ADFS2.0のセットアップを行うときに、サービスアカウントを指定することになりますが、
なんとなくセットアップしていると、ついついAdministratorユーザーを指定してしまいがち。
しかし、テスト環境ならまだしも、本番環境では最小権限で動作させたいですね。
そこで、一度指定したサービスアカウントを変更する方法について、
ここでは確認してみたいと思います。
サービスアカウントが使われている箇所は私の思いつく限り、4つあります。
1. ADFSサービスのユーザーの指定
2. アプリケーションプールのアカウント
3. 証明書へのアクセス
4. データベースのアクセス許可
では、順番に見てみましょう。
1. ADFSサービスのユーザーの指定
[サービス]管理ツールから、[AD FS 2.0 Windows サービス]というサービスが
ADFSのサービスになるので、このサービスのアカウントを変更します。
2. アプリケーションプールのアカウント
ADFSでは、サービスを動作させるために、IISのアプリケーションプールを使います。
ADFSAppPoolという名前のアプリケーションプールがADFS自体が利用するアプリケーションプールです。
[詳細設定]画面を開き、IDを変更します。
3. 証明書へのアクセス
ADFSで使用する証明書のうち、トークン署名証明書については
ADFSサーバーから秘密キーにアクセスできる必要があります。
そのため、トークン署名証明書として指定している証明書を
MMCの証明書スナップインから開き、[秘密キーの管理]メニューから
秘密キーに対するアクセス許可を設定します。
アクセス許可として、新しくサービスアカウントになるユーザーに対してフルコントロールを設定します。
4. データベースのアクセス許可
ADFSの設定はデータベースに格納されているので、データベースに対するアクセス許可設定が必要です。
ADFSサービスアカウントを変更するときには、変更後のアカウントに対して dbcreator権限を割り当ててください。 変更は、SQL Server Management Studioからログオンして設定します。 データベースとして、SQL ServerではなくWIDを選択している場合でも、 SQL Server Management Studioは別途ダウンロードして使うことができます。
以上が私の考える、サービスアカウントの変更に際して必要となる設定です。
抜け、漏れ、などあれば、気軽にご指摘いただければと思います。
■参考情報
http://technet.microsoft.com/en-us/library/hh344806(WS.10).aspx
http://technet.microsoft.com/en-us/library/hh344804(WS.10).aspx
