# ADFS OIDC 実装 この記事には、OpenID Connect(OIDC)を介したSSOでのログインを設定するための**Active Directory Federation Services(AD FS)固有の**ヘルプが含まれています。別のOIDC IdPでのSSOを使用したログインの設定、またはSAML 2.0を介したAD FSの設定のヘルプについては、[OIDC設定](https://bitwarden.com/ja-jp/help/configure-sso-oidc/)または[ADFS SAML実装](https://bitwarden.com/ja-jp/help/saml-adfs/)を参照してください。 設定は、BitwardenウェブアプリとAD FSサーバー管理マネージャーを同時に操作することを含みます。進行するにあたり、両方をすぐに利用できる状態にして、記録されている順序で手順を完了することをお勧めします。 ## ウェブ保管庫でSSOを開く Bitwardenの[ウェブアプリ](https://bitwarden.com/ja-jp/help/getting-started-webvault/)にログインし、製品スイッチャー([filter])を使用して管理者コンソールを開きます。 ![製品-スイッチャー](https://bitwarden.com/assets/2uxBDdQa6lu0IgIEfcwMPP/e3de3361749b6496155e25edcfdcf08b/2024-12-02_11-19-56.png) ナビゲーションから**設定** → **シングルサインオン**を選択してください。 ![OIDC設定](https://bitwarden.com/assets/51wSToXTHHVmBCrLrE8T0E/85aa432ea19eadf0195317f4f233e973/2024-12-04_09-41-46.png) まだ作成していない場合は、あなたの組織のためのユニークな**SSO識別子**を作成してください。それ以外の場合、この画面でまだ何も編集する必要はありませんが、簡単に参照できるように開いたままにしておいてください。 > [!TIP] Self-hosting, use alternative Member Decryption Options. > 代替の**メンバー復号化オプション**があります。[信頼できるデバイスでのSSOの使い方](https://bitwarden.com/ja-jp/help/about-trusted-devices/)または[キーコネクター](https://bitwarden.com/ja-jp/help/about-key-connector/)の使い方を学びましょう。 ## アプリケーショングループを作成する サーバーマネージャーで、**AD FS 管理**に移動し、新しいアプリケーショングループを作成します。 1. コンソールツリーで、**アプリケーショングループ**を選択し、アクションリストから**アプリケーショングループを追加**を選択します。 2. ウィザードのウェルカム画面で、**サーバーアプリケーションがWeb APIにアクセス**テンプレートを選択してください。 ![AD FS Add Application Group](https://bitwarden.com/assets/5X9h5j0BUUJ39NLtOqarjF/5948faaf2e497cc435b6da0f2e8ce610/adfs-oidc-1.png) 3. サーバーアプリケーション画面上で: ![AD FS Server Application screen](https://bitwarden.com/assets/1e87bYOhKpJ4cWuvlgrRL8/46389fb08be2d247303a55d5e17196d4/adfs-oidc-2.png) - サーバーアプリケーションに**名前**を付けてください。 - **クライアント識別子**をメモしてください。この値は次のステップで必要になります。 - **リダイレクトURI**を指定してください。クラウドホストのお客様の場合、これは`https://sso.bitwarden.com/oidc-signin`または`https://sso.bitwarden.eu/oidc-signin`です。自己ホスト型のインスタンスの場合、これは設定されたサーバーURLによって決定されます。例えば、`https://your.domain.com/sso/oidc-signin`のような形式です。 4. アプリケーション資格情報の設定画面で、**クライアントシークレット**をメモしてください。この値は次のステップで必要になります。 5. Web API設定画面で: ![AD FS Configure Web API screen](https://bitwarden.com/assets/28pMbK9dUI9ZIfcwDaf4Dw/b0572921f857956d3a61077de352c555/adfs-oidc-3.png) - Web APIに**名前**を付けてください。 - **クライアント識別子**と**リダイレクトURI**を識別子リストに追加してください(ステップ2B.&C.を参照)。 6. 「アクセス制御ポリシーの適用」画面で、アプリケーショングループに適切なアクセス制御ポリシーを設定します。 7. アプリケーション権限の設定画面で、スコープ`allatclaims`と`openid`を許可します。 ![AD FS Configure Application Permissions screen](https://bitwarden.com/assets/2PvGUtVgRfd0GLx1HG72Is/1e41e84f90fac6b20b4aaf93a9c38069/adfs-oidc-4.png) 8. アプリケーショングループウィザードを完了します。 ## 変換クレームルールを追加します サーバーマネージャーで、**AD FS 管理**に移動し、作成されたアプリケーショングループを編集します: 1. コンソールツリーで、**アプリケーショングループ**を選択します。 