Active Directory フェデレーションサービス (ADFS) SAML インテグレーション

Lucidchart を ADFS と連携させることにより、ユーザーが ADFS 経由で SAML シングルサインオン認証を利用できるようになります。以下のチュートリアルでは、Lucidchart と ADFS を連携させるプロセスを説明しています。

SAML インテグレーションはエンタープライズアカウントでのみ利用可能です。アカウントのアップグレードについては、料金ページをご覧になるか、セールスチームまでお問い合わせください。

まず、フェデレーションメタデータをダウンロードし、Lucidchart にインポートすることから始めます。

    1. フェデレーションメタデータをダウンロードします。フェデレーションメタデータは、ADFS サーバーの以下の URL からアクセスできます。URL の [myserver.domain] 部分をお使いの ADFS サーバー URL の内容に置き換えてください:

      https://[myserver.domain].com/FederationMetadata/2007-06/FederationMetadata.xml
    2. Lucidchart の文書画面で [チーム] を選択し、[Lucidchart 管理者] パネルに移動します。

      チームボタン
    3. [アプリのインテグレーション] を選択します。

      アプリのインテグレーション
    4. インテグレーションページで [SAML] を選択します。

      SAML
    5. ページ上部で [SAML インテグレーションの有効化] を選択します。

      SAML の有効化
    6. Lucidchart のサインイン URL セクションで、アカウントのドメインを入力します。完全な URL ではなく、必ずドメインのみを入力してください。

      ドメイン
    7. テキストエディターを使用してフェデレーションメタデータ XML ファイルを開きます。XML ファイルからテキストをコピーし、[ID プロバイダのメタデータ] セクションの下のテキストボックスに貼り付け、[変更を保存] をクリックします。

      変更を保存

おめでとうございます!Lucidchart での SAML 設定が完了しました。さらに ADFS で Lucidchart 証明書利用者信頼を作成し、設定していきます。

次に、Lucidchart のメタデータを使用して証明書利用者信頼を作成し、設定します。

  1. Lucidchart の SAML ページから [メタデータをダウンロード] を選択し、Lucidchart のメタデータをダウンロードします。ADFS サーバーからアクセス可能な場所にメタデータを保存します。

    メタデータをダウンロード
  2. ADFS を開き、[証明書利用者信頼] を右クリックします。メニューから [証明書利用者信頼を追加] を選択し、[証明書利用者信頼の追加] ウィザードを開きます。

    AD FS ウィンドウ
  3. 初期画面をクリックして次へ進みます。[データ ソースの選択] 画面で、[証明書利用者についてのデータをファイルからインポートする] を選択します。[参照] を選択し、Lucidchart のメタデータファイルを探します。所属先の組織の設定に基づき、残りの設定を完了します。

    証明書利用者信頼ウィザードを追加
  4. 最近作成した Lucidchart 証明書利用者信頼を右クリックし、ドロップダウンメニューから [プロパティ] を選択します。高度な設定タブを選択し、ハッシュアルゴリズムドロップダウンに SHA-256 が表示されていることを確認した上で [適用] を選択します。

    ADFS_SHA-256.png
  5. Lucidchart 証明書利用者信頼を右クリックし、[要求規則の編集] を選択します。LDAP を使用して要求規則を追加し、以下の属性と要求種別に一致するよう要求規則を設定します。その後、[終了] をクリックします。

    変換要求規則ウィザードを追加

この手順により、Lucidchart での ADFS SAML インテグレーション設定が完了し、Lucidchart が ADFS 経由の SAML シングルサインオン認証に対応するようになりました。

インテグレーションの設定が問題なくスムーズに完了するのがベストではありますが、発生しうるエラーへの対処方法も以下で説明しておきます。

無効な SAML レスポンス

このエラーは、IDP からの無効な SAML レスポンスに対応するもので、通常、ADFS のハッシュアルゴリズムを 「SHA-1」から「SHA-256」へ切り替える必要がある場合に表示されます。Lucidchart 証明書利用者信頼を表示し、右クリックして [プロパティ] を選択します。[高度な設定] タブをクリックし、ハッシュアルゴリズムを「SHA-1」から「SHA-256」へ切り替えます。

あなたのチームには SAML が設定されていません。SAML が設定されたチームに招待状をリクエストしてください。

このエラーは、SAML 経由でログインを試行しているユーザーが、SAML が有効化されたチームに関連付けられていない場合に表示されます。このユーザーがチームに参加するには、管理者による招待状の送信が必要となります。Lucidchart 管理者パネルから [ユーザー] を選択します。右上の [+ユーザー] をクリックし、そのユーザーのメールアドレスを入力します。

無効な ID 属性

このエラーは、SAML レスポンスで無効な ID 属性が受信されたことを示すものです。「Email-Addresses」が ADFS の 「Name ID」に対応する Lucidchart 証明書利用者信頼の要求属性を設定します。

XML を解析できませんでした

このエラーは、ID プロバイダの XML メタデータに不正な構文が含まれることを示すものです。Internet Explorer のウィンドウからメタデータをダウンロードする際に発生します。Internet Explorer では、XML タグの展開と折りたたみ時ににダッシュが追加されます。XML データをテキストエディターで開くか、コピーされた XML テキストに含まれるダッシュをすべて削除することでこの問題を解決することができます。

username_12345@example.com ユーザーを作成中です

Lucidchart SAML インテグレーションは、名、姓、メールアドレスの3つの属性に対応しています。無効なメールアドレスが SAML ID プロバイダから渡された場合には、有効なメールアドレスが生成され、「渡された値」+「SAML ID」+「@example.com」で構成されるユーザーが作成されます。こうした事態は、有効なメールアドレスではなく、ユーザー名または名がメールアドレス属性に渡された場合に起こるのが一般的です。この問題は、メールアドレス属性に有効なメールアドレスを送信するよう要求規則を設定することで解決することができます。