フェデレーション サーバーとして使用するコンピュータの構成が終了したので、各コンピュータに Active Directory フェデレーション サービス (AD FS) コンポーネントをインストールするための準備が整いました。ここでは、次の手順について説明します。
- ADFS-RESOURCE および ADFS-ACCOUNT 上にフェデレーション サービスをインストールする
- AD RMS と連携して動作する ADFS-ACCOUNT を構成する
- AD RMS と連携して動作する ADFS-RESOURCE を構成する
ADFS-RESOURCE および ADFS-ACCOUNT 上にフェデレーション サービスをインストールする
組織の要件に応じて次のいずれかのセクションを使用し、ADFS-RESOURCE コンピュータおよび ADFS-ACCOUNT コンピュータ上に AD FS のフェデレーション サービス コンポーネントをインストールします。フェデレーション サービスがコンピュータ上にインストールされると、そのコンピュータはフェデレーション サーバーになります。
- フェデレーション サービスを Windows Server 2003 R2 Enterprise Edition ベースのサーバーにインストールする
- フェデレーション サービス役割サービスを Windows Server 2008 Enterprise ベースのサーバーにインストールする
フェデレーション サービスを Windows Server 2003 R2 Enterprise Edition ベースのサーバーにインストールする
ADFS-RESOURCE および ADFS-ACCOUNT 上で Windows Server 2003 R2 Enterprise Edition を実行している場合は、次の手順に従ってフェデレーション サービスを追加します。フェデレーション サービスを追加する前に、Secure Sockets Layer (SSL) 証明書をコンピュータにインストールする必要があります。
フェデレーション サービスを Windows Server 2003 R2 Enterprise Edition ベースのコンピュータにインストールするには
- CPANDL\ADFSADMIN アカウントを使用して ADFS-RESOURCE にログオンします。
- [スタート] ボタンをクリックし、[コントロール パネル] ポイントして、[プログラムの追加と削除] をクリックします。
- [プログラムの追加と削除] で、[Windows コンポーネントの追加と削除] をクリックします。
- Windows コンポーネント ウィザードで、[Active Directory サービス] をクリックしてから、[詳細] をクリックします。
- [Active Directory サービス] ダイアログ ボックスで、[Active Directory フェデレーション サービス (ADFS)] をクリックしてから、[詳細] をクリックします。
- [Active Directory フェデレーション サービス (ADFS)] ダイアログ ボックスで、[フェデレーション サービス] チェック ボックスをオンにして、[OK] をクリックします。Microsoft ASP.NET 2.0 がまだ有効になっていない場合は、[はい] をクリックして有効にし、[OK] をクリックします。
- [Active Directory サービス] ダイアログ ボックスで、[OK] をクリックします。
- Windows コンポーネント ウィザードで [次へ] をクリックします。
- [フェデレーション サービス] ページで、[トークン署名証明書を選択する] オプションをクリックし、トークン署名証明書として使用する証明書を選択します。
- [信頼ポリシー] で、[新しい信頼ポリシーを作成する] をクリックしてから、[次へ] をクリックします。
- インストール ファイルの場所を要求されたら、Windows Server 2003 R2 Enterprise Edition の製品ディスクを挿入して、[OK] をクリックします。
- [Windows コンポーネント ウィザードの完了] ページで、[完了] をクリックします。
- TREYRESEARCH\ADFSADMIN として ADFS-ACCOUNT にログオンします。
- TREYRESEARCH\ADFSADMIN ユーザー アカウントを使用して、ADFS-ACCOUNT コンピュータに対して、手順 2 ~ 12 を繰り返します。
フェデレーション サービス役割サービスを Windows Server 2008 Enterprise ベースのサーバーにインストールする
ADFS-RESOURCE および ADFS-ACCOUNT で Windows Server 2008 Enterprise を実行している場合は、次の手順に従い、サーバー マネージャを使用してフェデレーション サービス役割サービスを追加します。
フェデレーション サービス役割サービスを Windows Server 2008 Enterprise ベースのコンピュータに追加するには
- CPANDL\ADFSADMIN アカウントを使用して ADFS-RESOURCE にログオンします。
- [スタート] ボタンをクリックし、[管理ツール] をポイントして、[サーバー マネージャ] をクリックします。
