UAGのセットアップ – ADFS2.0実装編(2)

前回の投稿では、UAGの認証方法としてADFS2.0が利用できること、ADFS2.0を認証方法として
選択できるようにするための設定方法を紹介しました。
そして、その他に行っておくべきこととしては以下のことがある紹介しました。

1.HTTPS Trunkを作成し、UAGのエンドポイントを確立する
2.ADFSサーバーで証明書利用者信頼を作成し、UAGとADFSの間でSTS信頼を確立する
3.インターネットからADFSサーバーにアクセスできるように構成する

このうち、1.については「UAGのセットアップ – トランク作成編」で既に紹介しているので、
ここでは2.の設定について紹介したいと思います。

■前回のおさらい

UAGで認証方法としてADFSを選択すると、ADFSサーバーのフェデレーションメタデータを参照するように
設定するのと同時に、UAG自身のフェデレーションメタデータが生成されます。

UAG48

フェデレーションメタデータが生成された場所は、上の画面を設定した後で表示される、
下の画面(ダイアログ)のURLから確認できます。
(また、後に登場するHTTPS Trunkの設定からでも確認可能)

UAG49

ADFSサーバーから、このURLにアクセスして、フェデレーションメタデータを取得すると
UAGサーバーとADFSサーバーの間でSTS信頼が確立されます。

■ADFSサーバーで証明書利用者信頼を作成し、UAGとADFSの間でSTS信頼を確立する

では、本題に入ります。
前にも説明したように、UAGサーバーとADFSサーバーの間でSTS信頼を確立するためには
UAGに生成されたフェデレーションメタデータにADFSサーバーからアクセスして取得します。
ところが、UAGではポリシーの設定により、内部のネットワークからフェデレーションメタデータに
アクセスすることができません。つまり、ADFSサーバーから直接フェデレーションメタデータに
アクセスすることができないのです。
そのため、UAGに生成されたフェデレーションメタデータであるXMLファイルを
ADFSサーバーにコピーして、STS信頼を確立するための設定を行わなければなりません。
では、具体的な設定を確認してみましょう。

まず、UAGサーバーに生成されたフェデレーションメタデータをADFSサーバーにコピーします。
IIS管理ツールを開き、<トランク名>サイトのInternalSiteADFSv2Sites<トランク名>FederationMetada2007-06
を右クリックして、エクスプローラーで2007-06フォルダーを開きます。
すると、フェデレーションメタデータであるFederationMetadata.xmlファイルがコピーできます。
このファイルはADFSサーバーの適当な場所にコピーしてください。

UAG61

フェデレーションメタデータファイルがコピーできたら、ADFSサーバーから証明書利用者信頼の設定を行います。
ADFS2.0管理ツールを開き、証明書利用者信頼を右クリックして、証明書利用者信頼の追加をクリックします。

UAG62

証明書利用者信頼の追加ウィザードが開始するので、開始をクリック

UAG63

フェデレーションメタデータの場所を指定します。
フェデレーションメタデータファイルの場所を選択し、前の手順でコピーしたファイルのパスを
指定します。指定できたら、次へをクリック

UAG64

表示名の指定では、UAG用の証明書利用者信頼の名前を指定します。
任意の名前を指定して、次へをクリックします。
残りのウィザード画面はすべて次へをクリックして終了です。

UAG65

ここまでで、ADFSサーバー側の設定は完了です。
もうひとつのUAG+ADFSの組み合わせで必要な設定
「3.インターネットからADFSサーバーにアクセスできるように構成する」については、
次の投稿で紹介したいと思います。