Connect AI はマネージドアイデンティティブローカーとして Auth0 を使用します。ADFS はお客様が運用するため、クレームルール、証明書、証明書利用者信頼はお客様側で構成します。Auth0 テナント、コネクションのフェデレーションメタデータ、または Rules と Actions に関する手順は、CData がブローカー側で構成します。これらが問題に該当する場合は、CData サポート にお問い合わせください。
よくある質問
どの SAML NameID フォーマットを使用すべきですか?
どの SAML NameID フォーマットを使用すべきですか?
EmailAddress を推奨します。最も広く使用されています。Persistent と Unspecified もブローカーで受け入れられますが、Email を使用するとマッピングがシンプルになります。
ログインできるユーザーを制限できますか?
ログインできるユーザーを制限できますか?
はい。お客様側で、ADFS 内の証明書利用者信頼で対象のユーザーまたはグループのみにアクセスを許可します。第 2 のレイヤーとして Auth0 Rules または Actions によるフィルタリングがありますが、これは CData がブローカー側で構成します。必要な場合は CData サポート にお問い合わせください。
メタデータファイルとメタデータ URL のどちらを提供すべきですか?
メタデータファイルとメタデータ URL のどちらを提供すべきですか?
スタンドアロンのファイルよりも、フェデレーションメタデータエンドポイントが推奨されます。エンドポイント(
/FederationMetadata/2007-06/FederationMetadata.xml)にアクセス可能な場合、ブローカーはロールオーバーに先立って追加された新しいトークン署名証明書など、構成変更を自動的に取得できます。CData がこれをブローカー側で入力するため、ADFS でエンドポイントが有効になっており到達可能であることを確認し、SSO のプロビジョニング時にその場所を共有してください。よくあるエラー
テスト接続が無効な署名で失敗します。
テスト接続が無効な署名で失敗します。
ブローカーに登録された証明書は、ADFS のトークン署名証明書と一致する必要があります。現在の署名証明書であること、および値に余計な文字が含まれておらず、
-----BEGIN CERTIFICATE----- と -----END CERTIFICATE----- の行が含まれていることを確認します。証明書はブローカー側で保持されているため、たとえば証明書のロールオーバー後など、更新が必要な場合は CData サポート にお問い合わせください。ADFS のサインインページは表示されますが、リダイレクトが失敗します。
ADFS のサインインページは表示されますが、リダイレクトが失敗します。
ADFS に設定された ACS URL は、コールバック URL と完全に一致する必要があります。次のパターンに従います。ここでテナントとコネクション名は、お客様のアカウントで SSO が有効化された際に CData が提供する値です:
https://<AUTH0-TENANT>.auth0.com/login/callback?connection=<CONNECTION_NAME>正確な値がわからない場合は、CData サポート にお問い合わせください。アサーションに NameID または email が見つかりません。
アサーションに NameID または email が見つかりません。
- ADFS のクレームルールを見直し、Name ID がユーザーのメールアドレスにマップされていることを確認します。
- SAML-tracer などのブラウザツールでアサーションを検査し、ADFS が実際に何を送信しているかを確認します。