- [ユーザー アカウント制御] ダイアログ ボックスが表示された場合、このボックスに希望する動作が表示されていることを確認し、[継続] をクリックします。
- [役割の追加] をクリックします。
- [開始する前に] ページで、[次へ] をクリックします。
- [サーバーの役割の選択] ページで、[Active Directory Rights Management サービス] チェック ボックスをオンにします。
- [次へ] をクリックします。
- [AD FS について] ページで、[次へ] をクリックします。
- [役割サービスの選択] ページで、[フェデレーション サービス] チェック ボックスをオンにします。追加の役割サービスをインストールすることを求めるメッセージが表示されたら、[必要な役割サービスを追加] をクリックして、[次へ] をクリックします。
- [SSL 暗号化の既存の証明書を選択する] をクリックし、適切な証明書をクリックして、[次へ] をクリックします。
- [トークン署名証明書を選択] ページで、[既存のトークン署名証明書を選択する] をクリックし、適切な証明書をクリックして、[次へ] をクリックします。
- [新しい信頼ポリシーを作成する] をクリックして、[次へ] をクリックします。
- [Web サーバー (IIS) について] ページの内容を読み、[次へ] をクリックします。
- Web サーバーの既定のチェック ボックスの選択内容をそのままにして、[次へ] をクリックします。
- [インストール] をクリックします。
- インストールが完了したら、[閉じる] をクリックします。
- TREYRESEARCH\ADFSADMIN として ADFS-ACCOUNT にログオンします。
- TREYRESEARCH\ADFSADMIN ユーザー アカウントを使用して、ADFS-ACCOUNT コンピュータに対して、手順 2 ~ 16 を繰り返します。
AD RMS と連携して動作する ADFS-ACCOUNT を構成する
ADFS-ACCOUNT コンピュータは TREYRESEARCH ドメインのメンバで、AD RMS 要求を CPANDL ドメインに転送します。ここでは、AD FS 信頼ポリシーを構成し、Active Directory の ProxyAddresses 属性に対するカスタム要求を作成し、Active Directory アカウント ストアを追加し、リソース パートナーを追加および構成します。
最初に、TREYRESEARCH ドメイン内に、フェデレーション サービスに対する ADFS-ACCOUNT コンピュータの信頼ポリシーを構成します。
次に、AD RMS で使用されるカスタム要求を作成します。
次に、TREYRESEARCH ドメインのフェデレーション サービスに Active Directory アカウント ストアを追加します。
最後に、TREYRESEARCH ドメインのフェデレーション サービスにリソース パートナーを追加します。
最初に、TREYRESEARCH ドメイン内に、フェデレーション サービスに対する ADFS-ACCOUNT コンピュータの信頼ポリシーを構成します。
AD FS アカウント パートナー (ADFS-ACCOUNT) 上で信頼ポリシーを構成するには
- TREYRESEARCH\ADFSADMIN アカウントまたはローカルの Administrators グループに属する別のユーザー アカウントを使用して、ADFS-ACCOUNT にログオンします。
- [スタート] ボタンをクリックし、[管理ツール] をポイントして、[Active Directory フェデレーション サービス] をクリックします。
- [フェデレーション サービス] を展開し、[信頼ポリシー] 右クリックして、[プロパティ] をクリックします。
- [フェデレーション サービスの URI] ボックスに、「urn:federation:treyresearch.net」と入力します。
メモ フェデレーション サービスの URI 値では、大文字と小文字が区別されます。 - [フェデレーション サービス エンドポイントの URL] ボックスに、"https://ADFS-ACCOUNT.treyresearch.net/adfs/ls/" と表示されていることを確認してください。
- [表示名] タブで、[この信頼ポリシーの表示名] に「Trey Research」と入力して、[OK] をクリックします。
カスタム要求を作成するには
- Active Directory フェデレーション サービス コンソールで、[フェデレーション サービス]、[信頼ポリシー]、[自分の組織] の順に展開します。
- [組織の要求] を右クリックし、[新規作成] をポイントして、[組織の要求] をクリックします。
- [要求の名前] ボックスに、「ProxyAddresses」と入力します。
メモ 要求の名前の値では、大文字と小文字が区別されます。 - [カスタムの要求] をクリックして、[OK] をクリックします。
| 重要 |
|---|
| フェデレーションの信頼を介したプロキシ アドレスの使用を許可する場合は、十分に注意してください。フェデレーションを介したプロキシ アドレスを許可すると、悪意のあるユーザーが承認されたユーザーの資格情報を偽装し、このユーザーの権利で保護されているコンテンツにアクセスする可能性があります。フェデレーションを介したプロキシ アドレスを組織が必要とする場合は、要求変換モジュールを実装してください。このモジュールは、フェデレーション ユーザーからのプロキシ アドレスを調べ、要求元のフォレストと一致しているかどうかを確認します。Active Directory Rights Management サービス コンソールでは、フェデレーション ユーザーからのプロキシ アドレスを許可するオプションは既定でオフになっています。 |
ADFS-ACCOUNT に Active Directory アカウント ストアを追加するには
- Active Directory フェデレーション サービス コンソールで、[フェデレーション サービス]、[信頼ポリシー]、[自分の組織] の順に展開します。
- [アカウント ストア] を右クリックし、[新規作成] をポイントして、[アカウント ストア] をクリックします。
- [アカウント ストア追加のウィザードの開始] ページで、[次へ] をクリックします。
- [アカウント ストアの種類] ページで、[Active Directory ドメイン サービス] をクリックして、[次へ] をクリックします。
メモ Windows Server 2003 R2 Enterprise Edition では、このオプションは [Active Directory] になっています。 - [このアカウント ストアを有効にする] ページで、[このアカウント ストアを有効にする] チェック ボックスをオンにして、[次へ] をクリックします。
- [アカウント ストア追加のウィザードの完了] ページで、[完了] をクリックします。
- 組織の要求の [電子メール] をダブルクリックし、[有効にする] チェック ボックスをオンにし、[LDAP 属性] ボックスに「mail」と入力して、[OK] をクリックします。
- [Active Directory] アカウント ストアを右クリックし、[新規作成] をポイントして、[カスタムの要求の抽出] をクリックします。
- [属性] ボックスに「ProxyAddresses」と入力して、[OK] をクリックします。
TREYRESEARCH ドメインにリソース パートナーを追加するには
- Active Directory フェデレーション サービス コンソールで、[フェデレーション サービス]、[信頼ポリシー]、[パートナーの組織] の順に展開します。
- [リソース パートナー] を右クリックし、[新規作成] をポイントして、[リソース パートナー] をクリックします。
- [リソース パートナー追加のウィザードの開始] ページで、[次へ] をクリックします。
- [ポリシー ファイルのインポート] ページで、[いいえ] をクリックして、[次へ] をクリックします。
- [リソース パートナーの詳細] ページで、[表示名] ボックスに「CP&L Enterprises」と入力します。
- [フェデレーション サービスの URI] ボックスに、「urn:federation:cpandl.com」と入力します。
メモ フェデレーション サービスの URI 値では、大文字と小文字が区別されます。 - [フェデレーション サービス エンドポイントの URL] ボックスに、「https://adfs-resource.cpandl.com/adfs/ls/」と入力して、[次へ] をクリックします。
- [フェデレーションのシナリオ] ページで、[フェデレーション Web SSO] をクリックして、[次へ] をクリックします。
- [UPN 要求] および [電子メールの要求] チェック ボックスをオンにして、[次へ] をクリックします。
- [すべての UPN のサフィックスを変更しないで渡す] をクリックして、[次へ] をクリックします。
- [すべての電子メールのサフィックスを変更しないで渡す] をクリックして、[次へ] をクリックします。
- [このリソース パートナーを有効にする] チェック ボックスがオンになっていることを確認してから、[次へ] をクリックします。
- [完了] をクリックします。
- 新しく作成した CP&L Enterprises リソース パートナーを右クリックし、[新規作成] をポイントして、[出力方向のカスタム要求のマッピング] をクリックします。
- [出力方向のカスタム要求の名前] ボックスに「ProxyAddresses」と入力して、[OK] をクリックします。
- Active Directory フェデレーション サービス コンソールを閉じます。
AD RMS と連携して動作する ADFS-RESOURCE を構成する
ADFS-RESOURCE コンピュータは CPANDL ドメインのメンバで、TREYRESEARCH ドメインからの AD RMS 要求を受け取ります。ここでは、AD FS 信頼ポリシーを構成し、Active Directory の ProxyAddresses 属性に対するカスタム要求を作成し、Active Directory アカウント ストアを追加し、AD RMS を要求に対応するアプリケーションとして追加し、リソース パートナーを構成します。
最初に、CPANDL ドメイン内に、フェデレーション サービスに対する ADFS-RESOURCE コンピュータの信頼ポリシーを構成します。
次に、AD RMS で使用されるカスタム要求を作成します。
次に、CPANDL ドメインのフェデレーション サービスに Active Directory アカウント ストアを追加します。
次に、要求に対応するアプリケーションとして AD RMS 証明パイプラインを追加します。
次の手順を使用して、要求に対応するアプリケーションとして AD RMS ライセンス パイプラインを追加します。
次に、ADFS-RESOURCE にアカウント パートナーを追加します。このアカウント パートナーは、TREYRESEARCH ドメイン内の ADFS-ACCOUNT コンピュータから要求を受け取ります。
最初に、CPANDL ドメイン内に、フェデレーション サービスに対する ADFS-RESOURCE コンピュータの信頼ポリシーを構成します。
AD FS リソース パートナー (ADFS-RESOURCE) 上で信頼ポリシーを構成するには
- CPANDL\ADFSADMIN アカウントまたはローカルの Administrators グループに属する別のユーザー アカウントを使用して、ADFS-RESOURCE にログオンします。
- [スタート] ボタンをクリックし、[管理ツール] をポイントして、[Active Directory フェデレーション サービス] をクリックします。
- [フェデレーション サービス] を展開し、[信頼ポリシー] 右クリックして、[プロパティ] をクリックします。
- [フェデレーション サービスの URI] ボックスに、「urn:federation:cpandl.com」と入力します。
メモ フェデレーション サービスの URI 値では、大文字と小文字が区別されます。 - [フェデレーション サービス エンドポイントの URL] ボックスに、"https://ADFS-RESOURCE.cpandl.com/adfs/ls/" と表示されていることを確認してください。
- [表示名] タブで、[この信頼ポリシーの表示名] に「CP&L Enterprises」と入力して、[OK] をクリックします。
カスタム要求を作成するには
- Active Directory フェデレーション サービス コンソールで、[フェデレーション サービス]、[信頼ポリシー]、[自分の組織] の順に展開します。
- [組織の要求] を右クリックし、[新規作成] をポイントして、[組織の要求] をクリックします。
- [要求の名前] ボックスに、「ProxyAddresses」と入力します。
メモ 要求の名前の値では、大文字と小文字が区別されます。 - [カスタムの要求] をクリックして、[OK] をクリックします。
ADFS-RESOURCE に Active Directory アカウント ストアを追加するには
- Active Directory フェデレーション サービス コンソールで、[フェデレーション サービス]、[信頼ポリシー]、[自分の組織] の順に展開します。
- [アカウント ストア] を右クリックし、[新規作成] をポイントして、[アカウント ストア] をクリックします。
- [アカウント ストア追加のウィザードの開始] ページで、[次へ] をクリックします。
- [アカウント ストアの種類] ページで、[Active Directory ドメイン サービス] をクリックして、[次へ] をクリックします。
メモ Windows Server 2003 R2 Enterprise Edition では、このオプションは [Active Directory] になっています。 - [このアカウント ストアを有効にする] ページで、[このアカウント ストアを有効にする] チェック ボックスをオンにして、[次へ] をクリックします。
- [アカウント ストア追加のウィザードの完了] ページで、[完了] をクリックします。
- 組織の要求の [電子メール] をダブルクリックし、[有効にする] チェック ボックスをオンにし、[LDAP 属性] ボックスに「mail」と入力して、[OK] をクリックします。
- [Active Directory] アカウント ストアを右クリックし、[新規作成] をポイントして、[カスタムの要求の抽出] をクリックします。
- [属性] ボックスに「ProxyAddresses」と入力して、[OK] をクリックします。
要求に対応するアプリケーションとして AD RMS 証明パイプラインを追加するには
- Active Directory フェデレーション サービス コンソールで、[フェデレーション サービス]、[信頼ポリシー]、[自分の組織] の順に展開します。
- [アプリケーション] を右クリックし、[新規作成] をポイントして、[アプリケーション] をクリックします。
- [アプリケーションの追加ウィザードの開始] ページで、[次へ] をクリックします。
- [アプリケーションの種類] ページで、[要求に対応するアプリケーション] をクリックし、[次へ] をクリックします。
- [アプリケーション表示名] ボックスに、「AD RMS Certification」と入力します。
- [アプリケーションの URL] ボックスに、「https://adrms-srv.cpandl.com/_wmcs/certificationexternal/」と入力して、「次へ] をクリックします。
メモ アプリケーションの URL では大文字と小文字が区別され、AD RMS エクストラネット クラスタの名前は、ADRMS-SRV コンピュータが返す URL 値と正確に一致する必要があります。値が一致しない場合、AD FS 機能は動作しません。 - [受け取る ID 要求] ページで、[ユーザー プリンシパル名 (UPN)] および [電子メール] チェック ボックスをオンにして、[次へ] をクリックします。
- [このアプリケーションを有効にする] ページで、[このアプリケーションを有効にする] チェック ボックスをオンにして、[次へ] をクリックします。
- [アプリケーションの追加ウィザードの完了] ページで、[完了] をクリックします。
- 作業ウィンドウで、[ProxyAddresses] をダブルクリックし、[有効にする] チェック ボックスをオンにして、[OK] をクリックします。
要求に対応するアプリケーションとして AD RMS ライセンス パイプラインを追加するには
- Active Directory フェデレーション サービス コンソールで、[フェデレーション サービス]、[信頼ポリシー]、[自分の組織] の順に展開します。
- [アプリケーション] を右クリックし、[新規作成] をポイントして、[アプリケーション] をクリックします。
- [アプリケーションの追加ウィザードの開始] ページで、[次へ] をクリックします。
- [アプリケーションの種類] ページで、[要求に対応するアプリケーション] をクリックして、[次へ] をクリックします。
- [アプリケーション表示名] ボックスに、「AD RMS Licensing」と入力します。
- [アプリケーションの URL] ボックスに、「https://adrms-srv.cpandl.com/_wmcs/licensingexternal/」と入力して、「次へ] をクリックします。
メモ アプリケーションの URL では大文字と小文字が区別され、URL 内のコンピュータ名は、ADRMS-SRV コンピュータが返す URL 値と正確に一致する必要があります。値が一致しない場合、AD FS 機能は動作しません。 - [受け取る ID 要求] ページで、[ユーザー プリンシパル名 (UPN)] および [電子メール] チェック ボックスをオンにして、[次へ] をクリックします。
- [このアプリケーションを有効にする] ページで、[このアプリケーションを有効にする] チェック ボックスをオンにして、[次へ] をクリックします。
- [アプリケーションの追加ウィザードの完了] ページで、[完了] をクリックします。
- 作業ウィンドウで、[ProxyAddresses] をダブルクリックし、[有効にする] チェック ボックスをオンにして、[OK] をクリックします。
ADFS-RESOURCE にアカウント パートナーを追加するには
- Active Directory フェデレーション サービス コンソールで、[フェデレーション サービス]、[信頼ポリシー]、[パートナーの組織] の順に展開します。
- [アカウント パートナー] を右クリックし、[新規作成] をクリックして、[アカウント パートナー] をクリックします。
- [アカウント パートナー追加のウィザードの開始] ページで、[次へ] をクリックします。
- [ポリシー ファイルのインポート] ページで、[いいえ] をクリックして [次へ] をクリックします。
- [アカウント パートナーの詳細] ページで、[表示名] ボックスに「Trey Research」と入力します。
- [フェデレーション サービスの URI] ボックスに、「urn:federation:treyresearch.net」と入力します。
- [フェデレーション サービス エンドポイントの URL] ボックスに、「https://adfs-account.treyresearch.net/adfs/ls/」と入力して、[次へ] をクリックします。
- [アカウント パートナーの検証証明書] ページで、トークン署名証明書が格納されている場所へのパスを入力して、[次へ] をクリックします。
- [フェデレーション Web SSO] をクリックして、[次へ] をクリックします。
- [UPN 要求] および [電子メールの要求] チェック ボックスをオンにして、[次へ] をクリックします。
- [受け取る UPN のサフィックス] ページで、「treyresearch.net」と入力し、[追加] をクリックして、[次へ] をクリックします。
- [受け取る電子メールのサフィックス] ページで、「treyresearch.net」と入力し、[追加] をクリックして、[次へ] をクリックします。
- [このアカウント パートナーを有効にする] チェック ボックスがオンになっていることを確認してから、[次へ] をクリックします。
- [完了] をクリックします。
- [Trey Research] アカウント パートナーを右クリックし、[新規作成] をポイントして、[入力方向のカスタム要求のマッピング] をクリックします。
- [入力方向のカスタム要求の名前] ボックスに「ProxyAddresses」と入力して、[OK] をクリックします。
- Active Directory フェデレーション サービス コンソールを閉じます。
0 件のコメント:
コメントを投稿