ADFS IDP での証明書利用者としての Edge の構成

このドキュメントでは、SAML 認証が有効になっている Edge 組織の ID プロバイダとして Microsoft Active Directory Federation Services(ADFS)を構成する方法について説明します。この例では、Windows 2012 R2 ADFS 3.0 バージョンを使用しています。

Edge 組織の SAML 認証の有効化については、Edge の SAML 認証を有効化するをご覧ください。

証明書利用者の構成

  1. ADFS 管理コンソールを開きます。
  2. ツリー構造で [信頼関係] を展開します。[証明書利用者信頼] フォルダが表示されます。
  3. [証明書利用者信頼] を右クリックし、[証明書利用者信頼の追加] を選択して [証明書利用者信頼の追加ウィザード] を開きます。
  4. ウィザードで [開始] をクリックして開始します。
  5. [データ ソースの選択] ダイアログ ボックスで、[オンラインまたはローカル ネットワークで公開されている証明書利用者についてのデータをインポートする] オプションを使用して Apigee によって提供されたメタデータ URL をインポートし、[次へ] をクリックします。
  6. 表示名を指定し、[次へ] をクリックします。デフォルトでは、ADFS は表示名として「zonename.login.apigee.com」を使用します。そのままにするか、証明書利用者の表示名として「Apigee Edge」に変更できます。
  7. [今すぐ多要素認証を構成しますか?] ダイアログ ボックスで、[現時点ではこの証明書利用者信頼に多要素認証を構成しない。] を選択し、[次へ] を選択します。
  8. [発行承認規則の選択] ダイアログ ボックスで、[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択し、[次へ] をクリックします。
  9. [信頼の追加の準備完了] ダイアログ ボックスで、設定を確認し、[次へ] をクリックして設定を保存します。
  10. [閉じる] をクリックしてウィザードを閉じます。次のセクションで説明する [要求規則の編集] ダイアログ ボックスが表示されます。

要求規則の追加

前のセクションで [証明書利用者信頼の追加ウィザード] を完了すると、[要求規則の編集] ダイアログ ボックスが自動的に開きます。表示されない場合は、左側のパネルの [要求規則の編集] をクリックします。

このセクションでは、2 つの要求規則を追加します。

  1. [規則の追加] をクリックします。
  2. [規則の種類の選択] で、[要求規則テンプレート] を [LDAP 属性を要求として送信] として設定し、[次へ] をクリックします。
  3. 次の情報を指定します。
    • 要求規則名 = Email Address
    • 属性ストア = Active Directory
    • 出力方向の要求の種類 = 電子メール アドレス
  4. [完了] をクリックします。[要求規則の編集] ダイアログ ボックスが表示されます。
  5. [規則の追加] をクリックして、入力方向の要求を変換する 2 つ目の要求を追加します。
  6. [要求規則テンプレート] として [入力方向の要求を変換] を選択し、[次へ] をクリックします。
  7. 次の情報を指定します。
    • 要求規則名 = Incoming Email Claim
    • 入力方向の要求の種類 = 電子メール アドレス
    • 出力方向の要求の種類 = 名前 ID
    • 出力方向の名前 ID の形式 = 電子メール
  8. [OK] をクリックします。[要求規則の編集] ダイアログ ボックスに 2 つの要求規則が表示されます。
  9. [OK] をクリックします。新しい証明書利用者信頼が左側のナビゲーション ツリーに表示されます。
  10. 証明書利用者信頼を右クリックして [プロパティ] を選択します。
  11. [詳細設定] タブを参照します。[セキュア ハッシュ アルゴリズム] を [SHA-256] に設定し、[適用] をクリックします。

構成が完了しました。