ADFS2.0 サービスアカウントを変更する

ADFS2.0のセットアップを行うときに、サービスアカウントを指定することになりますが、
なんとなくセットアップしていると、ついついAdministratorユーザーを指定してしまいがち。
しかし、テスト環境ならまだしも、本番環境では最小権限で動作させたいですね。

そこで、一度指定したサービスアカウントを変更する方法について、
ここでは確認してみたいと思います。

サービスアカウントが使われている箇所は私の思いつく限り、4つあります。

1. ADFSサービスのユーザーの指定
2. アプリケーションプールのアカウント
3. 証明書へのアクセス
4. データベースのアクセス許可

では、順番に見てみましょう。

1. ADFSサービスのユーザーの指定
[サービス]管理ツールから、[AD FS 2.0 Windows サービス]というサービスが
ADFSのサービスになるので、このサービスのアカウントを変更します。

image

2. アプリケーションプールのアカウント
ADFSでは、サービスを動作させるために、IISのアプリケーションプールを使います。
ADFSAppPoolという名前のアプリケーションプールがADFS自体が利用するアプリケーションプールです。
[詳細設定]画面を開き、IDを変更します。

image

3. 証明書へのアクセス
ADFSで使用する証明書のうち、トークン署名証明書については
ADFSサーバーから秘密キーにアクセスできる必要があります。
そのため、トークン署名証明書として指定している証明書を
MMCの証明書スナップインから開き、[秘密キーの管理]メニューから
秘密キーに対するアクセス許可を設定します。
アクセス許可として、新しくサービスアカウントになるユーザーに対してフルコントロールを設定します。

image

4. データベースのアクセス許可
ADFSの設定はデータベースに格納されているので、データベースに対するアクセス許可設定が必要です。
ADFSサービスアカウントを変更するときには、変更後のアカウントに対して dbcreator権限を割り当ててください。 変更は、SQL Server Management Studioからログオンして設定します。 データベースとして、SQL ServerではなくWIDを選択している場合でも、 SQL Server Management Studioは別途ダウンロードして使うことができます。

以上が私の考える、サービスアカウントの変更に際して必要となる設定です。
抜け、漏れ、などあれば、気軽にご指摘いただければと思います。

■参考情報
http://technet.microsoft.com/en-us/library/hh344806(WS.10).aspx
http://technet.microsoft.com/en-us/library/hh344804(WS.10).aspx

スポンサーリンク
  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です


*