SAML 2.0 機能に対応しているため、サードパーティの「ID プロバイダ」を使用して MOVEit ユーザーを認証できるように、MOVEit をカスタマイズすることができます。ID プロバイダとは、サービスプロバイダからの認証要求に対して、SAML 経由で ID アサーションを提供するアプリケーションのことです。MOVEit は、サービスプロバイダとして動作します。この展開パターンでは、MOVEit を「SAML コンシューマ」と呼ぶことができます。

シングルサインオンオプション (表示は MOVEit Mobile)

シングルサインオンオプション (表示は Web UI)

ユーザーが選択した ID プロバイダ (表示は Web UI)

Security Assertion Markup Language (SAML) 2.0 は、安全な Web ドメイン内で認証データを交換するためのメカニズムを提供します。SAML 2.0 は XML ベースのプロトコルで、OASIS 標準です。SAML の詳細については、OASIS の「SAML の概要」を参照してください。

重要: SAML シングルサインオンサービスを使用すると、ユーザーはサードパーティの ID プロバイダを使用して MOVEit に接続することができます。これにより、ネットワークまたは企業アカウントにサインオンしたユーザーは、追加で MOVEit 固有の認証情報を入力せずに MOVEit にアクセスできます。

MOVEit は、ID プロバイダとして以下からの認証をサポートします。

  • Shibboleth
  • OneLogin
  • Windows Server Active Directory フェデレーションサービス (AD FS)。(注: Microsoft では、初期のバージョンを「ADFS」と呼びます)
注: MOVEit Transfer を使用して、Windows Server 2019 AD FS (「ADFS 5.0」とも呼ばれる) と Windows Server 2016 AD FS (「ADFS 4.0」とも呼ばれる) のテストを行いました。

これらの ID プロバイダによる認証は、テスト済みでサポートされています。SAML 2.0 プロトコルをサポートするここに表示されていないその他の ID プロバイダも、MOVEit で使用できます。

MOVEit Desktop、Mobile Client、MOVEit Web UI のシングルサインオン

シングルサインオンオプション (表示は Desktop Client)

シングルサインオンオプション (表示は Mobile Client)

シングルサインオンオプション (表示は Web UI)

シングルサインオンが使用可能な場合、ユーザーセッションは次のように機能します。

  1. ユーザーはブラウザを使用して MOVEit Server URL にアクセスします。

    ユーザーがまだサインインしていない場合は、ログインページにシングルサインオンを使用するオプションが表示されます。

  2. ユーザーが SSO ログインリンクをクリックします。
    • 1 つの IdP。ユーザーは ID プロバイダのログインページに移動します。
    • 2 つ以上の IdP。現在の ID プロバイダ (IdP) のページ、または ID プロバイダのリストが表示されます。

  3. ユーザーは、ユーザーを認証した ID プロバイダ (Active Directory フェデレーションサービスなど) を選択します。

    ID プロバイダは認証アサーションを使用して、ブラウザを MOVEit Server にリダイレクトします。

    MOVEit がアサーションを検証し、ユーザーをサインオンします。

  4. シングルログアウトサービスが設定されている場合、ユーザーはネットワーク (ID プロバイダ) アカウントからログアウトすると、MOVEit からもサインオフされます。

MOVEit Transfer Web インターフェイスにサインオンするユーザーに対してシングルサインオンを設定するには、次の操作を行う必要があります。

  • ID プロバイダの要件が特定され、満たされていることを確認します。必要な構成設定については、ID プロバイダのドキュメントを参照してください。
    注: Active Directory をユーザーストアとして使用している場合 (ユーザー認証で「外部ソースのみ」として設定)、その同じユーザーストアを ID プロバイダで使用できます。Active Directory が ID プロバイダとして動作できるように、ADFS をインストールして設定する必要があります。
  • サービスプロバイダ/証明書利用者の設定: MOVEit Server を SAML サービスプロバイダとして設定する詳細については、「設定 - ユーザー認証 - シングルサインオン」を参照してください。
  • フェデレーション ID プロバイダ設定の指定: 1 つ以上の ID プロバイダの追加方法の詳細については、「設定 - ユーザー認証 - シングルサインオン」を参照してください。

