Active Directory Federation Services (AD FS) は、Windows ServerおよびActive Directoryなどクレームに対応するIDソリューションへのサポートを提供します。AD
FSは、WS-Trust、WS-Federation、およびSecurity Assertion Markup Language (SAML) プロトコルをサポートしています。
このセクションでは、Windows Server 2016を使用して、AD FSをSAMLサーバとして設定してTrend Micro Email Securityと連携させる方法について説明します。AD FSがインストールされていることを確認してください。
手順
- の順に選択します。
- AD FS管理コンソールで、[AD FS] を選択し、[証明書利用者信頼] を右クリックして、[証明書利用者信頼の追加] を選択します。
- [証明書利用者信頼の追加] ウィザードで各画面の設定を入力します。
- [ようこそ] 画面で、[要求に対応する] を選択し、[開始] をクリックします。
- [データソースの選択] 画面で [証明書利用者についてのデータを手動で入力する] を選択し、[次へ] をクリックします。
- [表示名の指定] 画面で、Trend Micro Email Security エンドユーザコンソールなどの表示名を指定し、[次へ] をクリックします。
- [証明書の構成] 画面で、[次へ] をクリックします。
注意
暗号化証明書は不要です。Trend Micro Email Securityとフェデレーションサーバの間の通信には、HTTPSが使用されます。 - [URLの構成] 画面で [SAML 2.0 WebSSOプロトコルのサポートを有効にする] を選択し、信頼者のSAML 2.0 SSOサービスURLを入力し、[次へ] をクリックします。
注意
地域のSAML 2.0 SSOサービスURLを次のように指定します。https://euc.<domain_name>/uiserver/euc/ssoAssert?cmpID=<unique_identifier>前述および後述のURL内で次の置換を行います。-
<unique_identifier> を一意の識別子に置き換えます。一意の識別子を記録します。この識別子は、Trend Micro Email Security管理コンソールでのSSOプロファイルの作成時に使用されます。
-
<domain_name> を地域に応じて次のいずれかに変更します。
-
北米、中南米、アジア太平洋地域:
tmes.trendmicro.com
-
ヨーロッパ、アフリカ地域:
tmes.trendmicro.eu
-
オーストラリア、ニュージーランド地域:
tmes-anz.trendmicro.com
-
日本:
tmems-jp.trendmicro.com
-
シンガポール:
tmes-sg.trendmicro.com
-
インド:
tmes-in.trendmicro.com
-
中東 (アラブ首長国連邦):
tmes-uae.trendmicro.com
-
-
- [識別子の構成] 画面で、証明書利用者信頼の識別子を入力し、[追加] をクリックし、[次へ] をクリックします。
注意
地域の証明書利用者信頼の識別子を次のように指定します。https://euc.<domain_name>/uiserver/euc/ssoLogin - [アクセス制御ポリシーの選択] 画面で、アクセス制御ポリシーを選択し、[次へ] をクリックします。
- ウィザードで [次へ] を続けてクリックし、最後に [閉じる] をクリックします。
- [Trend Micro Email Securityエンドユーザコンソールの要求発行ポリシーの編集] ダイアログボックスの [発行変換規則] タブで、[規則の追加] をクリックします。
- [変換要求規則の追加] ウィザードで各画面の設定を入力します。
- [規則テンプレートの選択] 画面の [要求規則テンプレート] ドロップダウンメニューで、[LDAP属性を要求として送信] を選択し、[次へ] をクリックします。
- [要求規則の構成] 画面で、要求規則名を指定し、[属性ストア] のドロップダウンメニューから [Active Directory] を選択します。
- LDAP属性を選択し、各属性の出力方向の要求の種類を指定します。たとえば、[E-Mail-Addresses] を選択し、出力方向の要求の種類として「email」と入力します。
重要
Trend Micro Email SecurityでSSOプロファイルのID要求の種類を設定する場合は、ここで指定した要求の種類を使用してください。 - (オプション) ユーザグループのグループ要求の種類を設定します。
-
[規則テンプレートの選択] 画面の [要求規則テンプレート] ドロップダウンメニューで、[グループメンバーシップを要求として送信] を選択し、[次へ] をクリックします。
-
[規則の構成] 画面で、要求規則名を指定し、[ユーザーのグループ] の下にある [参照] をクリックして、ADグループを選択します。
-
出力方向の要求の種類と出力方向の要求の値を指定します。たとえば、「euc_group」とADグループ名を入力します。
重要
Trend Micro Email SecurityでSSOプロファイルのグループ要求の種類を設定する場合は、ここで指定したグループ要求の種類を使用してください。 -
- [完了] をクリックします。
- [OK] をクリックしてウィザードを閉じます。
- の順に選択し、前に作成した証明書利用者信頼ファイルをダブルクリックします。
- [Testプロパティ] ダイアログボックスで、[詳細] タブをクリックします。
- [セキュアハッシュアルゴリズム] リストから [SHA1] を選択し、[OK] をクリックします。
- AD FSから、シングルサインオン用のログオンURLおよびログオフURLと署名確認用証明書を収集します。
- AD FS管理コンソールで、 の順に選択します。
- [SAML 2.0/WS-Federation] タイプのエンドポイントを探し、そのURLパスを収集します。
注意
このURLパスは、Trend Micro Email SecurityでのログオンURLおよびログオフURLの設定時に使用されます。-
ログオンURL: <adfs_domain_name>/adfs/ls/
-
ログオフURL: <adfs_domain_name>/adfs/ls/?wa=wsignout1.0
-
- の順に選択します。
- [トークン署名] 証明書を探して右クリックし、[証明書の表示] を選択します。
- [詳細] タブをクリックし、[ファイルへコピー] をクリックします。
- [証明書のエクスポート] ウィザードを使用して、[Base-64エンコードX.509 (.CER)] を選択します。
- ファイルに名前を付けて、ファイルへの証明書エクスポートを完了します。