ADFSのSAML SSOをセットアップする
より厳しいセキュリティ要件を持つ組織では、SAML SSOを設定することができます。FigmaのSAML SSOについて詳しくはこちら→
MicrosoftのActive Directory Federated Service (ADFS)を使用している場合、ご自身のFigmaビジネスにSAML SSOをセットアップすることができます。
このインテグレーションの使用には、以下が必要です。
- 3.0以降のADFSインスタンスを有する
- ADFSのSAMLエンドポイントを公開する
MicroをIDプロバイダーとして使用し、ユーザーの認証とプロビジョニングを行うことができます。Figmaは、Microsoft ADFS (IDプロバイダー)とFigma (サービスプロバイダー)の両方から開始されるSAML SSOをサポートしています。
ADFSにFigmaを追加する
必要な情報
セットアップの過程で、Figmaから必要となる情報がいくつかあります。この情報は、別のタブまたはウィンドウで開いておき、すぐにコピーできるようにしておくことをお勧めします。
- ファイルブラウザでFigmaを開きます。
- [管理者設定]をクリックします。
- 画面上部の[設定]を選択します。
- [ログインとプロビジョニング]セクションで、[SAML SSO]をクリックします。
- SP Entity IDとSP ACS URLを探します。ADFSで接続をセットアップするには両方が必要です。
ヒント! これらのURLは、どちらもテナントIDを含んでいるため、非常によく似ています。唯一の違いは、SP ACSのURLの末尾に/consumeが追加されることです。
SAML SSOによるログインを必須とするか、ユーザーがメールアドレスとパスワードで引き続きログインできるようにするか、決定する必要があります。認証オプションについて詳しくはこちら →
ADFSインスタンスにFigmaを追加する
ここで、FigmaをADFSインスタンスに「証明書利用者信頼」として追加する必要があります。
- ADFSインスタンスを開きます。
-
[操作]欄で[証明書利用者信頼の追加]をクリックします。これにより、セットアッププロセスをガイドするウィザードが表示されます。
- [ようこそ]画面で、[開始]をクリックすると、セットアッププロセスが始まります。
- [データ ソースの選択]ステップで、[証明書利用者についてのデータを手動で入力する]を選択し、[次へ]をクリックします。
-
Figmaなどの表示名を追加し、[次へ]をクリックして続行します。
- [証明書の構成]ステップで、[参照]ボタンをクリックします。オプションからADFSプロファイルを選択し、[次へ]をクリックします。
- [URLの構成]ステップで、[SAML 2.0 WebSSOプロトコルのサポートを有効にする]を選択します
-
同じページで、Figma SP ACSのURLを所定のフィールドに貼り付けます。リンクは次のようなものとなります。
https://www.figma.com/saml/123456789123456789/consume。[次へ]をクリックして続行します。
-
[識別子の構成]ステップで、[証明書利用者信頼の識別子]フィールドにSPエンティティIDを貼り付けます。リンクは次のようなものとなります。
https://www.figma.com/saml/123456789123456789。[次へ]をクリックして続行します。
-
[アクセス制御ポリシーの選択]ステップで、アクセス制御ポリシーを選択します。これにより、SSOを介してFigmaアカウントを認証できるユーザーを決定します。[次へ]をクリックして続行します。
- [信頼の追加の準備完了]ステップで、[次へ]ボタンをクリックしてプロセスを完了します。
- [閉じる]をクリックして、ウィザードを終了します。
ADFSに属性を追加する
次に、ADFSに規則を追加する必要があります。これは、インテグレーションがLDAPの属性を要求として送信することを保証するものです。
-
[要求規則の編集] ページで、[規則の追加]ボタンをクリックします。
-
[要求規則テンプレート]の下にある[LDAP属性を要求として送信]を選択します。[次へ]をクリックして続行します。
-
[要求規則の構成]ステップで、以下を行います。
- 要求規則名を入力します。
- [属性ストア]には、[Active Directory]を選択します。
- [LDAP属性...]列で、[E-Mail Address]を選択します。
- [出力方向の要求の種類...]列で、[電子メール アドレス]を選択します。
- [完了]をクリックすると処理が完了し、[要求規則の編集]画面に戻ります。
- [適用]をクリックして規則を適用し、[発行変換規則]ページに戻ります。
- [規則の追加]をクリックして、2つ目の変換規則を追加します。
- [要求規則テンプレート]の下にある[入力方向の要求を変換する]を選択します。[次へ]をクリックして続行します。
-
[要求規則の構成]ステップで以下を行います。
- [要求規則名]には、Transform email address as NameID (メールアドレスを名前IDに変換する)を入力します。
- [入力方向の要求の種類]で、[メール アドレス]を選択します。
- [出力方向の要求の種類]列で、[名前ID]を選択します。
- [出力方向の名前IDの形式]列で、[メール]を選択します。
- [すべての要求値をパススルーする]を切り替えます。
-
[OK]をクリックしてプロセスを完了させて、[要求規則の編集]画面に戻ります。
-
[適用]をクリックして、インスタンスに規則を適用します。
署名証明書のエクスポート
ここで、自分の署名証明書(通常はX509証明書と呼ばれるもの)をエクスポートする必要があります。Figmaは、ユーザーのIDプロバイダーを介してユーザーの組織を確認するためにこれを使用します。
- ADFSインスタンスで、[サービス] > [証明書]と進みます。
-
[トークン署名]の下にある証明書をクリックし、[証明書の表示]を選択します。
- [ファイルにコピー] > [Ok]をクリックします。
- 証明書エクスポートウィザードの[次へ]をクリックします。
- オプションから[Base-64 encoded...]を選択し、[次へ]をクリックします。
- 証明書ファイルの名前を
figma.cerにし、[次へ]をクリックします。 - [完了]をクリックして、証明書をエクスポートします。ADFSは、設定したダウンロードフォルダーに証明書をエクスポートします。
Figmaでセットアップを完了する
ADFSでのすべてのセットアップが完了したので、FigmaにADFSの詳細を追加する必要があります。「カスタムSAML構成のセットアップ」の記事にて、このプロセスを説明します。
ADFSから以下の情報が必要となります。
- IdPエンティティID: FigmaにどのIDプロバイダーを使用しているかを知らせます。
-
IdP SSOターゲットURL: Figmaは、ユーザーの組織の誰かが SAML SSOでログインしようとしたときに、このリンクを使用してIDプロバイダーに接続します。ADFSの場合、次のようなものとなります。
https://sso.yourdomain.tld/adfs/ls/ - 署名証明書: 先ほどダウンロードした証明書です。