フェデレーション設定

Outlookアドインやブラウザ版でフェデレーション認証を使用するには、事前にお客様のフェデレーションサーバーと弊社AddressLookサーバーとで連携するための設定が必要です。
※本ガイドは、サーバー「www.addresslook.net」ご利用時の導入方法について記載しています。

※AddressLook Premium・AddressLook for Microsoft Teamsでは、フェデレーション認証の設定は不要です。

以下のいずれかの方法で設定を行ってください。

• Microsoft Entra認証
• ADFSサーバー
• HENNGE ONE

※弊社AddressLookサーバーでの設定が必要になります。
下記の設定後、Onlineサービス事務局へ情報をご提供ください。

Microsoft Entra認証

1. Microsoft Azure ポータルにサインインします。
   https://portal.azure.com/

2. Azure サービスから「Microsoft Entra ID」を選択します。

3. 管理メニューから「アプリの登録」を開き、「新規作成」をクリックします。
   
   
   

4. アプリケーションの登録画面で以下の設定を行い、「登録」ボタンをクリックします。

   
   

   項目	設定
   名前	AddressLook B2C
   サポートされているアカウントの種類	この組織ディレクトリのみに含まれるアカウント
   リダイレクトURI	https://www.addresslook.net

5. アプリケーションの登録完了後 管理メニューから「APIの公開」を開き、アプリケーション ID URIの「編集」リンクをクリックします。
   
   
   

6. アプリIDのURIの設定画面で「アプリケーションIDのURI」の値を「api://addresslookb2c」に変更後、「保存」ボタンをクリックします。
   ※大文字小文字も正しく入力してください。
   
   
   

7. 管理メニューから「認証」を開き、「URIの追加」リンクをクリックします。
   以下のURLを追加し、「保存」ボタンをクリックします。

   
   

   項目	設定
   応答 URL	https://addresslookb2c.b2clogin.com/addresslookb2c.onmicrosoft.com/B2C_1A_TrustFrameworkBase_AddressLook/samlp/sso/assertionconsumer ※大文字小文字も正しく入力してください。 ※一行で入力してください。

8. 管理メニューから「APIのアクセス許可」をクリックします。
   「構成されたアクセス許可」の「＜管理者アカウント名＞に管理者の同意を与えます」をクリックします。
   
   

9. 表示されるメッセージを確認して、「はい」ボタンをクリックします。
   「同意の付与に成功しました。」と表示されることを確認します。
   
   
   

• Onlineサービス事務局へご提供いただきたい情報
  フェデレーション メタデータ「FederationMetadata.xml」にアクセス可能なURL
  https://login.microsoftonline.com/[ドメイン名]/FederationMetadata/2007-06/FederationMetadata.xml
  例： https://login.microsoftonline.com/example.onmicrosoft.com/FederationMetadata/2007-06/FederationMetadata.xml

ADFSサーバー

1. ADFSサーバー上の「ADFSの管理」ツールを起動し、「サービス」-「エンドポイント」フォルダを開きます。

2. 一覧から以下の行を選択し、有効にします。

   
   

   項目	設定
   種類	WS-Trust 1.3
   URLパス	/adfs/services/trust/13/usernamemixed /adfs/services/trust/13/windowsmixed

3. ADFS 2.0のサービスを再起動します。

4. 「証明書利用者信頼」をクリックし、操作メニューから「証明書利用者信頼の追加」をクリックします。
   
   
   

5. ウィザードを開始します。

6. ようこそ画面で「要求に対応する」を選択し、「開始」ボタンをクリックします。
   
   
   

7. データ ソースの選択画面で「証明書利用者についてのデータを手動で入力する」を選択し、「次へ」ボタンをクリックします。
   
   
   

8. 表示名の指定画面で任意の表示名を入力し、「次へ」ボタンをクリックします。
   
   
   

9. 証明書の構成画面で証明書の指定は行わず、「次へ」ボタンをクリックします。
   
   
   

10. URL の構成画面で以下の設定を行い、「次へ」ボタンをクリックします。

    
    

    項目	設定
    SAML 2.0 WebSSO プロトコルのサポートを有効にする	オン
    証明書利用者 SAML 2.0 SSO サービスの URL	https://addresslookb2c.b2clogin.com/addresslookb2c.onmicrosoft.com/B2C_1A_TrustFrameworkBase_AddressLook/samlp/sso/assertionconsumer ※大文字小文字も正しく入力してください。 ※一行で入力してください。

11. 識別子の構成画面で以下の設定値を入力し、「追加」ボタンをクリックします。
    入力した内容が一覧に追加されたら、「次へ」ボタンをクリックします。

    
    

    項目	設定
    証明書利用者信頼の識別子	https://addresslookb2c ※大文字小文字も正しく入力してください。

12. アクセス制御ポリシーの選択画面で「すべてのユーザーを許可」を選択して、「次へ」ボタンをクリックします。
    
    
    

13. 信頼の追加の準備完了画面で設定を確認し、「次へ」ボタンをクリックします。
    
    
    

14. 完了画面で「閉じる」ボタンをクリックします。
    
    
    