MOVEit Transfer Outlook および Sync クライアントのシングルサインオン

シングルサインオンが Outlook プラグインと MOVEit Sync クライアント用に設定されている場合、ユーザーセッションは次のように進みます。

  1. ユーザーは Ad Hoc Transfer クライアント (Outlook プラグイン) を使用してファイルを送信するか、Sync 操作が開始されます。
  2. MOVEit Connector (クライアントのコンピュータ上) は MOVEit Server から SAML 情報を要求します。
  3. MOVEit Server は、サービスプロバイダ URL や ID プロバイダ URL を含んだ SAML 情報を返します。
  4. MOVEit Connector は、SAML 情報を使用して ID プロバイダから SAML トークンを取得します。
  5. MOVEit Connector は、サインオン要求 (SAML トークンを含む) を MOVEit Server に送信します。
  6. MOVEit Server がユーザーをサインオンします。

Outlook プラグインと MOVEit Sync クライアントから MOVEit Transfer にサインオンするユーザーに対してシングルサインオンを設定するには、ADFS を ID プロバイダとして使用する必要があります。両方のクライアントは、MOVEit Transfer シングルサインオンサービスを使用して、Windows ドメインアカウントからサインオンできます。現在は、Windows 認証の使用をサポートしているのは ADFS のみです。

サービスプロバイダと ID プロバイダの設定が指定されていると想定した場合 (「MOVEit Web インターフェイスのシングルサインオン」を参照)、Outlook プラグインと MOVEit Sync ユーザーは、次の手順で説明した設定を完了することができます。

MOVEit Transfer クライアントから Windows 認証を使用したシングルサインオン

ユーザーが Windows 認証の実行に使用するのと同じドメインコントローラを使用しながら ID プロバイダ経由で、MOVEit がシングルサインオン用に設定されている場合は、資格情報なしでこれらのユーザーを自動的にサインオンするように Outlook プラグインと MOVEit Sync クライアントを設定できます。これを行うには、次の手順に従います。

注: この手順はエンドユーザーのコンピュータで実行する必要があります。
  1. MOVEit ID プロバイダが認証に使用するのと同じドメインコントローラで、Windows にユーザーとしてログインします。
    注: クライアントが [Windows Authentication (Windows 認証情報)][Organization ID (組織 ID)] プロパティがすでに設定された状態で、サイレントインストールでインストールされている場合、ユーザーはサインオンする必要はありません。ユーザーは、Windows アカウントにログインするとサインオンします。
  2. システムトレイで [MOVEit Connector] を右クリックし、[Configuration (設定)] を選択します。
  3. [MOVEit Send (MOVEit 送信)] タブまたは [MOVEit Sync (MOVEit 同期)] タブで、[Use Windows Authentication (Windows 認証を使用)] オプションを選択します。このダイアログからユーザー名とパスワードを使用する代わりに、MOVEit Connector は、MOVEit から SAML 情報を要求して、SAML サインオンを開始します。ユーザーはここではユーザー名とパスワードを入力する必要はありません。
  4. [Use Windows Authentication (Windows 認証を使用)] が選択されている場合、ユーザー名とパスワードフィールドは非表示になり、[Organization ID (組織 ID)] が表示されます。ユーザーは、組織の管理者であるあなたが指定した MOVEit 組織名を入力します。ユーザーがデフォルトの MOVEit 組織を使用する場合は、このオプションを空白のままにできます。
注: MOVEit Transfer クライアント (Sync、MOVEit Ad Hoc など) は、WS-Trust 認証を使用するように設定することもできます。この認証を使用すると、ユーザーは ADFS を使用できない場合 (ホームネットワークからサインオンする場合など) に Windows 認証を使用してサインオンできます。WS-Trust 認証の設定方法の詳細については、「FTP および SSH クライアントのシングルサインオン」セクションを参照してください。

FTP および SSH クライアントのシングルサインオン

WS-Trust 認証を使用すると、SAML でシングルサインオンに使用されるのと同じ ID プロバイダを使用してユーザーを直接認証することができます。当社では、ユーザーが ID プロバイダの認証に使用するのと同じ資格情報で MOVEit への FTP および SSH アクセスを提供する顧客向けに、SAML シングルサインオンサービスのほかに、WS-Trust 認証ソースも設定することをお勧めします。

