Active Directoryフェデレーションサービス (AD FS) を設定する

ここでは、AD FS 3.0を使用してフェデレーションサーバを設定し、Cloud App Securityと連動させる方法について説明します。

フェデレーションサーバとは、セキュリティトークンの発行、管理、および要求の検証に特化したWebサービスを実行し、ID管理を行うコンピュータのことです。セキュリティトークンは、ユーザの名前や役割などID要求の集合で構成されています。インターネットへの情報漏えいを防止するため、フェデレーションサーバはイントラネットでのアクセスに対してのみ設定可能です。

注:

Cloud App Securityでは、AD FS 2.0および3.0を使用したフェデレーションサーバへの接続がサポートされます。

AD FS 3.0はAD FS 2012 R2とも呼ばれ、Windows ServerやActive Directoryの技術に関連した要求対応のID管理ソリューションを提供します。AD FS 3.0では、WS-Trust、WS-Federation、およびSAML (Security Assertion Markup Language) の各プロトコルがサポートされます。

AD FSの設定を開始する前に、次のことを確認してください。

  • フェデレーションサーバとして機能する、AD FS 3.0を搭載したWindows Serverがある。

  • Cloud App Securityのグローバル管理者として管理コンソールにログオンしている。詳細については、管理者と役割を参照してください。

  1. [スタート] > [すべてのプログラム] > [管理ツール] の順に選択し、AD FS管理コンソールを開きます。
  2. 左側のナビゲーションで [AD FS] をクリックし、右側の [操作] 領域にある [証明書利用者信頼の追加] をクリックします。
  3. [証明書利用者信頼の追加ウィザード] 画面の各タブで設定を行います。
    1. [ようこそ] タブで [開始] をクリックします。
    2. [データソースの選択] タブで [証明書利用者についてのデータを手動で入力する] を選択し、[次へ] をクリックします。
    3. [表示名の指定] タブで「Trend Micro Cloud App Security」などCloud App Securityの表示名を指定し、[次へ] をクリックします。
    4. [プロファイルの選択] タブで [AD FS プロファイル] を選択し、[次へ] をクリックします。
    5. [証明書の構成] タブで [次へ] をクリックします。
      注:

      暗号化証明書は必要ありません。Cloud App Securityとフェデレーションサーバとの通信にはHTTPSが使用されます。

    6. [URLの構成] タブで [SAML 2.0 WebSSO プロトコルのサポートを有効にする] チェックボックスをオンにし、証明書利用者のSAML 2.0 SSOサービスのURLを入力して、[次へ] をクリックします。
      注:

      SAML 2.0 SSOサービスのURLは、「Cloud App Security_admin_site/ssoLogin」です。「Cloud App Security_admin_site」は、ご使用のサイトに基づいて指定してください。たとえば、ログオン後にアドレスバーに表示されるCloud App Security管理コンソールのURLが「https://admin-eu.tmcas.trendmicro.com」であれば、SAML 2.0 SSOサービスのURLは「https://admin-eu.tmcas.trendmicro.com/ssoLogin」です。

    7. [識別子の構成] タブで証明書利用者信頼の識別子を入力し、[追加][次へ] の順にクリックします。これはCloud App Security管理コンソールで [アプリケーションID] としても参照されます。
    8. [今すぐ多要素認証を構成しますか?] タブで多要素認証を初期設定のままにして、[次へ] をクリックします。
    9. [発行承認規則の選択] タブで [すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択し、[次へ] をクリックします。
    10. [信頼の追加の準備完了] タブで [次へ] をクリックします。
    11. [完了] タブで [ウィザードの終了時にこの証明書利用者信頼の [要求規則の編集] ダイアログを開く] チェックボックスをオンにし、[閉じる] をクリックします。

      [要求規則の編集] 画面が表示されます。

  4. [発行変換規則] タブで [規則の追加] をクリックします。
  5. [変換要求規則の追加ウィザード] 画面の各タブで設定を行います。
    1. [規則の種類の選択] タブで、[要求規則テンプレート] ドロップダウンリストから [LDAP 属性を要求として送信] を選択し、[次へ] をクリックします。
    2. [要求規則の構成] タブの [要求規則名] に要求規則の名前を入力し、[属性ストア] ドロップダウンリストから [Active Directory] を選択します。
    3. 次のLDAP属性を選択して、各属性の出力方向の要求の種類を指定します。[E-Mail-Addresses] を選択して [出力方向の要求の種類] ドロップダウンリストから [電子メールアドレス] を選択し、[User-Principal-Name] を選択して [出力方向の要求の種類] ドロップダウンリストから [名前] を選択します。
    4. [完了] をクリックします。

      作成した変換要求規則が [発行変換規則] タブに表示されます。

  6. [規則の追加] をクリックします。
  7. [変換要求規則の追加ウィザード] 画面の各タブで設定を行います。
    1. [規則の種類の選択] タブで、[要求規則テンプレート] ドロップダウンリストから [入力方向の要求を変換] を選択し、[次へ] をクリックします。
    2. [要求規則の構成] タブの [要求規則名] に要求規則の名前を入力し、[入力方向の要求の種類][電子メール アドレス][出力方向の要求の種類][名前 ID][出力方向の名前 ID の形式][電子メール] を選択するか入力します。
    3. [すべての要求値をパス スルーする] を選択し、[完了] をクリックします。

      作成した変換要求規則が [発行変換規則] タブに表示されます。

  8. [適用][OK] の順にクリックします。
  9. シングルサインオンURLを収集し、Cloud App Security管理コンソールでAD FSの署名検証に使用する証明書をエクスポートします。
    1. AD FS管理コンソールで、[AD FS] > [サービス] > [エンドポイント] の順に選択します。
    2. [エンドポイント] 領域で [SAML 2.0/WS-Federation] の種類を見つけ、URL「/adfs/ls/」を記録します。
    3. [AD FS] > [サービス] > [証明書] の順に選択します。
    4. [トークン署名] 証明書を右クリックし、[証明書の表示] を選択します。
    5. 表示される [証明書] 画面で [詳細] タブを選択し、[ファイルにコピー] をクリックします。
    6. 表示される [証明書のエクスポートウィザード] 画面で [Base-64 Encoded X.509 (.Cer)] を選択し、[次へ] をクリックします。
    7. [ファイル名] に名前を指定し、[次へ] をクリックします。
    8. [完了] をクリックして証明書をファイルにエクスポートします。
  10. 認証方法を設定します。
    1. AD FS管理コンソールで、[AD FS] > [認証ポリシー] の順に選択します。
    2. [認証ポリシー] 領域で、[プライマリ認証][グローバル設定] の横にある [編集] をクリックします。

      [グローバル認証ポリシーの編集] 画面が表示されます。

    3. [プライマリ] タブの [エクストラネット] 領域で [フォーム認証][証明書認証][イントラネット] 領域で [フォーム認証][Windows 認証] を選択します。
    4. [OK] をクリックします。
親トピック: シングルサインオン