Active Directory Federation Services (AD FS) 2.0は、Windows ServerおよびActive Directoryなどクレームに対応するIDソリューションへのサポートを提供します。AD FS 2.0は、WS-Trust、WS-Federation、およびSecurity Assertion Markup Language (SAML) プロトコルをサポートしています。

このセクションでは、AD FS 2.0をSAMLサーバとして設定してHosted Email Securityと連携させる方法について説明します。AD FS 2.0がインストールされていることを確認してください。

  1. [スタート] > [すべてのプログラム] > [管理ツール] > [AD FS 2.0管理] の順に選択します。
  2. AD FS管理コンソールで、[AD FS 2.0] > [信頼関係] の順に選択し、[証明書利用者信頼] を右クリックし、[証明書利用者信頼の追加] を選択します。
  3. [証明書利用者信頼の追加] ウィザードで各画面の設定を入力します。
    1. [ようこそ] 画面で、[開始] をクリックします。
    2. [データソースの選択] 画面で [証明書利用者についてのデータを手動で入力する] を選択し、[次へ] をクリックします。
    3. [表示名の指定] 画面で、testなどの表示名を指定し、[次へ] をクリックします。
    4. [プロファイルの選択] 画面で、[AD FS 2.0のプロファイル] を選択し、[次へ] をクリックします。
    5. [証明書の構成] 画面で、[次へ] をクリックします。
      注:

      暗号化証明書は不要です。Hosted Email Securityとフェデレーションサーバの間の通信には、HTTPSが使用されます。

    6. [URLの構成] 画面で [SAML 2.0 WebSSOプロトコルのサポートを有効にする] を選択し、信頼者のSAML 2.0 SSOサービスURLを入力し、[次へ] をクリックします。
      注:

      地域のSAML 2.0 SSOサービスURLを次のように指定します。

      • ヨーロッパ、中東、アフリカ地域: https://euq.hes.trendmicro.eu/uiserver/euq/ssoAssert

      • その他の地域: https://euq.hes.trendmicro.com/uiserver/euq/ssoAssert

    7. [識別子の構成] 画面で、依存者信頼のIDを入力し、[追加] をクリックし、[次へ] をクリックします。
      注:

      地域の依存者信頼のIDを次のように指定します。

      • ヨーロッパ、中東、アフリカ地域: https://euq.hes.trendmicro.eu/uiserver/euq/ssoLogin

      • その他の地域: https://euq.hes.trendmicro.com/uiserver/euq/ssoLogin

    8. ウィザードで [次へ] を続けてクリックし、最後に [閉じる] をクリックします。
  4. [Testの要求規則の編集] ダイアログボックスの [発行変換規則] タブで、[規則の追加] をクリックします。
  5. [変換要求規則の追加] ウィザードで各画面の設定を入力します。
    1. [規則テンプレートの選択] 画面の [要求規則テンプレート] ドロップダウンメニューで、[LDAP属性を要求として送信] を選択し、[次へ] をクリックします。
    2. 要求規則名を指定し、[属性ストア] のドロップダウンメニューから [Active Directory] を選択します。
    3. LDAP属性を選択し、それぞれの属性に対して送信クレームタイプを指定します。たとえば、[E-Mail-Addresses] を選択して [メール] を指定します。
      注:

      Hosted Email Securityでフェデレーションサーバ設定を行うときは、[出力方向の要求の種類] 列での指定と同じ要求の種類を使用してください。

    4. [完了] をクリックします。
    5. [OK] をクリックしてウィザードを閉じます。
  6. [AD FS 2.0] > [信頼関係] > [証明書利用者信頼] の順に選択し、前に作成した証明書利用者信頼ファイルをダブルクリックします。
    1. [Testプロパティ] ダイアログボックスで、[詳細] タブをクリックします。
    2. [セキュアハッシュアルゴリズム] リストから [SHA1] を選択し、[完了] をクリックします。
  7. 設定を確認します。
    1. Webブラウザを起動し (Internet Explorerを推奨)、アドレスバーに「https://AD_FS_host_name/adfs/ls/IdpInitiatedSignon.aspx」と入力して <Enter> キーを押します。
      注:

      ADFS_host_name」は、URLを入力する際に、AD FSを構成したサーバのホスト名またはIPアドレスに置き換えてください。

    2. [サインイン] 画面で、[このサイトにサインインしてください][サインインを続行] の順にクリックします。

      「サインインしています」というメッセージが表示されれば正しく設定されており、ADFSサーバへリダイレクトされます。

      サインインに失敗した場合は、前に行った設定を確認します。

  8. シングルサインオンのURLおよび署名確認の証明書をAD FSから収集します。
    1. AD FS管理コンソールで、[AD FS 2.0] > [サービス] > [エンドポイント] の順に選択します。
    2. [SAML 2.0/WS-Federation] タイプのエンドポイントを探し、そのプロパティからURLを収集します。
    3. [AD FS 2.0] > [サービス] > [証明書] の順に選択します。
    4. [トークン署名] 証明書を探して右クリックし、[証明書の表示] を選択します。
    5. [詳細] タブをクリックし、[ファイルへコピー] をクリックします。
    6. [証明書のエクスポート] ウィザードを使用して、[Base-64エンコードX.509 (.Cer)] を選択します。
    7. ファイルに名前を付けて、ファイルへの証明書エクスポートを完了します。
親トピック: ログオン設定について