Active Directory Federation Servicesの設定

Active Directory Federation Services (AD FS) は、Windows ServerおよびActive Directoryなどクレームに対応するIDソリューションへのサポートを提供します。AD FSは、WS-Trust、WS-Federation、およびSecurity Assertion Markup Language (SAML) プロトコルをサポートしています。

このセクションでは、Windows Server 2016を使用して、AD FSをSAMLサーバとして設定してTrend Micro Email Securityと連携させる方法について説明します。AD FSがインストールされていることを確認してください。

  1. [スタート] > [すべてのプログラム] > [Windows管理ツール] > [AD FSの管理] の順に選択します。
  2. AD FS管理コンソールで、[AD FS] を選択し、[証明書利用者信頼] を右クリックして、[証明書利用者信頼の追加] を選択します。
  3. [証明書利用者信頼の追加] ウィザードで各画面の設定を入力します。
    1. [ようこそ] 画面で、[要求に対応する] を選択し、[開始] をクリックします。
    2. [データソースの選択] 画面で [証明書利用者についてのデータを手動で入力する] を選択し、[次へ] をクリックします。
    3. [表示名の指定] 画面で、Trend Micro Email Security管理コンソールなどの表示名を指定し、[次へ]をクリックします。
    4. [証明書の構成] 画面で、[次へ] をクリックします。
      注:

      暗号化証明書は不要です。Trend Micro Email Securityとフェデレーションサーバの間の通信には、HTTPSが使用されます。

    5. [URLの構成] 画面で [SAML 2.0 WebSSOプロトコルのサポートを有効にする] を選択し、信頼者のSAML 2.0 SSOサービスURLを入力し、[次へ] をクリックします。
      注:

      地域のSAML 2.0 SSOサービスURLを次のように指定します。

      https://ui.<domain_name>/uiserver/subaccount/ssoAssert?cmpID=<unique_identifier>

      前述および後述のURL内で次の置換を行います。

      • <unique_identifier> を一意の識別子に置き換えます。一意の識別子を記録します。この識別子は、Trend Micro Email Security管理コンソールでのSSOプロファイルの作成時に使用されます。

      • <domain_name> を地域に応じて次のいずれかに変更します。

        • 北米、中南米、アジア太平洋地域:

          tmes.trendmicro.com

        • ヨーロッパ、中東、アフリカ地域:

          tmes.trendmicro.eu

        • オーストラリア、ニュージーランド地域:

          tmes-anz.trendmicro.com

        • 日本:

          tmems-jp.trendmicro.com

        • シンガポール:

          tmes-sg.trendmicro.com

        • インド:

          tmes-in.trendmicro.com

    6. [識別子の構成] 画面で、証明書利用者信頼の識別子を入力し、[追加] をクリックし、[次へ] をクリックします。
      注:

      地域の証明書利用者信頼の識別子を次のように指定します。

      https://ui.<domain_name>/uiserver/subaccount/ssoLogin

    7. [アクセス制御ポリシーの選択] 画面で、アクセス制御ポリシーを選択し、[次へ] をクリックします。
    8. ウィザードで [次へ] を続けてクリックし、最後に [閉じる] をクリックします。
  4. [Trend Micro Email Security管理コンソールの要求発行ポリシーの編集] ダイアログボックスの [発行変換規則] タブで、[規則の追加] をクリックします。
  5. [変換要求規則の追加] ウィザードで各画面の設定を入力します。
    1. [規則テンプレートの選択] 画面の [要求規則テンプレート] ドロップダウンメニューで、[LDAP属性を要求として送信] を選択し、[次へ] をクリックします。
    2. [要求規則の構成] 画面で、要求規則名を指定し、[属性ストア] のドロップダウンメニューから [Active Directory] を選択します。
    3. LDAP属性を選択し、各属性の出力方向の要求の種類を指定します。たとえば、[E-Mail-Addresses] を選択し、出力方向の要求の種類として「email」と入力します。
      重要:

      Trend Micro Email SecurityでSSOプロファイルのID要求の種類を設定する場合は、ここで指定した要求の種類を使用してください。

    4. [完了] をクリックします。
    5. [OK] をクリックしてウィザードを閉じます。
  6. [AD FS] > [証明書利用者信頼] の順に選択し、前に作成した証明書利用者信頼ファイルをダブルクリックします。
    1. [Testプロパティ] ダイアログボックスで、[詳細] タブをクリックします。
    2. [セキュアハッシュアルゴリズム] リストから [SHA1] を選択し、[OK] をクリックします。
  7. AD FSから、シングルサインオン用のログオンURLおよびログオフURLと署名確認用証明書を収集します。
    1. AD FS管理コンソールで、[AD FS] > [サービス] > [エンドポイント] の順に選択します。
    2. [SAML 2.0/WS-Federation] タイプのエンドポイントを探し、そのURLパスを収集します。
      注:
      このURLパスは、Trend Micro Email SecurityでのログオンURLおよびログオフURLの設定時に使用されます。

      • ログオンURL: <adfs_domain_name>/adfs/ls/

      • ログオフURL: <adfs_domain_name>/adfs/ls/?wa=wsignout1.0

    3. [AD FS] > [サービス] > [証明書] の順に選択します。
    4. [トークン署名] 証明書を探して右クリックし、[証明書の表示] を選択します。
    5. [詳細] タブをクリックし、[ファイルへコピー] をクリックします。
    6. [証明書のエクスポート] ウィザードを使用して、[Base-64エンコードX.509 (.CER)] を選択します。
    7. ファイルに名前を付けて、ファイルへの証明書エクスポートを完了します。
親トピック: シングルサインオンの設定