Active Directoryフェデレーションサービス (AD FS) を設定する

ビュー:

ここでは、AD FS 3.0を使用してフェデレーションサーバを設定し、 Cloud App Security と連動させる方法について説明します。

フェデレーションサーバとは、セキュリティトークンの発行、管理、および要求の検証に特化したWebサービスを実行し、ID管理を行うコンピュータのことです。セキュリティトークンは、ユーザの名前や役割などID要求の集合で構成されています。インターネットへの情報漏えいを防止するため、フェデレーションサーバはイントラネットでのアクセスに対してのみ設定可能です。

注:

Cloud App Security では、AD FS 2.0および3.0を使用したフェデレーションサーバへの接続がサポートされます。

AD FS 3.0はAD FS 2012 R2とも呼ばれ、Windows ServerやActive Directoryの技術に関連した要求対応のID管理ソリューションを提供します。AD FS 3.0では、WS-Trust、WS-Federation、およびSAML (Security Assertion Markup Language) の各プロトコルがサポートされます。

AD FSの設定を開始する前に、次のことを確認してください。

フェデレーションサーバとして機能する、AD FS 3.0を搭載したWindows Serverがある。
Cloud App Security のグローバル管理者として管理コンソールにログオンしている。詳細については、管理者と役割を参照してください。

[スタート] > [すべてのプログラム] > [管理ツール] の順に選択し、AD FS管理コンソールを開きます。
左側のナビゲーションで [AD FS] をクリックし、右側の [操作] 領域にある [証明書利用者信頼の追加] をクリックします。
[証明書利用者信頼の追加ウィザード] 画面の各タブで設定を行います。
1. [ようこそ] タブで [開始] をクリックします。
2. [データソースの選択] タブで [証明書利用者についてのデータを手動で入力する] を選択し、 [次へ] をクリックします。
3. [表示名の指定] タブで「 Trend Micro Cloud App Security 」など Cloud App Security の表示名を指定し、 [次へ] をクリックします。
4. [プロファイルの選択] タブで [AD FS プロファイル] を選択し、 [次へ] をクリックします。
5. [証明書の構成] タブで [次へ] をクリックします。
  注:
  暗号化証明書は必要ありません。 Cloud App Security とフェデレーションサーバとの通信にはHTTPSが使用されます。
6. [URLの構成] タブで [SAML 2.0 WebSSO プロトコルのサポートを有効にする] チェックボックスをオンにし、証明書利用者のSAML 2.0 SSOサービスのURLを入力して、 [次へ] をクリックします。
  注:
  SAML 2.0 SSOサービスのURLは、「 Cloud App Security_admin_site /ssoLogin 」です。「Cloud App Security_admin_site」は、ご使用のサイトに基づいて指定してください。たとえば、ログオン後にアドレスバーに表示される Cloud App Security 管理コンソールのURLが「https://admin-eu.tmcas.trendmicro.com」であれば、SAML 2.0 SSOサービスのURLは「 https://admin-eu.tmcas.trendmicro.com/ssoLogin 」です。
7. [識別子の構成] タブで証明書利用者信頼の識別子を入力し、 [追加] → [次へ] の順にクリックします。これは Cloud App Security 管理コンソールで [アプリケーションID] としても参照されます。
8. [今すぐ多要素認証を構成しますか?] タブで多要素認証を初期設定のままにして、 [次へ] をクリックします。
9. [発行承認規則の選択] タブで [すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択し、 [次へ] をクリックします。
10. [信頼の追加の準備完了] タブで [次へ] をクリックします。
11. [完了] タブで [ウィザードの終了時にこの証明書利用者信頼の [要求規則の編集] ダイアログを開く] チェックボックスをオンにし、 [閉じる] をクリックします。
  [要求規則の編集] 画面が表示されます。
[発行変換規則] タブで [規則の追加] をクリックします。
[変換要求規則の追加ウィザード] 画面の各タブで設定を行います。
1. [規則の種類の選択] タブで、 [要求規則テンプレート] ドロップダウンリストから [LDAP 属性を要求として送信] を選択し、 [次へ] をクリックします。
2. [要求規則の構成] タブの [要求規則名] に要求規則の名前を入力し、 [属性ストア] ドロップダウンリストから [Active Directory] を選択します。
3. 次のLDAP属性を選択して、各属性の出力方向の要求の種類を指定します。 [E-Mail-Addresses] を選択して [出力方向の要求の種類] ドロップダウンリストから [電子メールアドレス] を選択し、 [User-Principal-Name] を選択して [出力方向の要求の種類] ドロップダウンリストから [名前] を選択します。
4. [完了] をクリックします。
  作成した変換要求規則が [発行変換規則] タブに表示されます。
[規則の追加] をクリックします。
[変換要求規則の追加ウィザード] 画面の各タブで設定を行います。
1. [規則の種類の選択] タブで、 [要求規則テンプレート] ドロップダウンリストから [入力方向の要求を変換] を選択し、 [次へ] をクリックします。
2. [要求規則の構成] タブの [要求規則名] に要求規則の名前を入力し、 [入力方向の要求の種類] に [電子メールアドレス] 、 [出力方向の要求の種類] に [名前 ID] 、 [出力方向の名前 ID の形式] に [電子メール] を選択するか入力します。
3. [すべての要求値をパススルーする] を選択し、 [完了] をクリックします。
  作成した変換要求規則が [発行変換規則] タブに表示されます。
[適用] → [OK] の順にクリックします。
シングルサインオンURLを収集し、 Cloud App Security 管理コンソールでAD FSの署名検証に使用する証明書をエクスポートします。
1. AD FS管理コンソールで、 [AD FS] > [サービス] > [エンドポイント] の順に選択します。
2. [エンドポイント] 領域で [SAML 2.0/WS-Federation] の種類を見つけ、URL「/adfs/ls/」を記録します。
3. [AD FS] > [サービス] > [証明書] の順に選択します。
4. [トークン署名] 証明書を右クリックし、 [証明書の表示] を選択します。
5. 表示される [証明書] 画面で [詳細] タブを選択し、 [ファイルにコピー] をクリックします。
6. 表示される [証明書のエクスポートウィザード] 画面で [Base-64 Encoded X.509 (.Cer)] を選択し、 [次へ] をクリックします。
7. [ファイル名] に名前を指定し、 [次へ] をクリックします。
8. [完了] をクリックして証明書をファイルにエクスポートします。
認証方法を設定します。
1. AD FS管理コンソールで、 [AD FS] > [認証ポリシー] の順に選択します。
2. [認証ポリシー] 領域で、 [プライマリ認証] の [グローバル設定] の横にある [編集] をクリックします。
  [グローバル認証ポリシーの編集] 画面が表示されます。
3. [プライマリ] タブの [エクストラネット] 領域で [フォーム認証] と [証明書認証] 、 [イントラネット] 領域で [フォーム認証] と [Windows 認証] を選択します。
4. [OK] をクリックします。

Keywords: Active Directoryフェデレーションサービス (AD FS) を設定する