15. 要求発行ポリシーの編集ダイアログ ボックスが自動的に表示されるので、「規則の追加」ボタンをクリックします。
    
    
    

16. 規則テンプレートの選択画面で 要求規則テンプレートの設定として「LDAP 属性を要求として送信」を選択し、「次へ」ボタンをクリックします。
    
    
    

17. 要求規則の構成画面で以下の設定を行い、「完了」ボタンをクリックします。

    
    

    項目	設定
    要求規則名	AD
    属性ストア	Active Directory
    LDAP属性の出力方法の要求への関連付け	【1行目】 LDAP属性：User-Principal-Name 出力方向の要求の種類：UPN 【2行目】 LDAP属性：Employee-ID 出力方向の要求の種類：名前ID

18. 要求発行ポリシーの編集ダイアログ ボックスに戻り、「OK」ボタンをクリックします。

19. ADFS の管理ツールに戻り、「証明書利用者信頼」を選択します。
20. 作成した証明書利用者信頼を選択し、「プロパティ」をクリックします。

21. プロパティ画面で「署名」タブを開き、「追加」ボタンをクリックします。
    
    
    

22. 署名証明書を下記のURLからダウンロードして展開し、「追加」ボタンをクリックします。
    ※証明書の期限が切れる前に、証明書を更新する必要があります。
    https://bbscdn.blob.core.windows.net/download/AddressLook_cer.zip

23. プロパティ画面で「詳細設定」タブを開き、セキュア ハッシュ アルゴリズムの設定として「SHA-256」を選択して、「OK」ボタンをクリックします。
    
    
    

• Onlineサービス事務局へご提供いただきたい情報
  フェデレーション メタデータ「FederationMetadata.xml」にアクセス可能なURL
  https://[AD FSサーバー名]/FederationMetadata/2007-06/FederationMetadata.xml
  例： https://adfs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
  
  ※ADFSサーバーにインターネットからアクセスできない環境の場合、フェデレーションメタデータ「FederationMetadata.xml」をファイルに保存してご提供ください。
  ファイルを使用して設定する場合、ADFSサーバーのトークン署名証明書更新時についても 弊社サーバー側の設定が必要となります。
  証明書の更新に併せて弊社サーバー側の設定をしなければADFS認証が利用できなくなりますので、証明書更新前にOnlineサービス事務局にご連絡ください。

• 証明書の更新
  継続してフェデレーション認証を利用するには、期限が過ぎる前に証明書を更新する必要があります。
  
  • お客様側の証明書：
    ファイル「FederationMetadata.xml」を使用したフェデレーション認証を設定している場合、ADFSサーバーのトークン署名証明書を更新後、プライマリ化する前に「FederationMetadata.xml」をファイルに保存してOnlineサービス事務局までご提供ください。
  • 弊社側の証明書：
    手順21で追加した署名検証証明書の更新時期に、新しい証明書をご提供します。
    証明書の有効期限が切れる前に、手順21に沿って新しい証明書を追加してください。

HENNGE ONE

1. HENNGE One 管理者サイトにサインインします。
   https://ap.ssso.hdems.com/admin/〇〇〇(利用ドメイン名)

2. サイドメニューから「システム」-「サービスプロバイダー設定」を選択し、「サービスプロバイダーの追加」をクリックします。
   
   
   

3. サービスプロバイダーの追加画面で、「カスタム」ボタンをクリックします。
   
   
   

4. 以下の設定を行い、「次へ」ボタンをクリックします。
   ※大文字小文字も正しく入力してください。
   ※それぞれ一行で入力してください。

   
   

   項目	設定
   名前	AddressLook B2C
   ACS URL	https://addresslookb2c.b2clogin.com/addresslookb2c.onmicrosoft.com/B2C_1A_TrustFrameworkBase_AddressLook/samlp/sso/assertionconsumer
   Entity ID	https://addresslookb2c
   Name ID	{user.upn}
   ログイン URL	https://www.addresslook.net
   固有番号	任意の数字
   セッション有効時間(時間)	任意の数字

5. 登録完了メッセージが表示されます。
   
   
   

6. サービスプロバイダー設定画面で、署名方式の設定を「アサーション」に変更します。
   
   
   

7. サービスプロバイダー設定画面最下部の「属性の設定」で、「属性の追加」ボタンをクリックします。
   
   
   

8. 「属性の設定」に以下の設定値を入力し、「送信」ボタンをクリックします。
   ※大文字小文字も正しく入力してください。

   
   

   項目	設定
   属性	o365upn
   値	{user.upn}

9. 変更完了メッセージが表示されます。
   
   
   

10. サイドメニューから「ユーザー」-「アクセスポリシーグループ」を開き、利用ユーザーを含むポリシー設定の「編集」を開きます。

11. アクセスポリシーグループの編集画面で 許可するサービスプロバイダーの「AddressLook B2C」のチェックをオンにし、「送信」ボタンをクリックします。
    
    
    

12. 変更完了メッセージが表示されます。
    
    
    

• Onlineサービス事務局へご提供いただきたい情報
  フェデレーション メタデータ「FederationMetadata.xml」にアクセス可能なURL または「FederationMetadata.xml」を保存したファイル