メインコンテンツまでスキップ
waffle.svg
Domo Knowledge Base - 日本人

Active Directory フェデレーションサービスで SSO を実行する

Version 4

はじめに

ADFS のシングルサインオン(SSO)ソリュ―ションを使用して、Domoにサインインできます

必要条件

ADFSを使って Domo にログインするには、システムに以下のコンポーネントが必要です:

  • 全ての Domo ユーザーにメールアドレス属性がある Active Directory インスタンス

  • シングルサインオン機能がオンになっている Domo インスタンス

  • Microsoft Server 2012 または 2008 を実行しているサーバー

  • ADFS ログインページで署名するための SSL 証明書と指紋認証

これらの基本条件を満たした後、ADFS をサーバーにインストールする必要があります。 ADFS の構成とインストールについてはこのトピックの範囲を超えていますが、Microsoft KBのアーティクルに詳細が記述されています。

ADFS のインストールが完了したら、ADFS エンドポイントセクションの"SAML 2.0/W-Federation" URL を書きとめておきます。 デフォルトインストールをした場合は、「/adfs/ls/」となります。

証明書利用者信頼の追加

サーバーに証明書で ADFS を構成した後、証明書利用者信頼として Domo を追加することができます。

証明書利用者信頼を追加するには、

  1. ADFS を開きます。

  2. スクリーン左のフォルダーリストで、信頼関係 > 証明書利用者信頼を選択します。

  3. スクリーン右側の枠の、証明書利用者信頼を追加をクリックします。
    証明書利用者信頼の追加ウィザードが開きます。

  4. 開始をクリックします。

  5. 証明書利用者についてのデータを手動で入力を選択し、次へをクリックします。

  6. 名前の表示フィールドでユーザーに見せるアプリケーション名を入力し、次へをクリックします。

  7. AD FS プロファイルページを選択し、次へをクリックします。

  8. 証明書を設定画面で次へをクリックします。

  9. Domo で、new_app_icon.png > 管理者を選択します。
    管理者設定が開きます。

  10. セキュリティ > シングルサインオンを選択します。

  11. SAML アサーションエンドポイント URL をコピーします。

  12. ADFS の URL の構成スクリーンで、SAML 2.0 WebSSO プロトコルのサポートを有効にするを選択します。

  13. SAML アサーションエンドポイント URL をテキストフィールドに貼り付け、次へを選択します。

  14. 識別子を設定画面の証明書利用者信頼の識別子フィールドに subdomain.domo.com を入力し、subdomain を会社の Domo サブドメインと入れ替えます。 この URL は、Domo の管理者設定 > セキュリティ > シングルサインオンタブのエンティティ ID フィールドと同じである必要があります。

  15. 追加をクリックし、証明書利用者信頼の識別子として URL を追加します。

  16. 次へをクリックします。

  17. 今すぐ Multifactor Authentication を構成のスクリーンで、次へをクリックします。

  18. 発行承認規則を選択画面で、会社の Domo インスタンスにログインしようとする全てのユーザーを許可するか拒否するかを選び、次へをクリックします。

    注記: 全てのユーザーを拒否することを選択する場合、Domo インスタンスで指定するユーザーのみに限定して許可するルールを作ることができます。

  19. 信頼の追加の準備完了スクリーンで次へをクリックします。

  20. 完了のスクリーンでチェックしたボックスを確認してから、閉じるをクリックします。

クレームルールを作成する

このステップでは、クレームルールを ADFS で作成する必要があります。

  1. 前のステップで作成した証明書利用者信頼を ADFS で選択し、要求規則を編集をクリックします。
    要求規則を編集ウィザードが開きます。

  2. 規則を追加をクリックします。

  3. 要求規則テンプレートのドロップダウンで、LDAP属性を要求として送信を選択し、次へをクリックします。

  4. 要求規則名フィールドに「Domo Claims」と入力します。

  5. 属性ストアで、Active Directoryを選択します。

  6. 以下の概要のとおり、出力方向クレームタイプをマップします:

    LDAP 属性

    出力方向の要求の種類

    E-Mail-Addresses (必須)

    メール

    Display-Name (必須)

    名前

    Is-Member-of-DL

    グループ

     役職

    役職 

     
    注記:含めたグループは、Domo ではユーザーグループとして扱われます。 グループに関する詳細は、ユーザーとグループを管理するを参照してください。  

     

  7. 終了をクリックします。

  8. 適用をクリックします。

  9. OKをクリックしてウィザードを閉じます。

Domo へのアクセスの設定(条件付き)

前のステップで全てのユーザーの Domo へのアクセスを拒否することを選択した場合、Domoに残して置きたいユーザーの為に発行承認規則を追加する必要があります。

発行承認規則を追加するには、

  1. ADFSで、作成した証明書利用者信頼のための要求規則を編集ウィザードを開始します。

  2. 発行承認規則タブを開きます。

  3. 規則を追加をクリックします。

  4. 規則の種類を選択のスクリーンで次へをクリックします。

  5. 要求規則の構成の画面で、要求規則名フィールドにルール名を入力します。

  6. Domo へのアクセスを許可または拒否するために使用するクレームとその値を指定します。

  7. 終了をクリックします。

  8. 適用をクリックします。

  9. OKをクリックしてウィザードを閉じます。

Domo を ADFS で構成する(条件付き)

署名用証明書をわかりやすいファイルロケーションにまだコピーしていない場合、このセクションのステップに従います。

Domo をADFSで構成するには、

  1. ADFSで、フォルダーパネルのサービス > 証明書を選択します。

  2. トークン署名証明書を選択します。

  3. 証明書を表示をクリックします。

  4. 詳細タブを開きます。

  5. ファイルにコピーを選択します。

  6. 証明書を Base-64 コード X.509 ファイルとして保存します。

  7. 終了をクリックします。

  8. Domo で、new_app_icon.png > 管理者を選択します。
    管理者設定が開きます。

  9. セキュリティ > シングルサインオンを選択します。

  10. Domo が SAMLRequest を送るべきロケーションをアイデンティティエンドポイントURL フィールドに入力します。
    これは、通常自分のADFSサーバーの名前に/adfs/ls/をつけたものです。 例: ssp.example.com/adfs/ls/

  11. エンティティID フィールドで、証明書利用者信頼のセットアップで使用した固有識別名(subdomainem.domo.com)を入力します。

  12. トークン署名証明書を Domo にアップロードします。

  13. Domo に、LDAP グループを自動的にインポートしたいかを指定します。

  14. 構成が正常に作動するか確認するため、接続をテストをクリックします。