Bitrise用のADFSSSOの設定

このガイドでは、を使用してSAMLSSOを設定する手順を説明します。 Microsoft ActiveDirectoryフェデレーションサービス (AD FS)。

SAMLSSOの制限

SAML SSOは、 VelocityまたはEnterpriseBuildプラン

SAML SSO機能は上記のプランに関連付けられているため、ダウングレードする場合は、この機能が失われます。ワークスペースのすべてのメンバーにダウングレードに関する電子メールが送信されます。ワークスペースでSAMLSSOを再度使用する場合は、2週間以内に再アップグレードしてください。

SAML SSOをワークスペースに接続する前に:

  • SAML SSO構成プロセス中に、ADFS管理者が手元にいることを確認してください。

  • ワークスペースの所有者のみがビットライズワークスペースにSAMLSSOを設定できることに注意してください。

  • Bitriseのアカウントには、 VelocityまたはEnterpriseプラン

このチュートリアルでは、BitriseとAD FSの間を行き来するため、このプロセス中に両方のツールを使用できるようにすることをお勧めします。

ADFSでSAMLSSOを構成するには、次のことを行う必要があります。

IDプロバイダーのサインオンURLを追加する

  1. Bitriseにログインし、右上のアカウントセレクタードロップダウンメニューを開きます。

  2. ワークスペースを見つけ、その名前の横にある小さな歯車のアイコンをクリックして、ワークスペースのプロファイルページに移動します。

  3. に移動します シングル・サインオン タブ。

  4. 追加します IDプロバイダーのサインオンURL ADFSから SAML SSOプロバイダーシングルサインオンURL(SSO URL) 分野。

    たとえば、有効な値は次のとおりです。 https://<AD FS URL>.com/adfs/ls

ADFS証明書のエクスポート

  1. ADFSによって生成された証明書をに追加する必要があります SAMLSSOプロバイダー証明書 のフィールド シングル・サインオン Bitriseのページ。 AD FSで証明書を既に作成している場合は、ADFSサーバーからPEM形式で証明書をエクスポートできます。まだ作成していない場合は、次の手順に従ってください。 ADFSのTSおよびTD証明書を取得して構成する

  2. サーバーマネージャー、 クリック ツール、を選択します ADFS管理

  3. を選択 証明書 左側のメニューペインのフォルダ。

  4. 下の証明書をクリックします トークン署名。これにより、 証明書 窓。

    certtoken-1.jpg
  5. クリック 詳細 のタブ 証明書 ページ。

    certificate-1.jpg
  6. 打つ 証明書のエクスポートウィザード 窓。

    certwizard.jpg
  7. を選択 Base-64でエンコードされたX.509(.CER) エクスポートファイル形式。クリック

    baseencoded.jpg
  8. で名前を付けます ファイル名 フィールドとヒット 保存する

    filenamesave.jpg
  9. 証明書の設定を最終的に確認してください。これらのいずれかを変更する必要がある場合は、横にある戻る矢印をクリックしてください 証明書のエクスポートウィザード。それ以外の場合は、 終了。すぐに必要になるため、ADFSウィンドウは開いたままにしてください。

    completewizard.jpg
  10. エクスポートされた証明書をテキストエディタで開き、その内容をコピーして SAMLSSOプロバイダー証明書 フィールドに入力するか、ローカルコンピュータからファイル自体をアップロードします。

  11. クリックして設定を保存します SSOを構成する Bitriseで。

    enablesinglesignon.jpg

    Bitriseを追加して、ADFSでSAMLSSO構成を続行しましょう。

証明書利用者の信頼としてBitriseをADFSに追加する

証明書のエクスポートが完了したら、Bitriseを次のように追加し続けることができます。 ADFSへの証明書利用者の信頼。証明書利用者信頼の追加ウィザードが手順をガイドします。

