「名前 ID」

19

12. 登録した規則が追加されていることを確認して「OK」をクリックします。

13. ADFS管理コンソールを表示します。「信頼関係」－「証明書利用者信頼」をクリックして登録した証明書

利用者信頼が追加されていることを確認します。

20

5. 環境接続の確認

本番環境の接続を確認します。

5.1. 設定の確認

1. IBM Connections Cloudの管理者メニューにアクセスし、[システム設定] > [セキュリティ]を表示します。

『ログイン・タイプ』と『ログイン/ログアウト URL』が変更されていることを確認します。

ログイン・タイプ：

「ユーザーが IBM Connections Cloudのログイン・ページを使用するか、組織のログイン・ページを

使用するか、どちらのページでもよいことにするかを、ユーザーごとにいつでも指定できます」

(AdminChoiceの場合)

Web ブラウザーのログイン URL：

組織の認証ページの URLが表示されます。

2. ログイン・タイプの選択(※AdminChoiceのみ)

AdminChoiceを選択した場合に限り、管理者はユーザー毎にログイン・タイプを指定することが出来ます。

▽アイコン > ログイン情報の編集

テスト環境への接続

1. 4. ADFS の構成②では、環境の接続の為の構成を行いました。apps.ap.collabserv.com に(北米データセ

ンターを使用している場合は ap を naに置き換える)接続し、ログイン IDを入力します。

2. メールを開くと、招待メールが届いているのでリンクをクリックします。

3. apps.collabservnext.com(テスト環境)の登録を行います。

4. ログアウトし、再び apps.collabservnext.comにログインします。

ADFSとの SAML連携を確認するため、テスト用のユーザーを選択し[組織のログイン・ページを使用]を設定し

ます。

21

5.2. 本番環境への接続

1. apps.ap.collabserv.com(北米データセンターを使用している場合は apを naに置き換える)に接続し、テ

スト用のユーザーのログイン ID を入力します。

2. 組織の認証画面にリダイレクトされます。

3. ログインできたことを確認します。

以上

22

参考①：ログイン・タイプ毎のログイン画面遷移

管理者メニューでログイン・タイプを変更した際のユーザーのログイン画面が以下のように変化します。

ログイン・タイプ 概要

いずれかのログイン・ページを使用 ユーザーはログイン画面で IBM Connections Cloudのログインを

使うか、組織(ADFS)のログインを使うか自身で選択できます。

(※UserChoiceと同様)

組織のログインを使用 組織(ADFS)のログインを使います。(※フェデレーテッドと同様)

IBM Connections Cloud

ログイン・ページを使用

IBM Connections Cloudのログインを使います。

ログイン・タイプ画面遷移図

23

参考②：ログイン・タイプの一括指定

統合サーバー(LLIS)を使用することで CSV によって一括設定を行います。AdminChoiceを選択した場合にのみ

可能です。(ユーザー・プロビジョニング変更ファイルの作成 https://ibm.biz/BdEe4w )

例えば、ログイン・タイプで"いずれかのログイン・ページを使用"を指定する場合には、統合サーバー(LLIS)

のユーザー・プロビジョニング変更ファイルで、FederationType の項目に"MODIFIED_FEDERATED"を指定して

ください。

参考③：ADFSのインストール

1. [サーバー・マネージャー]→[ダッシュボード]を開き、[役割と機能の追加]をクリックします。

2. 開始する前に

[次へ]をクリックします。

24

3. インストールの種類

[役割ベースまたは機能ベースのインストール]を選択し、[次へ]をクリックします。

4. サーバーの選択

[サーバープールからサーバーを選択]から ADFSに設定するサーバーを選択し、[次へ]をクリックします。

25

5. サーバーの役割

[Active Directory Federation Services]を選択し、[次へ]をクリックします。

6. 機能

デフォルトのままで、[次へ]をクリックします。

26

7. 確認

Active Directory Federation Servicesが選択されていることを確認して、[インストール]をクリックしま

す。

8. 結果

インストールが正常に行われたことを確認し、[このサーバーにフェデレーション サービスを構成します。]

をクリックし、ADと ADFS の連携に移ります。

27

参考④：AD/ADFS統合設定

1. ようこそ

ADと ADFSの統合設定を行っていない場合は[フェデレーションサーバー ファームに最初のフェデレーション

サーバーを追加します]を選択し、[次へ]をクリックします。

2. AD DS への接続

Active Directory ドメイン管理者のアクセス許可を持っているアカウントを選択します。

28

3. サービスのプロパティの指定

SSL 証明書とサービス名を選択します。サービスの表示名は任意で構いません。

4. サービスアカウントの指定

グループ管理アカウントを新規作成する場合は任意のアカウント名を入力します。

29

5. データベースの指定

既存のデータベースを持っていない場合は[Windows Internal Database を使用してサーバーにデータベース

を作成します。] を選択します。

6. オプションの確認

選択内容を確認して、問題がなければ[次へ]をクリックします。

30

7. 前提条件の確認

前提条件を確認し、問題がなければ[構成]をクリックします。

8. 結果

構成の結果を確認し、[閉じる]をクリックします。

31

ADFSの仮のログイン・ページが正常に動作するか確認します。

1. ADFSログイン・ページにアクセスします。

※ホスト名、アカウント名はご自身の環境のものに置き換えてください。

例：https://adqit.ibmverse.jp/adfs/ls/IdpInitiatedSignOn.htm

2. サインインできることを確認します。

以上