ビュー:
ここでは、Active Directoryフェデレーションサービス (AD FS) を使用してフェデレーションサーバを設定し、Deep Discovery Email Inspectorと連動させる方法について説明します。
注意
注意
Deep Discovery Email Inspectorでは、AD FS 4.0および5.0を使用したフェデレーションサーバへの接続がサポートされます。
Active Directoryフェデレーションサービス (AD FS) は、Windows ServerやActive Directoryの技術に関連した要求対応のID管理ソリューションを提供します。AD FSでは、WS-Trust、WS-Federation、およびSAML (Security Assertion Markup Language) の各プロトコルがサポートされます。
AD FSの設定を開始する前に、次のことを確認してください。
  • フェデレーションサーバとして機能する、AD FS 4.0またはAD FS 5.0を搭載したWindows Serverがある。
  • Deep Discovery Email Inspectorの管理者として管理コンソールにログオンしている。
  • Deep Discovery Email Inspectorからメタデータファイルを取得している。

手順

  1. [スタート][すべてのプログラム][管理ツール] の順に選択し、AD FS管理コンソールを開きます。
  2. 左側のナビゲーションで [AD FS] をクリックし、右側の [操作] 領域にある [証明書利用者信頼の追加] をクリックします。
  3. [証明書利用者信頼の追加ウィザード] 画面の各タブで設定を行います。
    1. [ようこそ] タブで [要求に対応する] を選択し、[開始] をクリックします。
    2. [データ ソースの選択] タブで [証明書利用者についてのデータをファイルからインポートする] を選択し、[参照] をクリックして、Deep Discovery Email Inspectorから取得するメタデータファイルを選択します。次に [次へ] をクリックします。
    3. [表示名の指定] タブで、「Deep Discovery Email Inspector」などDeep Discovery Email Inspectorの表示名を指定し、[次へ] をクリックします。
    4. [アクセス制御ポリシーの選択] タブで、[すべてのユーザーを許可] または [特定のグループを許可] を選択します。[特定のグループを許可] を選択する場合は、[ポリシー] でグループを1つ以上選択します。次に [次へ] をクリックします。
    5. [信頼の追加の準備完了] タブで [次へ] をクリックします。
    6. [完了] タブで [ウィザードの終了時にこの証明書利用者信頼の [要求規則の編集] ダイアログを開く] チェックボックスをオンにし、[閉じる] をクリックします。
      [要求規則の編集] 画面が表示されます。
  4. [発行変換規則] タブで [規則の追加] をクリックします。
  5. [変換要求規則の追加ウィザード] 画面の各タブを設定し、以下の表に示すLDAP属性の要求規則を設定します。
    1. [規則の種類の選択] タブで、[要求規則テンプレート] ドロップダウンリストから [LDAP 属性を要求として送信] を選択し、[次へ] をクリックします。
    2. [要求規則の構成] タブの [要求規則名] に要求規則の名前を入力し、[属性ストア] ドロップダウンリストから [Active Directory] を選択します。
    3. LDAP属性に [User-Principal-Name] を選択し、属性の出力方向の要求の種類として [名前 ID] を指定します。
    4. [OK] をクリックします。

    LDAP属性

    Webコンソール
    LDAP属性
    出力方向の要求の種類
    必須
    管理
    User-Principal-Name
    名前 ID
    はい
    エンドユーザメール隔離
    User-Principal-Name
    名前 ID
    はい
    エンドユーザメール隔離
    E-Mail-Addresses
    <ユーザ指定値>
    例: EUQ_Email
    いいえ
    エンドユーザメール隔離
    Proxy-Addresses
    <ユーザ指定値>
    例: EUQ_PROXY_Email
    いいえ
  6. 手順3dで許可したActive Directoryグループごとに設定を行い、要件に基づいて設定をカスタマイズします。
    注意
    注意
    出力方向の要求の種類が「DDEI_GROUP」に設定されていることを確認してください。
    1. [規則の追加] をクリックします。
      [変換要求規則の追加ウィザード] 画面が表示されます。
    2. [規則の種類の選択] タブで、[要求規則テンプレート] ドロップダウンリストから [グループ メンバーシップを要求として送信] を選択し、[次へ] をクリックします。
      [要求規則の構成] タブが表示されます。
    3. [要求規則名] にActive Directoryグループの名前を入力します。
    4. [ユーザーのグループ][参照] をクリックし、Active Directoryグループを選択します。
    5. [出力方向の要求の種類] に「DDEI_GROUP」と入力します。
    6. [出力方向の要求の値] にActive Directoryグループの名前を入力します。
    7. [適用][OK] の順にクリックします。

      グループメンバーシップの規則

      要求規則名
      ユーザー グループ
      出力方向の要求の種類
      出力方向の要求の値
      <ユーザ指定の規則名>
      <AD FSのユーザグループ名>
      DDEI_GROUP
      <ユーザ指定値>
      注意
      注意
      この値は、Deep Discovery Email Inspectorで設定するSAMLグループ名と同じである必要があります。
  7. [適用][OK] の順にクリックします。
関連情報
Keywords: AD FS,Active Directoryフェデレーションサービス (AD FS)