WS-Federation または WS-Trust を使用する ADFS を介したサードパーティ認証の導入 - Security Center 5.10

Security Center 管理者ガイド 5.10

series
Security Center 5.10
revised_modified
2021-03-26

Active Directory Federation Services (ADFS) サーバーを Security Center の ID プロバイダーとして使用し、サードパーティの ADFS サーバーから Security Center メインサーバーへの信頼チェーンを確立することにより、社外のユーザーがログオンできるようにすることができます。

始める前に

  • サードパーティ認証の概念を十分に理解します。
  • ADFS サーバーが動作していることを確認します。ADFS のインストールと構成の一般的な情報については、使用している製品ソフトウェアのバージョンのマニュアルを参照してください。

このタスクについて

この導入プロセスでは、次のサンプルシナリオを使用します。
  • XYZ 社のユーザーが Security Center システムにアクセスする必要があります。
  • XYZ 社のサーバーは自社のサーバーと同じドメインにありません。
  • XYZ 社には、Active Directory を ID プロバイダー として使用する、WS-Trust または WS-Federation を使用する ADFS サーバーがあります。

XYZ 社の外部ユーザーが Security Center にアクセスするには、信頼のチェーンを XYZ 社の Active Directory から Security Center システムのメインサーバーに対して確立する必要があります。

注: Security Center には要求としてグループおよび UPN (User Principal Name) という特定の属性が必要です。
要確認: ローカルの Active Directory からのセキュリティグループを Security Center ユーザーグループとして使用したい場合、Authentication Serviceロールを使用してフェデレートするのではなく、代わりに Active Directory からインポートしてください。Active Directory からのインポートの方がより多くの機能を使用できます。たとえば、すべての標準フィールドの同期 (名、姓、電子メールアドレスなど)、カスタムフィールドマッピング、ロール同期時にすべてのユーザーを作成するオプションなどがあります。

手順

  1. XYZ 社は、自社の ADFS サーバーに対する証明書利用者信頼を XYZ 社の ADFS サーバーに追加する必要があります。
  2. 次の手順でローカル ADFS サーバーを構成します。
    1. サードパーティの ADFS サーバー向けに要求プロバイダー信頼を追加します。
    2. サードパーティ要求プロバイダーの要求ルールを構成します。
    3. Security Center の証明書利用者信頼を追加します。
    4. Security Center の要求ルールを構成します。
  3. ADFS を介してサードパーティ認証を実行するよう Security Center を構成します。
    1. Security Center システムを Config Tool と接続します。
    2. Security Center ユーザーグループとして受け入れる各 ADFS グループのユーザーグループを作成します。
    3. WS-Trust または WS-Federation を使用するサードパーティ認証用にAuthentication Serviceロールを作成します。

タスクの結果

これでユーザーは ADFS によって認証できるようになります。
注: WS-Trust プロトコルを使用して ADFS によって認証される必要がある外部ユーザーは、Security Center のログオン画面で、ユーザー名の末尾にドメイン名を追加する必要があります。たとえば、Username@CompanyXYZ.com のようにします。
重要: 現在、ローカルの Active Directory および ADFS の使用に関して既知の問題があります。システムに ADFS 経由で認証される外部ユーザーが存在する場合、ローカルの Active Directory からインポートされたすべてのユーザーは、Security Center システムと同じドメインに属していても、完全修飾ユーザー名を使用する必要があります。