ステップ 2: シングル・サインオンのための ID プロバイダーの構成

2 番目の手順として、ID プロバイダーで BigFix Inventory サーバーを構成します。

Microsoft Active Directory フェデレーション・サービスの構成

これは、Active Directory フェデレーション・サービス (AD FS) を介した BigFix Inventory シングル・サインオン (SSO) の構成例です。

手順

  1. Active Directory フェデレーション・サービスがインストールされているコンピューターにログインします。
  2. コンピューターから AD FS サーバー上のディレクトリーに、spMetadata.xml ファイルをコピーします。
  3. Windows 2012 の画面の左下領域にある長方形の「スタート」をクリックし、次に「AD FS 管理」タイルをクリックします。
  4. AD FS アプリケーションの左側のナビゲーション・ツリーで、「AD FS」 > 「信頼関係」 > 「証明書利用者の信頼」を展開します。
  5. 右側の「証明書利用者の信頼」ペインで、「証明書利用者の信頼の追加」をクリックします。ウィザードが開きます。「開始」をクリックします。
  6. 「証明書利用者に関するデータのファイルからのインポート」を選択します。
  7. 「参照」をクリックし、spMetadata.xml ファイルを選択して、「開く」をクリックします。「次へ」をクリックします。
  8. 新規ペインで、ADFS サービスの「表示名」を指定します。「次へ」をクリックします。
  9. 「すべてのユーザーに証明書利用者へのアクセスを許可」オプションが選択された状態で、「次へ」をクリックします。
  10. 「信頼追加の準備完了」ペインで、「次へ」をクリックします。
  11. 「完了」ペインで、「閉じる」をクリックします。「要求規則の編集」ウィンドウが開きます。
  12. 左下隅にある「規則の追加」ボタンをクリックします。「変換要求規則の追加」ウィザードが開きます。「次へ」をクリックします。
  13. 「要求規則テンプレート」で、「Name ID rule」と入力します。
  14. 「属性ストア」ドロップダウン・リストから、「Active Directory」を選択します。
  15. 「発信要求タイプへの LDAP 属性のマップ」セクションで、最初のドロップダウン・リストをクリックして、「ユーザー・プリンシパル名」を選択します。2 番目のリストで、「名前 ID」を選択します。
  16. 上記のステップを繰り返して以下の構成を指定し、「完了」をクリックします。
    1. 発信要求タイプへの LDAP 属性のマップ
    LDAP 属性 発信要求タイプ
    User-Principal-Name 名前 ID
    E-Mail-Addresses 電子メール・アドレス
    Token-Groups (長いドメイン・ネームで修飾) グループ
    SAM-Account-Name Windows アカウント名
  17. 「要求規則の編集」ウィンドウで、「適用」をクリックして「OK」をクリックします。

次のタスク

BigFix Inventory でシングル・サインオンを有効にします

Microsoft Entra ID の構成

このタスクについて

Microsoft Entra ID を使用して BigFix Inventory を設定するには、ID プロバイダーが開始した (IdP 開始) シナリオのみがサポートされていることに注意する必要があります。Microsoft Entra ID は、BigFix Inventory で使用される IBM WebSphere Libert yに必要な SAML HTTP Post リダイレクト・バインディングをサポートしていません。

Microsoft Entra ID で BigFix Inventory を構成するときは、サインオン URL とリレー状態を設定しないことを確認します。BFI でログイン・ページ URL として Entra のUser Access URLを指定することで、ユーザーは Microsoft Entra ID の ID プロバイダーが開始した (IdP 開始)フローにリダイレクトされます。

手順

  1. Microsoft ガイド『Microsoft Entra アプリケーション・プロキシーを使用したオンプレミス・アプリのセキュリティー・アサーション・マークアップ言語 (SAML) シングル・サインオン (SSO) - Microsoft Entra ID | Microsoft Learn』に従い、以下の情報を使用します。
    1. 識別子 (エンティティー ID): https://<bigfix bfi server>:9081/ibm/saml20/defaultSP
    2. 返信 URL (アサーション・コンシューマー・サービス URL): https://<bigfix bfi server>:9081/ibm/saml20/defaultSP/acs
    3. サインオン URL: 空のままにする
    4. リレー状態: 空のままにする
  2. Entra ID を構成したら、「管理」 > 「シングル・サインオン」ページの BigFix Inventory で SSO を引き続き有効にします。
    1. 「有効化」をクリックします。
    2. BigFix Inventory サービスを再始動します。
    サービスが再始動されると、BigFix Inventory のログイン・ページは、ID プロバイダーのログイン・ページにリダイレクトされます。資格情報を入力します。認証が成功すると、BigFix Inventory ホーム・ページにリダイレクトされます。

タスクの結果

考えられる問題
  1. 無限リダイレクション・ループが発生しています。手動セットアップを続行し、BigFix Inventory からメタデータを使用しないようにします。サインオン URL もリレー状態も構成されていないことを確認します。これらの設定が構成されている場合は、Entra ID でアプリケーション定義を最初から再作成します。
  2. サービス・プロバイダーが開始した (SP 開始) フローのBigFix Inventory ログインページで正しいページが提供されると、エラー AADSTS750054 が表示されることがあります。このエラーは、Entra と WebSphere HTTP バインディング・メソッド間の互換性の欠如が原因です (リダイレクトのみと POST のみ)。エラーについて詳しくは、「Microsoft Learn - AAADSTS750054 エラーのトラブルシューティング」を参照してください。