Active Directory Federation Services ロールの作成 - Security Center 5.8

Security Center 管理者ガイド 5.8

series
Security Center 5.8
revised_modified
2019-09-17

Security Center が ADFS サーバーから要求を受信するためには、Security Center 内で ADFS ロールを作成および構成する必要があります。

始める前に

このタスクについて

Active Directory Federation Services (ADFS) は、要求を発行して変換し、フェデレーション ID を実装する Microsoft® Windows® オペレーティングシステムのコンポーネントです。また、Security Center で外部 ADFS サーバーからの要求を受信できるようにするロールのタイプです。

各ルート ADFS に対して、Security Center で ADFS ロールを 1 つ作成する必要があります。サンプルシナリオでは、ローカル ADFS サーバーがルート ADFS であるため、ADFS ロールを 1 つだけ作成する必要があります。

ローカル ADFS サーバーがなく、Security CenterSecurity Token Service としてふるまう複数の独立したサードパーティの ADFS サーバーがある場合、それぞれについて ADFS ロールを作成し、Security Center の証明書利用者信頼をこれらの ADFS サーバーの構成のそれぞれに追加する必要があります。

手順

  1. Config Tool ホームページから、[システム] タスクを開き、[ロール] ビューをクリックします。
  2. [エンティティの追加] () > [Active Directory Federation Services] をクリックします。
  3. [基本情報] ページで、ロールの名前と説明を入力します。
  4. このロールをメンバーにする [パーティション] を選択し、[次へ] をクリックします。
    パーティションはどの Security Center ユーザーがこのエンティティへのアクセスを持っているかを判別します。パーティションに対するアクセス権限が付与されているユーザーにのみ、ADFS ロールが可視になります。
  5. [次へ] > [作成] > [閉じる] をクリックします。
    新しい ADFS ロール () が作成されます。
  6. [プロパティ] タブをクリックし、[信頼チェーン (ドメイン)] を構成します。
    1. [アイテムの追加] () をクリックし、ADFS サーバーを構成して、[OK] をクリックします。
      ドメイン
      これはローカル ADFS サーバーのドメインです。例: YourDomain.com
      URL
      これは ADFS サーバーのメタデータドキュメントのアドレスです。常に adfs.YourCompany.com という形式です。

      YourCompany.com を ADFS サーバーの名前に置き換えます。

      証明書利用者
      これは、Security Center の証明書利用者信頼を追加した際に証明書利用者識別子として入力した識別子です。

      これは、ロールが別のサーバーにフェールオーバーした場合でも、Security Center が ADFS サーバーに対する証明書利用者として自分自身を識別する方法です。

      パッシブ認証の有効化
      パッシブ認証 を有効化するにはこのオプションを選択します (デフォルト=OFF)。
      重要: パッシブ認証を有効にした場合、監視されたユーザーログオンは機能しません。これはユーザー認証が Security Center の外側で処理されるためです。
    2. [アイテムの追加] () をクリックし、リモート ADFS サーバーを構成して、[OK] をクリックします。
      ドメイン
      これはリモート ADFS サーバーのドメインです。例: CompanyXYZ.com
      そのドメインからのユーザーは、Security Centerへのログオン時にユーザー名にドメインを付加する必要があります。
      例: johnny@CompanyXYZ.com
      URL
      これはリモート ADFS サーバーのメタデータドキュメントのアドレスです。常に adfs.CompanyXYZ.com という形式です。

      CompanyXYZ.com をリモート ADFS サーバーの名前に置き換えます。

      証明書利用者のオーバーライド
      (高度な設定) このドメインの要求プロバイダーが証明書利用者によって作成されるトークン要求の中に異なる対象者を予期する場合はこのオプションを選択し、予期する値を入力します。
    3. ローカル ADFS サーバーへの要求プロバイダーとして複数の ADFS サーバーを構成した場合、ここでそれらを追加します。
  7. Security Centerが承諾する外部のユーザーグループを構成します。
    1. [承諾されたのユーザーグループ] セクションで、[アイテムの追加] () をクリックします。
    2. 表示されるダイアログボックスで、リモートの ADFS グループにマップされるユーザーグループを選択し、[OK] をクリックします。
    承諾されたユーザーグループのメンバーであるすべてのユーザーはシステムにログオン可能になります。それらのすべてのユーザーはログオンするためにユーザー名にドメイン名を付加する必要があります。Security Centerはパスワードの維持も検証も行いません。これらの処理は ADFS サーバーが行います。ADFS が承諾する場合、Security Centerは単にそれらを真正なユーザーとして信頼するだけです。
  8. [適用] をクリックします。