UAGのセットアップ – ADFS2.0実装編(3)

前回・前々回の投稿では、UAGの認証方法としてADFS2.0が利用できること、ADFS2.0を認証方法として
選択できるようにするための設定方法を紹介しました。
そして、その他に行っておくべきこととしては以下のことがある紹介しました。

1.HTTPS Trunkを作成し、UAGのエンドポイントを確立する
2.ADFSサーバーで証明書利用者信頼を作成し、UAGとADFSの間でSTS信頼を確立する
3.インターネットからADFSサーバーにアクセスできるように構成する

このうち、1.については「UAGのセットアップ – トランク作成編」で紹介し、
2.については「UAGのセットアップ – ADFS2.0 実装編(2)」で紹介しているので、
ここでは3.の設定について紹介したいと思います。

インターネットからADFSサーバーにアクセスできるように構成すると言って、
すぐに思い浮かべる構成は下図のような構成だと思いますが、これはNGです。
これでは、ゲートウェイサーバーとしてUAGを置く意味がないからです。

UAG66

UAGを使うのであれば、インターネットからのすべてのアクセスは
下図のようにUAGを通して行われるように構成しなければなりません。

UAG50

UAG経由でADFSサーバーを配置する場合、
ADFSプロキシを配置するときと同じく、UAGとADFSサーバーは
同じホスト名、同じ証明書を利用しなければなりません。

UAG67

以上を踏まえると、今まで登場した設定のうち、次の点に注意しなければなりません。

■トランク作成時 – ホスト名の設定
HTTPS Trunkを作成するときに、ウィザード内でPublic host nameというのを
設定しましたが、この名前をADFSサーバーの名前と同じにしておかないといけません。
(なんとなくですが、もっとスマートなやり方があるような気がします。
こんなやり方があるよ、というのがありましたら、コメントを頂けるとありがたいです)

UAG53

また、Public host nameで指定したFQDNの名前解決がインターネット向けの
DNSサーバーで行えるように設定しておくこともお忘れなく。

■トランク作成時 – 証明書の設定
HTTPS Trunkを作成するときに、証明書の指定をしましたが、ここで実装する証明書は
ADFSサーバーで使っているSSL証明書と同じでないといけません。
ですので、事前にADFSサーバーで使用している証明書をUAGサーバーにインポートし、
その証明書をこの設定画面で指定してください。
(まだ検証していないのですが、UAGサーバーを使うことが決まっているのであれば、
ADFSサーバーの証明書はワイルドカードの証明書がベストプラクティスになるのかな??)

UAG55

ここまでの設定が完了すると、UAGサーバーを経由して、ADFSサーバーへ
アクセスできるようになります。