  1. AD FSで、をクリックします 依拠当事者の信頼 左側のメニューバーで、をクリックします 依拠当事者の信頼

  2. 選択する 依拠当事者の信頼を追加する行動

    addreplyingpartytrust.jpg
  3. いらっしゃいませ ページで、 クレーム認識 オプションとヒット 始める

    claimsaware.jpg
  4. データソースを選択 ページをクリックし、 証明書利用者に関するデータを手動で入力する ページ下部のオプション。クリック

    selectdatasource.jpg
  5. 表示名を指定する ページ、追加 表示名、 例えば MyCorp。クリック

    specifydisplayname.jpg
  6. でトークン暗号化証明書を指定します 証明書を構成する ページはオプションです。クリック

    optionalconfigure.jpg
  7. URを構成するLページ、選択 SAML 2.0WebSSOプロトコルのサポートを有効にする コピーして貼り付けます アサーションコンシューマサービスURL(ACS URL) Bitriseから 証明書利用者SAML2。0SSOサービスURL ADFSのフィールド。クリック

    configureurl-1.jpg
  8. 識別子を構成する ページ、追加 Bitrise の中に 証明書利用者の信頼識別子 分野。クリック 追加、次にヒット

    replyingidentifiers2.jpg
  9. のデフォルトのアクセス制御ポリシーを変更しないでください アクセス制御ポリシーを選択します 誰もがこのSAMLSSO接続にアクセスできるようにするためのページ。クリック

    permiteveryone.jpg
  10. 信頼を追加する準備ができました ページで、設定を確認して、をクリックします

    readytoaddtrust.jpg
  11. 終了 ページで、チェックボックスをオンにして、Bitriseの請求発行ポリシーを編集します。クリック 選ぶ

    finish.jpg
  1. AD FSで、をクリックします 依拠当事者の信頼 左側のメニューバーで、をクリックします 依拠当事者の信頼

  2. 選択する 依拠当事者の信頼を追加する行動

    addreplyingpartytrust.jpg
  3. いらっしゃいませ ページで、 クレーム認識 オプションとヒット 始める

    claimsaware.jpg
  4. データソースを選択 ページをクリックし、 証明書利用者に関するデータを手動で入力する ページ下部のオプション。クリック

    selectdatasource.jpg
  5. 表示名を指定する ページ、追加 表示名、 例えば MyCorp。クリック

    specifydisplayname.jpg
  6. でトークン暗号化証明書を指定します 証明書を構成する ページはオプションです。クリック

    optionalconfigure.jpg
  7. URを構成するLページ、選択 SAML 2.0WebSSOプロトコルのサポートを有効にする コピーして貼り付けます アサーションコンシューマサービスURL(ACS URL) Bitriseから 証明書利用者SAML2。0SSOサービスURL ADFSのフィールド。クリック

    configureurl-1.jpg
  8. 識別子を構成する ページ、追加 Bitrise の中に 証明書利用者の信頼識別子 分野。クリック 追加、次にヒット

    replyingidentifiers2.jpg
  9. のデフォルトのアクセス制御ポリシーを変更しないでください アクセス制御ポリシーを選択します 誰もがこのSAMLSSO接続にアクセスできるようにするためのページ。クリック

    permiteveryone.jpg
  10. 信頼を追加する準備ができました ページで、設定を確認して、をクリックします

    readytoaddtrust.jpg
  11. 終了 ページで、チェックボックスをオンにして、Bitriseの請求発行ポリシーを編集します。クリック 選ぶ

    finish.jpg

クレームルールの構成

  1. クレームの編集 発行方針 ページをクリックし、 ルールを追加 ボタンを押して押します わかった

    editclaims.jpg
  2. を作成します LDAP属性をクレームとして送信する ルールを要求してクリックします

  3. クレームルールの構成 ページ:

    • [電子メールの送信]などのルール名をに追加します。 クレームルール名 分野。

    • を選択します 属性ストア これはおそらくActiveDirectoryです。

    • の中に LDAP属性の発信クレームタイプへのマッピング フィールドで[電子メールアドレス]を選択します。

  4. クリック 終了

    configureclaimrule.jpg
  5. 電子メールをフォーマッタNameIDに変換する別の新しいルールを追加します。これを行うには、をクリックします ルールを追加 の中に クレームの編集 発行方針 もう一度ページ。

  6. ルールテンプレートを選択、 選択する 着信クレームを変換する のオプション クレームルールテンプレート 落ちる。クリック

    chooseruletype.jpg
  7. たとえば、新しいルールに名前を付けます。 Transform E-mail

  8. 選択する 電子メールアドレス として 着信クレームタイプ

  9. 選択する NameId として 発信クレームタイプ。

  10. 選ぶ Eメール として 発信名ID形式

  11. 打つ わかった プロセスを終了します。

    newrule.jpeg