AD FSサーバ設定

手順

1. サービスプロバイダのメタデータをダウンロードします。
   1. [ADとの連携設定の編集] 画面で、[AD FSサービスプロバイダの設定] セクションの [サービスプロバイダのメタデータを表示] をクリックします。この画面の設定方法については、Active Directoryフェデレーションサービス認証を参照してください。
   2. XMLファイルをiwsspmetadata.xmlという名前で保存します。
2. AD FSのインストール完了後、[スタート] → [すべてのプログラム] → [管理ツール] → [AD FS {バージョン番号} の管理] の順に選択します。
3. AD FS管理コンソールで、[AD FS {バージョン番号}] → [信頼関係] の順に選択し、[証明書利用者信頼] を右クリックして [証明書利用者信頼の追加] を選択します。
4. 証明書利用者信頼の追加ウィザードで、各画面の情報を入力します。
   1. 「データ ソースの選択」ステップで、[証明書利用者についてのデータをファイルからインポートする] を選択し、参照してiwsspmetadata.xmlを選択します。
   2. 「表示名の指定」ステップで、名前を適宜指定します (「TMWSaaS」など)。
   3. 「発行承認規則の選択」ステップで、[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択し、[次へ] をクリックします。
   4. ウィザードで [次へ] をクリックして操作を続け、最後に [閉じる] をクリックします。
      [TMWSaaS の要求規則の編集] ウィンドウが表示されます。
5. [TMWSaaS の要求規則の編集] ウィンドウの [発行変換規則] タブで、[規則の追加] をクリックします。
6. 変換要求規則の追加ウィザードで、各画面の情報を入力します。
   1. 「規則の種類の選択」ステップで、[要求規則テンプレート] に [LDAP 属性を要求として送信] を指定し、[次へ] をクリックします。
   2. 「要求規則の構成」ステップで、以下の操作を行います。
      1. [要求規則名] を指定し、[属性ストア] に [Active Directory] を指定します。
      2. [LDAP 属性] に [SAM-Account-Name] を選択し、[出力方向の要求の種類] に [sAMAccountName] を選択します (リストにない場合は入力します)。

         注意 [出力方向の要求の種類] の値は、[AD FS認証] 設定の [AD FS IDプロバイダの設定] セクションの [ログイン名属性] フィールドと同じにする必要があります。

      3. [完了] をクリックし、新しい規則を追加します。
7. [TMWSaaS の要求規則の編集] ダイアログボックスで、[規則の追加] をクリックし、以下の設定で他の規則を追加します。
   • 要求規則テンプレート: カスタム規則を使用して要求を送信
   • 要求規則名: 希望する任意の名称 (「user-defined」など)
   • カスタムの規則: カスタム規則の内容
     次のように入力します。

     c1:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] && c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant"] => add(store = "_OpaqueIdStore", types = ("http://tmws/internal/sessionid"), query = "{0};{1};{2};{3};{4}", param = "useEntropy", param = c1.Value, param = c1.OriginalIssuer, param = "", param = c2.Value);

8. [規則の追加] をクリックし、以下の設定で3つ目の規則を追加します。
   • 要求規則テンプレート: 入力方向の要求の変換
   • 要求規則名: 希望する任意の名称 (「roamer」など)
   • 受信要求の種類: 前の手順で追加した規則に指定した種類
     次のように入力します。
     http://tmws/internal/sessionid
   • 送信要求の種類: 名前ID
   • 送信時の名前IDの形式: 一時ID
9. [適用] をクリックし、[OK] をクリックします。
10. [AD FS {バージョン番号}] → [信頼関係] → [証明書利用者信頼] で、先に作成した証明書利用者信頼ファイルをダブルクリックします。
11. [TMWSaaS のプロパティ] ダイアログボックスで、[詳細設定] タブをクリックします。
12. [セキュア ハッシュ アルゴリズム] に [SHA1] または [SHA256] を指定し、[OK] をクリックします。
13. [AD FS {バージョン番号}] → [サービス] → [証明書] の順に選択します。
14. トークン署名の下の証明書を開きます。
    トークン署名証明書の選択については、https://technet.microsoft.com/en-us/library/dd145391.aspxを参照してください。
15. [証明書] ダイアログボックスで、[詳細] タブの [ファイルにコピー] をクリックします。
16. 証明書のエクスポートウィザードで、各画面の情報を入力します。
    1. [エクスポート ファイルの形式] ウィンドウで、[Base-64 encoded X.509 (.CER)] を選択し、[次へ] をクリックします。
    2. [エクスポートするファイル] ウィンドウで、使用する証明書ファイルを指定し、[次へ] をクリックします。
    3. 「エクスポートに成功しました」というメッセージが表示されたら、[OK] をクリックすると、トークン署名証明書がファイルに保存されます。
    4. TMWSaaS管理コンソールで [ADとの連携設定の編集] 画面に戻り、[ADFS IDプロバイダの設定] セクションで証明書を選択してアップロードします。
17. 設定をテストします。
    AD FS認証のテストを参照してください。