InfoPrint Manager for Windowsのフェデレーション認証を管理する

InfoPrint Managerでは、既存のFSTまたはLDAP/ADセキュリティーの代替としてフェデレーション認証を使用できます。

フェデレーション認証は、外部のIDプロバイダー(IdP)に依存することで、InfoPrint Manager WebマネージメントインターフェースおよびInfoPrint Manager Web アドミニストレーションインターフェースへの安全なアクセスをユーザーに付与する方法です。当社のシステム内でユーザー認証情報を個別に管理する代わりに、フェデレーション認証を使用すると、ユーザーは信頼できるサードパーティーサービスの既存のアカウントを使ってログインできます。

フェデレーション認証を構成する
フェデレーション認証を有効にする前に、InfoPrint Manager管理者はInfoPrint Managerフェデレーション認証サーバー間の接続設定を行う必要があります。
フェデレーション認証を設定するには、以下の操作を行います。
  1. InfoPrint Manager Webマネージメントインターフェースを開始します。
  2. 左ペインのセキュリティータブをクリックします。
  3. フェデレーション認証オプションを選択します。
  4. フェデレーション認証ダイアログで、必要な値を指定します。
      重要:
    • 各フィールドに入力した情報が正しいことを確認してください。InfoPrint Managerは、フェデレーション認証ダイアログに入力したデータを検証しません。
    • フィールドプロパティーの詳細を表示するには、横にある[?]ボタンをクリックします。
  5. IDプロバイダーリストから認証に使用するIDプロバイダー (IdP) の名前を選択します。
  6. 認証エンドポイントフィールドに、クライアントアプリケーションがユーザーを認証するために送信するIDプロバイダーのURIを入力します。
  7. クライアントIDフィールドに、登録プロセス中にInfoPrint ManagerのIDプロバイダーが発行したクライアント識別子を表す一意の文字列を入力します。
  8. クライアントシークレットフィールドにIDプロバイダーが生成したクライアントパスキーを表す文字列を入力し、クライアントが認証サーバーに認証されるようにします。
      注意:
    • PKCEを使用オプションがチェックされている場合、Client secretフィールドは利用できません。クライアントシークレット
  9. トークンエンドポイントフィールドに、アクセストークンとIDトークンを要求するIDプロバイダーのURIを入力します。
  10. ユーザー情報エンドポイント フィールドに、ユーザー情報を要求するIDプロバイダーのURIを入力します。
      注意:
    • ユーザー情報エンドポイントフィールドは、Common Approach to Identity Assurance (CAIA) のIDプロバイダーに対してのみ表示されます。
  11. ログアウトエンドポイント フィールドに、ユーザーが認証セッションを終了するためにリダイレクトされるURIを入力します。
  12. ホスト名とポートをリダイレクトフィールドに、InfoPrint ManagerのWebサーバーの外部ホスト名とポートを入力します。ホスト名とポートは、アプリケーションのURIを生成するために使用されます。このURIは、アプリケーションが正常に許可され、認証コードまたはアクセストークンが付与されると、認証サーバーがユーザーをリダイレクトする場所です。
      注意:
    • ホスト名/IP アドレスとポート番号は、コロン(:)で区切る必要があります。たとえば、prod.yourcompany.com:14443123.123.123.123:14443などです。
  13. 自己署名証明書を使用してIDプロバイダーと通信する可能性を有効にするには、安全でないコンテキストを許可 ボックスにチェックを付けます。
  14. フェデレーション認証を必須にし、アプリケーションの標準ログインダイアログをバイパスするには、フェデレーション認証を強制ボックスにチェックを付けます。
      注意:
    • フェデレーション認証ダイアログで誤った値を入力した場合、フェデレーション認証を強制ボックスをチェックした後、標準のログインダイアログにアクセスできなくなり、設定値を更新できなくなります。
  15. Proof Key for Code Exchange (PKCE) を使用する場合は、PKCEを使用ボックスにチェックを付けます。
      注意:
    • PKCEを使用フィールドは、Okta® IDプロバイダーに対してのみ表示されます。
  16. ユーザーロールパラメーターフィールドに、InfoPrint Managerに関連するユーザーロールまたはグループメンバーシップ情報を含む、IDプロバイダーから送信されるパラメーター名を入力します。Active Directoryフェデレーションサービス™ (AD FS) およびOktaの場合はユーザー識別トークンに、 CAIAの場合はユーザー情報エンドポイント応答に、クレームとしてユーザーロールまたはグループメンバーシップ情報を含めるよう、IDプロバイダーを事前に設定する必要があります。
      注意:
    • 実際の手順や用語は、使用する ID プロバイダによって異なる場合があることに留意すること。グループクレーム名は、CAIAではrole、Oktaではgroups、AD FSではmemberofとなります。現在使用しているその他の値でも構いません。
    • このカスタマイズ方法の詳細については、IDプロバイダーのマニュアルを参照してください。
      重要:
    • InfoPrint Managerは、ユーザー識別トークンまたはユーザー情報エンドポイント応答で指定された役割に基づいて、異なるリソースや機能へのアクセスを制御するためにユーザーの役割を検証します。Web マネージメントインターフェースにアクセスするために、システムはユーザーIDがacl_adminグループに属しているかどうかを検証します。希望するユーザーに権限を付与するには、選択したIdPのWebサイトで定義されたacl_adminグループのメンバーである必要があります。
  17. 会社でプロキシサーバーを使用している場合は、IT部門に正しいIPアドレスまたはホスト名とポート番号を問い合わせてください。プロキシホストとポートフィールドに、通信に使用するプロキシサーバーのホスト名とポートを入力します。
      注意:
    • ホスト名/IP アドレスとポート番号は、コロン(:)で区切る必要があります。たとえば、proxy.example.com:3128123.123.123.123:3128などです。
  18. 保存をクリックします。
      注意:
    • フェデレーション認証スイッチがONに設定されている間に保存ボタンがクリックされると、Webサーバーが自動的に再起動し、変更が適用されます。
フェデレーション認証を有効/無効にする
InfoPrint Manager Webマネージメントインターフェースでは、フェデレーション認証を有効または無効にできます。
フェデレーション認証を有効または無効にするには、以下の操作を行います。
  1. InfoPrint Manager Webマネージメントインターフェースに移動します。
  2. 左ペインのセキュリティータブをクリックします。
  3. フェデレーション認証オプションを選択します。
  4. フェデレーション認証ダイアログの上部にあるスイッチを使用して、フェデレーション認証を有効または無効にします。
      注意:
    • フェデレーション認証を有効にすると、FSTまたはLDAP/ADセキュリティーは従来どおり機能します。
    • フェデレーション認証を有効または無効にすると、Web サーバーは自動的に再起動します。