2. アプリケーショングループリストで、作成したアプリケーショングループを右クリックし、**プロパティ**を選択します。 3. アプリケーションセクションで、Web APIを選択し、**編集...**を選択します。 4. **発行変換ルール**タブに移動し、**ルールを追加...**ボタンを選択します。 5. ルールタイプ選択画面で、**LDAP属性をクレームとしてSendする**を選択します。 6. 「クレームルール設定」画面で: ![AD FS Configure Claim Rule screen](https://bitwarden.com/assets/67MOJ621dRTvbkVR5gyW7e/044d2b61f1df83069f961d30639f29b3/adfs-oidc-5.png) - ルールには**請求ルール名**を付けてください。 - LDAP属性ドロップダウンから、**E-Mail-Addresses.**を選択してください。 - 送信クレームタイプのドロップダウンから、**Eメールアドレス**を選択してください。 7. 選択**完了。** ## ウェブアプリに戻る この時点で、AD FSサーバー管理者のコンテスト内で必要なすべてを設定しました。次のフィールドを設定するために、Bitwardenウェブアプリに戻ってください: | **フィールド** | **説明** | |------|------| | 権限 | あなたのAD FSサーバーのホスト名を入力し、`/adfs `を追加してください。例えば、`https://adfs.mybusiness.com/adfs`のようになります。 | | クライアントID | [取得したクライアントID](https://bitwarden.com/ja-jp/help/adfs-oidc-implementation/#create-an-application-group/)を入力してください。 | | クライアントシークレット | [取得したクライアントシークレット](https://bitwarden.com/ja-jp/help/adfs-oidc-implementation/#create-an-application-group/)を入力してください。 | | メタデータアドレス | 指定された**権限**の値に`/.well-known/openid-configuration`を追加して入力してください。例えば、`https://adfs.mybusiness.com/adfs/.well-known/openid-configuration`のようになります。 | | OIDCリダイレクトの振る舞い | **リダイレクト GET**を選択します。 | | ユーザー情報エンドポイントから請求を取得する | このオプションを有効にすると、URLが長すぎるエラー(HTTP 414)、切り捨てられたURL、および/またはSSO中の失敗が発生した場合に対応します。 | | カスタムスコープ | リクエストに追加するカスタムスコープを定義します(カンマ区切り)。 | | 顧客ユーザーID請求タイプ | ユーザー識別のためのカスタムクレームタイプキーを定義します(カンマ区切り)。定義された場合、カスタムクレームのタイプは、標準のタイプに戻る前に検索されます。 | | メールアドレス請求タイプ | ユーザーのメールアドレスのためのカスタムクレームタイプキーを定義します(カンマ区切り)。定義された場合、カスタムクレームのタイプは、標準のタイプに戻る前に検索されます。 | | カスタム名前請求タイプ | ユーザーのフルネームまたは表示名のためのカスタムクレームタイプキーを定義します(カンマ区切り)。定義された場合、カスタムクレームのタイプは、標準のタイプに戻る前に検索されます。 | | 要求された認証コンテキストクラス参照値 | 認証コンテキストクラス参照識別子(`acr_values`)(スペース区切り)を定義してください。リスト`acr_values `を優先順位で並べてください。 | | 応答で期待される "acr" 請求値 | Bitwardenがレスポンスで期待し、検証するための`acr`クレーム値を定義してください。 | これらのフィールドの設定が完了したら、**保存**してください。 > [!TIP] Policies for SSO Guides > シングルサインオン認証ポリシーを有効にすることで、ユーザーにSSOでログインすることを要求することができます。メモしてください、これは単一の組織ポリシーも同時に活性化する必要があります。[もっと学ぶ](https://bitwarden.com/ja-jp/help/policies/) ## 設定をテストする 設定が完了したら、[https://vault.bitwarden.com](https://vault.bitwarden.com)に移動して、メールアドレスを入力し、**続ける**を選択し、**エンタープライズシングルオン**ボタンを選択してテストしてください: ![エンタープライズシングルサインオンとマスターパスワード](https://bitwarden.com/assets/3BdlHeogd42LEoG06qROyQ/c68021df4bf45d72e9d37b1fbf5a6040/login.png) 設定された[組織ID](https://bitwarden.com/ja-jp/help/configure-sso-oidc/#step-1-enabling-login-with-sso/)を入力し、**ログイン**を選択してください。あなたの実装が正常に設定されている場合、AD FS SSOログイン画面にリダイレクトされます。AD FSの資格情報で認証した後、Bitwardenのマスターパスワードを入力して保管庫を復号化してください! > [!NOTE] SSO must be initiated from Bitwarden > Bitwardenは勝手なレスポンスをサポートしていませんので、あなたのIdPからログインを開始するとエラーが発生します。SSOログインフローはBitwardenから開始されなければなりません。