前回から、2台のADFSサーバーを利用して、ADFSサーバー間でクレームの受け渡しをするための設定についてお話をしています。今回は証明書の話をしようと思ったのですが、やはりADFSサーバー間で連携するための具体的な設定方法を紹介するところから解説します。
ADFSサーバー間の信頼関係設定
2台のADFSサーバーで連携するときには、それぞれのADFSサーバーで信頼関係を結びます。信頼関係の設定は、このブログでも以前紹介した、要求プロバイダー信頼と証明書利用者信頼を使います。
上図を参考に登録すべき要求プロバイダー信頼と証明書利用者信頼の設定を解説すると、次のとおりになります。
A社のADFSサーバーの証明書利用者信頼にB社のADFSサーバーを登録
B社のADFSサーバーの要求プロバイダー信頼にA社のADFSサーバーを登録
A社のADFSサーバーの証明書利用者信頼で、B社のADFSサーバーを設定するときは、
証明書利用者信頼を追加するウィザード画面からフェデレーションメタデータのアドレスとして、B社のADFSサーバーのFQDNを登録します。(古いADFSの画面ですが、Windows Server 2012 R2でも同じ設定です)
一方、B社のADFSサーバーの要求プロバイダー信頼で、A社のADFSサーバーを設定するときは、
要求プロバイダー信頼を追加するウィザード画面からフェデレーションメタデータのアドレスとして、A社のADFSサーバーのFQDNを登録します。
これだけです。
以上の設定で、互いのADFSサーバーはフェデレーションメタデータを交換し、互いのADFSサーバーの存在を認識し、ADFSサーバー間の信頼関係が出来上がるのです。
しかし、実際には前回も紹介したように、証明書の問題やクレームの受け渡し方法など、考慮しなければならないことがあります。次回はこれらについて、解説します。
