ADFSサーバー間の連携設定(2)

前回から、2台のADFSサーバーを利用して、ADFSサーバー間でクレームの受け渡しをするための設定についてお話をしています。今回は証明書の話をしようと思ったのですが、やはりADFSサーバー間で連携するための具体的な設定方法を紹介するところから解説します。

ADFSサーバー間の信頼関係設定

2台のADFSサーバーで連携するときには、それぞれのADFSサーバーで信頼関係を結びます。信頼関係の設定は、このブログでも以前紹介した、要求プロバイダー信頼と証明書利用者信頼を使います。

image

上図を参考に登録すべき要求プロバイダー信頼と証明書利用者信頼の設定を解説すると、次のとおりになります。

A社のADFSサーバーの証明書利用者信頼にB社のADFSサーバーを登録

B社のADFSサーバーの要求プロバイダー信頼にA社のADFSサーバーを登録

A社のADFSサーバーの証明書利用者信頼で、B社のADFSサーバーを設定するときは、

image

image

証明書利用者信頼を追加するウィザード画面からフェデレーションメタデータのアドレスとして、B社のADFSサーバーのFQDNを登録します。(古いADFSの画面ですが、Windows Server 2012 R2でも同じ設定です)

一方、B社のADFSサーバーの要求プロバイダー信頼で、A社のADFSサーバーを設定するときは、

image

image

要求プロバイダー信頼を追加するウィザード画面からフェデレーションメタデータのアドレスとして、A社のADFSサーバーのFQDNを登録します。

これだけです。
以上の設定で、互いのADFSサーバーはフェデレーションメタデータを交換し、互いのADFSサーバーの存在を認識し、ADFSサーバー間の信頼関係が出来上がるのです。

しかし、実際には前回も紹介したように、証明書の問題やクレームの受け渡し方法など、考慮しなければならないことがあります。次回はこれらについて、解説します。

  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存

コメント

  1. ユニコーン より:

    国井さん、
    いつもお世話になっております。

    ADFS間連携する方法を拝見いたしました、
    ここで、もしADFS間ではなく、ADFSと他社製品フェデレーションサーバー間(例えばOneloginとかHDEoneとか)の連携は可能でしょうか?

    宜しくお願い致します。

    • Suguru KUNII より:

      ユニコーンさん、ご連絡が遅くなってしまい、すみません。
      ADFS間連携はSAMLプロトコルやWS-Federationプロトコルを使えば、他の製品との連携も可能です。

コメントをどうぞ

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください