ビュー:

ここでは、Active Directoryフェデレーションサービス (AD FS) を使用してフェデレーションサーバを設定し、Deep Discovery Director (統合モード) と連動させる方法について説明します。

注:

Deep Discovery Director (統合モード) では、AD FS 4.0および5.0を使用したフェデレーションサーバへの接続がサポートされます。

Active Directoryフェデレーションサービス (AD FS) は、Windows ServerやActive Directoryの技術に関連した要求対応のID管理ソリューションを提供します。AD FSでは、WS-Trust、WS-Federation、およびSAML (Security Assertion Markup Language) の各プロトコルがサポートされます。

AD FSの設定を開始する前に、次のことを確認してください。

  • フェデレーションサーバとして機能する、AD FS 4.0またはAD FS 5.0を搭載したWindows Serverがある。

  • Deep Discovery Director (統合モード) の管理者として管理コンソールにログオンしている。

  • Deep Discovery Director (統合モード) からメタデータファイルを取得している。

  • Windows統合認証がフェデレーションサーバで有効になっている。

    詳細については、AD FSでWindows統合認証を有効にするを参照してください。

  • 各エンドポイントでWebブラウザがDeep Discovery Director (統合モード) およびフェデレーションサーバを信頼するように設定されている。

    詳細については、AD FSを介したシングルサインオンについてエンドポイントを設定するを参照してください。

  1. [スタート] > [すべてのプログラム] > [管理ツール] の順に選択し、AD FS管理コンソールを開きます。
  2. 左側のナビゲーションで [AD FS] をクリックし、右側の [操作] 領域にある [証明書利用者信頼の追加] をクリックします。
  3. [証明書利用者信頼の追加ウィザード] 画面の各タブで設定を行います。
    1. [ようこそ] タブで [要求に対応する] を選択し、[開始] をクリックします。
    2. [データ ソースの選択] タブで [証明書利用者についてのデータをファイルからインポートする] を選択し、[参照] をクリックして、Deep Discovery Director (統合モード) から取得するメタデータファイルを選択します。次に [次へ] をクリックします。
    3. [表示名の指定] タブで、「Deep Discovery Director (統合モード) 」などDeep Discovery Director (統合モード) の表示名を指定し、[次へ] をクリックします。
    4. [アクセス制御ポリシーの選択] タブで、[すべてのユーザーを許可] を選択し、[次へ] をクリックします。
    5. [信頼の追加の準備完了] タブで [次へ] をクリックします。
    6. [完了] タブで [ウィザードの終了時にこの証明書利用者信頼の [要求規則の編集] ダイアログを開く] チェックボックスをオンにし、[閉じる] をクリックします。

      [要求規則の編集] 画面が表示されます。

  4. [発行変換規則] タブで [規則の追加] をクリックします。
  5. [変換要求規則の追加ウィザード] 画面の各タブを設定します。
    1. [規則の種類の選択] タブで、[要求規則テンプレート] ドロップダウンリストから [LDAP 属性を要求として送信] を選択し、[次へ] をクリックします。
    2. [要求規則の構成] タブで、[要求規則名] テキストボックスに要求規則名を指定し、[属性ストア] ドロップダウンリストから [Active Directory] を選択します。
    3. LDAP属性に [User-Principal-Name] を選択し、その属性の出力方向の要求の種類に [名前 ID] を指定します。
    4. [OK] をクリックします。
  6. [規則の追加...] をクリックします。

    [変換要求規則の追加ウィザード] 画面が表示されます。

  7. [変換要求規則の追加ウィザード] 画面の各タブを設定します。
    1. [規則の種類の選択] タブで、[要求規則テンプレート] ドロップダウンリストから [グループ メンバーシップを要求として送信] を選択し、[次へ] をクリックします。

      [要求規則の構成] タブが表示されます。

    2. [要求規則名] で、Active Directoryグループの名前を入力します。
    3. [ユーザーのグループ][参照] をクリックし、Active Directoryグループを選択します。
    4. [出力方向の要求の種類] に「DDD_GROUP」と入力します。
    5. [出力方向の要求の値] で、Active Directoryグループの名前を入力します。
    6. [適用][OK] の順にクリックします。
  8. シングルサインオンURLを収集し、AD FS用のIDプロバイダメタデータをエクスポートします。
    1. AD FS管理コンソールで、[AD FS] > [サービス] > [エンドポイント] の順に選択します。
    2. 右側のペインの [エンドポイント] > [メタデータ] の下にある [フェデレーション メタデータ] 行で、URLパスをコピーします。
    3. コピーしたURLにAD FSコンピュータのホスト名を追加します。

      例: https://hostname/FederationMetadata/2007-06/FederationMetadata.xml

    4. IDプロバイダのメタデータを取得するには、前の手順で取得した完全なURLにWebブラウザを使用して移動します。
    5. IDプロバイダのメタデータファイルをXMLファイルとして保存します。
      注:

      このメタデータファイルをDeep Discovery Director (統合モード) にインポートします。

親トピック: SAML認証