ADFS を経由する要求ベース認証の導入 - Security Center 5.8

Security Center 管理者ガイド 5.8

series
Security Center 5.8
revised_modified
2019-09-17

Active Directory Federation Services (ADFS) サーバーを Security Center の要求プロバイダーとして使用し、サードパーティの ADFS サーバーから会社の Security Center メインサーバーへの信頼チェーンを確立することにより、社外のユーザーがシステムにログオン可能にすることができます。

始める前に

要求ベース認証の概念に習熟していること、および会社の ADFS サーバーが稼働していることを前提とします。ADFS のインストールと構成の一般的な情報については、Microsoft により提供されているドキュメントを参照してください。

このタスクについて

例示を目的として、XYZ 社の外部ユーザーが会社の Security Center システムにアクセス可能にすることを想定します。XYZ 社は 要求プロバイダー として独自の Active Directory を利用する独自の ADFS サーバーを持っています。XYZ 社のサーバーは会社のサーバーと同じドメインにありません。会社の ADFS サーバーは要求プロバイダーとして XYZ 社の ADFS サーバーを利用し、入れ替わりに会社の Security Center システムに対する要求プロバイダーとして機能します。したがって、信頼のチェーンを XYZ 社の Active Directory から会社の Security Center システムのメインサーバーに対して確立する必要があります。
注: Security Center には要求としてグループおよび UPN (User Principal Name) という特定の属性が必要です。

要確認: ローカルの Active Directory からのセキュリティグループを Security Center ユーザーグループとして受け入れる場合、ADFS ロールを使用してフェデレートするのではなく、代わりに Active Directory ロールを使用してインポートしてください。後者の方がより多くの機能を提供します。たとえば、すべての標準フィールドの同期 (名、姓、電子メールアドレスなど)、カスタム・フィールド・マッピング、ロール同期時にすべてのユーザーを作成するオプションなどがあります。

手順

  1. 会社のドメインの外で信頼チェーンを構成します。
    次のタスクが XYZ 社の IT スタッフによって実施されることを確認します。
    1. XYZ 社の Active Directory に対して要求プロバイダーを XYZ 社の ADFS サーバーに追加します。
    2. 自社の ADFS サーバーに対して証明書利用者信頼を XYZ 社の ADFS サーバーに追加します。
  2. ローカルの ADFS サーバーを Security Center システムの要求プロバイダーとして構成します。
    1. 会社の ADFS サーバーで、[AD FS 管理] スナップインを開きます。
    2. サードパーティの ADFS サーバー向けに ADFS に要求プロバイダー信頼を追加します。
    3. サードパーティ要求プロバイダーの要求ルールを構成します。
    4. Security Center の ADFS サーバーに証明書利用者信頼を追加します。
    5. 直前に追加した証明書利用者であるSecurity Center の要求ルールを構成します。
  3. ローカルの ADFS サーバーから要求を受信するように Security Center システムを構成します。
    1. Security Center システムを Config Tool と接続します。
    2. Security Center ユーザーグループとして受け入れる各 ADFS グループのユーザーグループを作成します。
    3. Active Directory Federation Services ロールを作成します。

タスクの結果

ADFS 経由で認証されるすべてのユーザーは完全修飾ユーザー名を使用してログオンする必要があります。つまり、ユーザー名にドメインを追加する必要があります (例: Username@CompanyXYZ.com)。
重要: 現在、ローカルの Active Directory および ADFS の使用に関して既知の問題があります。システムに ADFS 経由で認証される外部ユーザーが存在する場合、ローカルの Active Directory からインポートされたすべてのユーザーは、Security Center システムと同じドメインに属していても、完全修飾ユーザー名を使用する必要があります。