Security Center の証明書利用者信頼の追加 - Security Center 5.10

Security Center 管理者ガイド 5.10

series
Security Center 5.10
revised_modified
2021-03-26

ADFS サーバーが Security Center システムの要求プロバイダーとして機能するには、Security Center を ADFS サーバーの証明書利用者信頼に追加する必要があります。

始める前に

  • ADFS サーバーで [AD FS 管理] インウィンドウが開いている必要があります。
  • システムに Directory フェールオーバーが構成されている場合、各 Directory サーバーのホスト名を用意しておきます。

このタスクについて

このタスクは、サンプルシナリオに基づき、ADFS を使用するサードパーティ認証の導入プロセスの一部です。 説明とスクリーンキャプチャは、Windows Server 2016 に基づいています。別のバージョンを使用している場合、手順が異なることがあります。
注: ウェブベース認証 を有効化しない場合、"(WbA のみ)" のマークが付いているステップを実行する代わりに [次へ] をクリックします。

手順

  1. [AD FS] ウィンドウで、[証明書利用者信頼] > [証明書利用者信頼の追加] の順にクリックします。
    [証明書利用者信頼ウィザード] ウィンドウが開きます。
  2. [ウェルカム] ページで、[開始] > [証明書利用者に関するデータを手動で入力] > [次へ] の順にクリックします。
    [要求認識] を選択したままにすることができます。
  3. [表示名の指定] ページで、[表示名] フィールドに自社の Security Center システムを表す名前を入力し、[次へ] をクリックします。
    たとえば、YourCompany Security Center とします。
  4. (オプション) [証明書の構成] ページで、トークン暗号化証明書を指定し、[次へ] をクリックします。
  5. (WbA のみ) [URL の構成] ページで、[WS-Federation パッシブプロトコルのサポートを有効化] を選択し、Security Center メインサーバー の URL を入力して、[次へ] をクリックします。
    たとえば、https://MainServer.YourCompany.com とします。

  6. (WbA のみ) [ID の構成] ページで、[証明書利用者信頼 ID] フィールドに Security Center メインサーバーを識別する文字列を入力し、[追加] をクリックします。
    重要: たとえば、メインサーバーの URL として、https://MainServer.YourCompany.com を使用します。この値を書き留めます。この ID は後のステップで Security Center サーバー上の Authentication Service ロールの構成を行う際に入力する必要があります。
    要確認: 覚えておくべきことを 1 つ少なくするために、Authentication Service ロール用に構成されたデフォルト値である urn:federation:SecurityCenter を使用することを推奨します。

  7. (WbA のみ) [証明書利用者信頼 ID] リストで、メインサーバー URL に対応する行を選択し、[削除] > [次へ] の順にクリックします。
  8. [アクセスコントロールポリシーの選択] ページで、[全員を許可] を選択し、[次へ] をクリックします。
  9. [信頼追加の準備] ページで、[ID] をクリックし、入力した ID を確認します。
  10. [次へ] をクリックし、[このアプリケーションの要求発行ポリシーの構成] を選択したままにして、[閉じる] をクリックします。
    Security Center メインサーバーは ADFS サーバーの証明書利用者信頼に追加されます。
  11. システムで Directory フェールオーバーが構成されている場合、ADFS サーバーの Security Center 証明書利用者信頼に、各 Directory サーバーの URL をエンドポイントとして追加する必要があります。
    注: Authentication Service ロールは、Directory ロールと同じサーバー上で実行します。Directory ロールが並列した次のサーバーにフェールオーバーする場合、Authentication Service ロールも同じサーバーにフェールオーバーします。この理由により、ADFS サーバーはシステム内の各 Directory サーバーの URL を知っている必要があります。サーバー URL として、https:// に続けて完全修飾のホスト名を入力します。
    1. [AD FS] ウィンドウで、Security Center 証明書利用者信頼を選択し、[プロパティ] > [エンドポイント] の順にクリックします。
    2. [WS-Federation の追加] をクリックし、Directory サーバーの URL を入力して、[OK] をクリックします。
    3. システム上のすべての Directory サーバーに対して前のステップを繰り返します。
    4. [適用] > [OK] の順にクリックします。