ビュー:
Active Directory Federation Services (AD FS) は、Windows ServerおよびActive Directoryなどクレームに対応するIDソリューションへのサポートを提供します。AD FSは、WS-Trust、WS-Federation、およびSecurity Assertion Markup Language (SAML) プロトコルをサポートしています。
このセクションでは、Windows Server 2016を使用して、AD FSをSAMLサーバとして設定してCloud Email Gateway Protectionと連携させる方法について説明します。AD FSがインストールされていることを確認してください。

手順

  1. [スタート][すべてのプログラム][Windows管理ツール][AD FSの管理] の順に選択します。
  2. AD FS管理コンソールで、[AD FS] を選択し、[証明書利用者信頼] を右クリックして、[証明書利用者信頼の追加] を選択します。
  3. [証明書利用者信頼の追加] ウィザードで各画面の設定を入力します。
    1. [ようこそ] 画面で、[要求に対応する] を選択し、[開始] をクリックします。
    2. [データソースの選択] 画面で [証明書利用者についてのデータを手動で入力する] を選択し、[次へ] をクリックします。
    3. [表示名の指定] 画面で、Trend Micro Email Security エンドユーザコンソールなどの表示名を指定し、[次へ] をクリックします。
    4. [証明書の構成] 画面で、[次へ] をクリックします。
      注意
      注意
      暗号化証明書は不要です。Cloud Email Gateway Protectionとフェデレーションサーバの間の通信には、HTTPSが使用されます。
    5. [URLの構成] 画面で [SAML 2.0 WebSSOプロトコルのサポートを有効にする] を選択し、信頼者のSAML 2.0 SSOサービスURLを入力し、[次へ] をクリックします。
      注意
      注意
      地域のSAML 2.0 SSOサービスURLを次のように指定します。
      https://euc.<domain_name>/uiserver/euc/ssoAssert?cmpID=<unique_identifier>
      前述および後述のURL内で次の置換を行います。
      • <unique_identifier> を一意の識別子に置き換えます。一意の識別子を記録します。この識別子は、Cloud Email Gateway Protection管理コンソールでのSSOプロファイルの作成時に使用されます。
      • <domain_name> を地域に応じて次のいずれかに変更します。
        • 北米、中南米、アジア太平洋地域:
          tmes.trendmicro.com
        • ヨーロッパ、アフリカ地域:
          tmes.trendmicro.eu
        • オーストラリア、ニュージーランド地域:
          tmes-anz.trendmicro.com
        • 日本:
          tmems-jp.trendmicro.com
        • シンガポール:
          tmes-sg.trendmicro.com
        • インド:
          tmes-in.trendmicro.com
        • 中東 (アラブ首長国連邦):
          tmes-uae.trendmicro.com
    6. [識別子の構成] 画面で、証明書利用者信頼の識別子を入力し、[追加] をクリックし、[次へ] をクリックします。
      注意
      注意
      地域の証明書利用者信頼の識別子を次のように指定します。
      https://euc.<domain_name>/uiserver/euc/ssoLogin
    7. [アクセス制御ポリシーの選択] 画面で、アクセス制御ポリシーを選択し、[次へ] をクリックします。
    8. ウィザードで [次へ] を続けてクリックし、最後に [閉じる] をクリックします。
  4. [Trend Micro Email Securityエンドユーザコンソールの要求発行ポリシーの編集] ダイアログボックスの [発行変換規則] タブで、[規則の追加] をクリックします。
  5. [変換要求規則の追加] ウィザードで各画面の設定を入力します。
    1. [規則テンプレートの選択] 画面の [要求規則テンプレート] ドロップダウンメニューで、[LDAP属性を要求として送信] を選択し、[次へ] をクリックします。
    2. [要求規則の構成] 画面で、要求規則名を指定し、[属性ストア] のドロップダウンメニューから [Active Directory] を選択します。
    3. LDAP属性を選択し、各属性の出力方向の要求の種類を指定します。たとえば、[E-Mail-Addresses] を選択し、出力方向の要求の種類として「email」と入力します。
      重要
      重要
      Cloud Email Gateway ProtectionでSSOプロファイルのID要求の種類を設定する場合は、ここで指定した要求の種類を使用してください。
    4. (オプション) ユーザグループのグループ要求の種類を設定します。
      1. [規則テンプレートの選択] 画面の [要求規則テンプレート] ドロップダウンメニューで、[グループメンバーシップを要求として送信] を選択し、[次へ] をクリックします。
      2. [規則の構成] 画面で、要求規則名を指定し、[ユーザーのグループ] の下にある [参照] をクリックして、ADグループを選択します。
      3. 出力方向の要求の種類と出力方向の要求の値を指定します。たとえば、「euc_group」とADグループ名を入力します。
      重要
      重要
      Cloud Email Gateway ProtectionでSSOプロファイルのグループ要求の種類を設定する場合は、ここで指定したグループ要求の種類を使用してください。
    5. [完了] をクリックします。
    6. [OK] をクリックしてウィザードを閉じます。
  6. [AD FS][証明書利用者信頼] の順に選択し、前に作成した証明書利用者信頼ファイルをダブルクリックします。
    1. [Testプロパティ] ダイアログボックスで、[詳細] タブをクリックします。
    2. [セキュアハッシュアルゴリズム] リストから [SHA1] を選択し、[OK] をクリックします。
  7. AD FSから、シングルサインオン用のログオンURLおよびログオフURLと署名確認用証明書を収集します。
    1. AD FS管理コンソールで、[AD FS][サービス][エンドポイント] の順に選択します。
    2. [SAML 2.0/WS-Federation] タイプのエンドポイントを探し、そのURLパスを収集します。
      注意
      注意
      このURLパスは、Cloud Email Gateway ProtectionでのログオンURLおよびログオフURLの設定時に使用されます。
      • ログオンURL: <adfs_domain_name>/adfs/ls/
      • ログオフURL: <adfs_domain_name>/adfs/ls/?wa=wsignout1.0
    3. [AD FS][サービス][証明書] の順に選択します。
    4. [トークン署名] 証明書を探して右クリックし、[証明書の表示] を選択します。
    5. [詳細] タブをクリックし、[ファイルへコピー] をクリックします。
    6. [証明書のエクスポート] ウィザードを使用して、[Base-64エンコードX.509 (.CER)] を選択します。
    7. ファイルに名前を付けて、ファイルへの証明書エクスポートを完了します。