Security Center の証明書利用者信頼の追加 - Security Center 5.8

Security Center 管理者ガイド 5.8

series
Security Center 5.8
revised_modified
2019-09-17

ADFS サーバーが Security Center システムの要求プロバイダーとして機能するには、Security Center システムを ADFS サーバーの証明書利用者信頼に追加する必要があります。

始める前に

ADFS サーバーで [AD FS 管理] スナップインウィンドウが開いている必要があります。システムで Directory フェールオーバーが構成されている場合、各 Directory サーバーのホスト名を用意しておきます。

このタスクについて

このタスクは、サンプルシナリオに基づき、ADFS を使用する要求ベース認証の導入プロセスの一部です。 サンプルのスクリーンショットは Windows Server 2016 から取得されています。異なるバージョンを使用している場合、画面は異なる場合があります。
注: パッシブ認証 を有効化しない場合、"(PA のみ)" のマークが付いているステップの代わりに [次へ] をクリックします。

手順

  1. [AD FS] ウィンドウで、[証明書利用者信頼] > [証明書利用者信頼の追加] の順にクリックします。

    [証明書利用者信頼ウィザード] ウィンドウが開きます。
  2. [ウェルカム] ページで、[開始] > [証明書利用者に関するデータを手動で入力] > [次へ] の順にクリックします。
    [要求認識] を選択したままにすることができます。
  3. [表示名の指定] ページの [表示名] フィールドに自社の Security Center システムを表す名前を入力し、[次へ] をクリックします。
    たとえば、YourCompany Security Center とします。
  4. (オプション) [証明書の構成] ページで、トークン暗号化証明書を指定し、[次へ] をクリックします。
  5. (PA のみ) [URL の構成] ページで、[WS-Federation パッシブプロトコルのサポートを有効化] を選択し、Security Center メインサーバー の URL を入力して、[次へ] をクリックします。
    たとえば、https://MainServer.YourCompany.com とします。

  6. (PA のみ) [ID の構成] ページで、[証明書利用者信頼 ID] フィールドに Security Center メインサーバーを識別する文字列を入力し、[追加] をクリックします。
    重要: たとえば、メインサーバーの URL として、https://MainServer.YourCompany.com を使用します。この値を書き留めます。この ID は後のステップで Security Center サーバー上の ADFS ロールの構成を行う際に必要になります。
    要確認: 覚えておくべきことを 1 つ少なくするために、ADFS ロール用に構成されたデフォルト値である urn:federation:SecurityCenter を使用することを推奨します。

  7. (PA のみ) [証明書利用者信頼 ID] リストで、メインサーバー URL に対応する行を選択し、[削除] > [次へ] の順にクリックします。
  8. [アクセス・コントロール・ポリシーの選択] ページで、[全員を許可] を選択し、[次へ] をクリックします。
  9. [信頼追加の準備] ページで、[ID] をクリックし、入力した ID を確認します。

  10. [次へ] をクリックし、[このアプリケーションの要求発行ポリシーの構成] を選択したままにして、[閉じる] をクリックします。
    Security Center メインサーバーは ADFS サーバーの証明書利用者信頼に追加されます。
  11. システムで Directory フェールオーバーが構成されている場合、ADFS サーバーの Security Center 証明書利用者信頼に、各 Directory サーバーの URL をエンドポイントとして追加する必要があります。
    注: ADFS ロールは Directory ロールと同じサーバー上で稼働します。Directory ロールが並列した次のサーバーにフェールオーバーする場合、ADFS ロールも同じサーバーにフェールオーバーします。この理由により、ADFS サーバーはシステム内の各 Directory サーバーの URL を知っている必要があります。サーバー URL として、https:// に続けて完全修飾のホスト名を入力します。
    1. [AD FS] ウィンドウで、Security Center 証明書利用者信頼を選択し、[プロパティ] > [エンドポイント] の順にクリックします。

    2. [WS-Federation の追加] をクリックし、Directory サーバーの URL を入力して、[OK] をクリックします。

    3. システム上のすべての Directory サーバーに対して前のステップを繰り返します。
    4. [適用] > [OK] の順にクリックします。