AD FSサーバ設定

このセクションでは、TMWSaaSで使用できるよう、Active Directoryフェデレーションサービス (AD FS) 2.0および3.0をSAML IDプロバイダ (IdP) として設定する方法について説明します。

  1. サービスプロバイダのメタデータをダウンロードします。
    1. [ADとの連携設定の編集] 画面で、[AD FSサービスプロバイダの設定] セクションの [サービスプロバイダのメタデータを表示] をクリックします。この画面の設定方法については、Active Directoryフェデレーションサービス認証を参照してください。
    2. XMLファイルをiwsspmetadata.xmlという名前で保存します。
  2. AD FSのインストール完了後、[スタート] > [すべてのプログラム] > [管理ツール] > [AD FS {バージョン番号} の管理] の順に選択します。
  3. AD FS管理コンソールで、[AD FS {バージョン番号}] > [信頼関係] の順に選択し、[証明書利用者信頼] を右クリックして [証明書利用者信頼の追加] を選択します。
  4. 証明書利用者信頼の追加ウィザードで、各画面の情報を入力します。
    1. 「データ ソースの選択」ステップで、[証明書利用者についてのデータをファイルからインポートする] を選択し、参照してiwsspmetadata.xmlを選択します。
    2. 「表示名の指定」ステップで、名前を適宜指定します (「TMWSaaS」など)。
    3. 「発行承認規則の選択」ステップで、[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択し、[次へ] をクリックします。
    4. ウィザードで [次へ] をクリックして操作を続け、最後に [閉じる] をクリックします。

      [TMWSaaS の要求規則の編集] ウィンドウが表示されます。

  5. [TMWSaaS の要求規則の編集] ウィンドウの [発行変換規則] タブで、[規則の追加] をクリックします。
  6. 変換要求規則の追加ウィザードで、各画面の情報を入力します。
    1. 「規則の種類の選択」ステップで、[要求規則テンプレート][LDAP 属性を要求として送信] を指定し、[次へ] をクリックします。
    2. 「要求規則の構成」ステップで、以下の操作を行います。

      1. [要求規則名] を指定し、[属性ストア] に [Active Directory] を指定します。

      2. [LDAP 属性][SAM-Account-Name] を選択し、[出力方向の要求の種類][sAMAccountName] を選択します (リストにない場合は入力します)。

        注:

        [出力方向の要求の種類] の値は、[AD FS認証] 設定の [AD FS IDプロバイダの設定] セクションの [ログイン名属性] フィールドと同じにする必要があります。

      3. [完了] をクリックし、新しい規則を追加します。

  7. [TMWSaaS の要求規則の編集] ダイアログボックスで、[規則の追加] をクリックし、以下の設定で他の規則を追加します。

    • 要求規則テンプレート: カスタム規則を使用して要求を送信

    • 要求規則名: 希望する任意の名称 "(「user-defined」など)"

    • カスタムの規則: カスタム規則の内容

      次のように入力します。

      c1:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] && c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant"] => add(store = "_OpaqueIdStore", types = ("http://tmws/internal/sessionid"), query = "{0};{1};{2};{3};{4}", param = "useEntropy", param = c1.Value, param = c1.OriginalIssuer, param = "", param = c2.Value);
  8. [規則の追加] をクリックし、以下の設定で3つ目の規則を追加します。

    • 要求規則テンプレート: 入力方向の要求の変換

    • 要求規則名: 希望する任意の名称 "(「roamer」など)"

    • 受信要求の種類: 前の手順で追加した規則に指定した種類

      次のように入力します。

      http://tmws/internal/sessionid

    • 送信要求の種類: 名前ID

    • 送信時の名前IDの形式: 一時ID

  9. [適用] をクリックし、[OK] をクリックします。
  10. [AD FS {バージョン番号}] > [信頼関係] > [証明書利用者信頼] で、先に作成した証明書利用者信頼ファイルをダブルクリックします。
  11. [TMWSaaS のプロパティ] ダイアログボックスで、[詳細設定] タブをクリックします。
  12. [セキュア ハッシュ アルゴリズム][SHA1] または [SHA256] を指定し、[OK] をクリックします。
  13. [AD FS {バージョン番号}] > [サービス] > [証明書] の順に選択します。
  14. "トークン署名"の下の証明書を開きます。

    トークン署名証明書の選択については、https://technet.microsoft.com/en-us/library/dd145391.aspxを参照してください。

  15. [証明書] ダイアログボックスで、[詳細] タブの [ファイルにコピー] をクリックします。
  16. 証明書のエクスポートウィザードで、各画面の情報を入力します。
    1. [エクスポート ファイルの形式] ウィンドウで、[Base-64 encoded X.509 (.CER)] を選択し、[次へ] をクリックします。
    2. [エクスポートするファイル] ウィンドウで、使用する証明書ファイルを指定し、[次へ] をクリックします。
    3. 「エクスポートに成功しました」というメッセージが表示されたら、[OK] をクリックすると、トークン署名証明書がファイルに保存されます。
    4. TMWSaaS管理コンソールで [ADとの連携設定の編集] 画面に戻り、[ADFS IDプロバイダの設定] セクションで証明書を選択してアップロードします。
  17. 設定をテストします。

    AD FS認証のテストを参照してください。

注:

AD FS認証のエラーが引き続き発生する場合は、イベントログのコピーをサポート窓口に送信してください。

イベントログおよびイベントビューアについては、https://technet.microsoft.com/ja-jp/library/cc766042.aspxを参照してください。

親トピック: Active Directoryフェデレーションサービス認証