現在、WS-Trust をサポートしているのは ADFS ID プロバイダのみです。

WS-Trust を使用するための要件がある場合は、次のコンポーネントを設定して行うことができます。

注: サービスプロバイダ設定をすでに設定し、ADFS を ID プロバイダとして追加している場合は、この設定を再度完了する必要はありません。
  • サービスプロバイダ/証明書利用者の設定: MOVEit Server を SAML サービスプロバイダとして設定する詳細については、「設定 - ユーザー認証 - シングルサインオン」を参照してください。
  • フェデレーション ID プロバイダの設定: 1 つ以上の ID プロバイダの追加方法の詳細については、「設定 - ユーザー認証 - シングルサインオン」を参照してください。
  • 外部認証の設定 - WS-Trust: 外部認証方法の設定方法の詳細については、「設定 - サービス統合 - WS-Trust」を参照してください。

エンドユーザーに必要なサインオン情報と設定

シングルサインオンコンポーネントを設定したら、次の情報をエンドユーザーに提供する必要があります。

  • Web ブラウザのサインオン。ダイレクトサインオン URL (シングルサインオンページに表示) を指定します。
  • Outlook プラグインまたは Sync クライアントのサインオン。設定オプションで [Windows Authentication (Windows 認証情報)] オプションを選択 (クライアントコンピュータでは、システムトレイで [MOVEit Connector] を右クリックして [Configuration (設定)] を選択) するようエンドユーザーに指示します。[MOVEit Send (MOVEit 送信)] タブまたは [MOVEit Sync (MOVEit 同期)] タブで、[Windows Authentication (Windows 認証情報)] オプションを選択します。このダイアログからユーザー名とパスワードを使用する代わりに、MOVEit Connector は、MOVEit から SAML 情報を要求して、SAML サインオンを開始します。
  • シングルログアウトサービス。このサービスが有効になっている場合に、ID プロバイダアカウントからログアウトすると、MOVEit セッションからもログアウトされます。

セッション終了とタイムアウトの処理方法

  • MOVEit Server セッション終了: SAML 認証済みユーザーとして、MOVEit Server セッションが管理者によって手動で終了されている場合は、フラグがそのユーザー用に設定されます。そのユーザーがアクティブなセッションを必要とする MOVEit Server 内のページに移動すると、MOVEit Server サインオンページにリダイレクトされます。ユーザーには、セッションの終了通知メッセージも表示されます。
  • MOVEit Server セッションがタイムアウトによって終了する、または ID プロバイダがセッションタイムアウトやユーザーログアウト、または管理者が終了したセッションによって終了する場合、ブラウザは後続の再認証手順を処理できます。一部のブラウザは、ユーザーが資格情報を再入力せずに、同じブラウザセッション内でユーザーを再認証することができます。ブラウザによるこの「サイレント」再認証を防ぐには、MOVEit Server からログアウトした後にブラウザを閉じてください。
    注: ADFS ID プロバイダを使用しているときに、ブラウザによるサイレント再認証を避けるには、HTML フォームベースのサインオンを設定できます。詳細については、 以下の手順を参照してください。

Active Directory フェデレーションサービスの HTML フォームベースのサインオン

ID プロバイダの設定方法に応じて、多くのブラウザは次回セッションを開始するとときに、ユーザーをサイレントで再認証します。これは、望ましい動作である場合があります。ただし、完全な SAML サインオフを実行した後にユーザーにパスワードを再入力するように義務付ける場合は、HTML フォームベースのサインオンを設定できます。この手順では、ADFS 用のフォームベースのサインオンの設定方法について説明します。

  1. ADFS Web アプリケーションの「web.config」ファイル (デフォルトでは、C:\inetpub\adfs\ls\web.config) をテキストエディタで開きます。
  2. microsoft.identityServer.web localAuthenticationTypes 要素を検索します。
  3. 「Forms」という名前の localAuthenticationTypes 要素の子要素を、子要素のリストの最上部に移動します。
  4. 「web.config」ファイルを保存し、ADFS サービスを再起動します。