ADFS を IdP として使用した Drupal への SAML シングル サインオン (SSO)

を使用した Drupal SAML 統合 miniOrange SAML SP モジュールは、ADFS と Drupal サイトの間にシームレスな SSO を確立します。 ユーザーは、ADFS 資格情報を使用して Drupal サイトにログインできるようになります。 このドキュメントでは、サービス プロバイダー (SP) としての Drupal とアイデンティティ プロバイダー (IdP) としての ADFS の間でシングル サインオン - SSO を構成する手順について説明します。 このモジュールは Drupal 7、Drupal 8、Drupal 9、および Drupal 10 と互換性があります。

Drupal SAML SP メタデータ

• Drupal サイトにモジュールをインストールした後、 管理部門 メニュー、に移動 設定 → ユーザー → miniOrange SAML ログイン設定. (/admin/config/people/miniorange_saml/idp_setup)

• に移動します サービスプロバイダーのメタデータ そしてメタデータをダウンロードします。 (これは、ADFS を SAML IdP として構成する場合に必要です)

SAML シングル サインオン アプリケーションの構成

• In サーバーマネージャ、 クリック ツール 次に選択します ADFS 管理.

• 右側のパネルから選択します 依拠当事者の信頼を追加する 下 ADFS

• 続行するには、をクリックします 開始 ようこそ画面のボタン。

• 現在地に最も近い 証明書利用者に関するデータをファイルからインポートします オプション。 SP メタデータ ファイルをアップロードします。 Drupal。 クリックします。 Next 続行するにはボタンを押します。

• 表示名、アプリケーションの名前を入力し、 Next

• 選択 全員許可 [アクセス コントロール ポリシーの選択] ページで、 Next

• 「信頼を追加する準備ができました」ページで「次へ」ボタンをクリックします。

• [完了] ページで、次のチェックボックスがオンになっていることを確認します。 このアプリケーションのクレーム発行ポリシーを構成する を選択して、 閉じる.

• アプリケーションは以下で見つけることができます リレーパーティートラスト 作成されたら、ADFS に保存します。
• 右側のパネルで、 請求発行ポリシーの編集 ADFS で作成したアプリケーション (この場合は DrupalSAML) のドロップダウン メニューから。

• クリック ルールを追加する 上のボタン 発行変換規則 タブには何も表示されないことに注意してください。

• ソフトウェア設定ページで、下図のように ルールテンプレートの選択 ページをクリックします Next

• 「ルールの構成」ページに指定された情報を入力します。

  クレームルール名	要求ルール名 (任意) を入力します (例: Attribute)
  属性ストア	ドロップダウンからの Active Directory

• 次のように送信 LDAP 属性をマッピングします。

  LDAP 属性 (さらに追加するには選択または入力)	送信要求タイプ (さらに追加するには選択または入力)
  メールアドレス	名前ID
  表示名	名前

• 続行するには、 終了

• ソフトウェア設定ページで、下図のように 発行変換規則 タブをクリックします。 申し込む、[OK]をクリックします OK 続行します。

• 以下の画像に示すように、選択します フェデレーション サービスのプロパティを編集する AD FS ドロップダウンから。

ADFS のメタデータを取得します。

• ソフトウェア設定ページで、下図のように フェデレーション サービスのプロパティ ウィンドウに移動します タブをクリックしてコピーします フェデレーションサービス 名前。

• 交換する " URL内の「」 https://<your_ADFS_domain>/federationmetadata/2007-06/federationmetadata.xm> 実際の「フェデレーション サービス名」を使用します。 たとえば、フェデレーション サービス名が「example.com」の場合、更新されたメタデータ URL は次のようになります。 https://<your_ADFS_domain>/federationmetadata/2007-06/federationmetadata.xml.
• 次に、次の形式の「ADFS IdP メタデータ URL」をコピーします。 https://<your_ADFS_domain>/federationmetadata/2007-06/federationmetadata.xml. (これは Drupal をさらに構成するために必要になります)

Drupal を SAML サービス プロバイダーとして構成します。

• Drupal サイトを開きます。 モジュールの「サービスプロバイダー設定」タブに移動します。
• ソフトウェアの制限をクリック IDPメタデータのアップロード セクション
• ここでメタデータ URL を貼り付けます。 ADFS IdP。

• クリック ホイール試乗 Drupal と ADFS 間の接続を確認するためのリンク。

• 構成が正しい場合は、テスト構成ウィンドウに SAML 応答属性を含む成功メッセージが表示されます。 そうしないと、追加のトラブルシューティング手順を含むエラー メッセージが表示されます。 クリック クリックします

おめでとう！ ADFS をアイデンティティ プロバイダーとして、Drupal をサービス プロバイダーとして正常に構成しました。

SAML SSO ログインはどのように機能しますか?

• 新しいブラウザ/プライベート ウィンドウを開き、Drupal サイトのログイン ページに移動します。
• クリック ID プロバイダー (ADFS) を使用したログイン リンクをクリックします。
• ADFS ログイン ページにリダイレクトされます。 ADFS 資格情報を入力します。 認証が成功すると、ユーザーは Drupal サイトにリダイレクトされます。

Windows SSO

 Windows 認証用に ADFS を構成する手順

• ADFS サーバーで管理者特権のコマンド プロンプトを開き、次のコマンドを実行します。

setspn -a HTTP/##ADFS サーバー FQDN## ##ドメイン サービス アカウント##

FQDN は完全修飾ドメイン名です (例: adfs4.example.com)

ドメイン サービス アカウントは、AD のアカウントのユーザー名です。

例: setspn -a HTTP/adfs.example.com ユーザー名/ドメイン

• AD FS 管理コンソールを開き、「認証ポリシー」セクションに移動して、グローバル認証ポリシーを編集します。 イントラネット ゾーンの Windows 認証を確認します。

• Internet Explorer を開きます。 「インターネット オプション」の「セキュリティ」タブに移動します。
• AD FS の FQDN をローカル イントラネットのサイトのリストに追加し、ブラウザーを再起動します。
• セキュリティ ゾーンのカスタム レベルを選択します。 オプションのリストで、「イントラネット ゾーンのみで自動ログオンする」を選択します。

• PowerShell を開き、次の XNUMX つのコマンドを実行して、Chrome ブラウザーで Windows 認証を有効にします。

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Chrome")

Get-AdfsProperties | -ExpandProperty WIASupportedUserAgents を選択します

• Windows 認証用に ADFS を構成しました。 Drupal の証明書利用者を追加するには、次の手順に従います。