ADFSサーバー間の連携設定(5)

シリーズで、2台のADFSサーバーを利用して、ADFSサーバー間でクレームの受け渡しをするための設定についてお話をしています。最終回となる今回は、具体的な連携のための設定と、設定後の画面について確認します。

2つの会社でそれぞれADFSサーバーを利用しているときに連携を行う場合、様々なケースが考えられると思いますが、ここではA社のActive DirectoryユーザーがA社のADFSサーバー、B社のADFSサーバーを経由して、クラウドのサービスを利用するケースを考えてみたいと思います。

image

このとき、各ADFSサーバーで行うべき作業は、以前の投稿でも解説させていただいた、要求プロバイダー信頼と証明書利用者信頼の設定になります。
A社側のADFSサーバーでは、Active Directoryを要求プロバイダー信頼(デフォルトの設定ですね)、B社側のADFSサーバーを証明書利用者信頼に登録します。

image

一方、B社側のADFSサーバーでは、A社側のADFSサーバーを要求プロバイダー信頼、クラウドのサービスを(それぞれ)証明書利用者信頼に登録します。

image

では、A社側・B社側でそれぞれ必要な設定の手順について、次から見てみましょう。

ADFSサーバーの設定 (CP側-今回のシナリオではA社側の設定)

ADFSの管理コンソールから、証明書利用者信頼を開き、新しい証明書利用者信頼を追加します。

image

ウィザードが開始したら次へ

image

フェデレーションメタデータのアドレスとして、B社側のADFSサーバーのアドレス
(https://<B社側ADFSサーバーのFQDN>/)を入力します。

image

証明書利用者信頼の名前を入力します。

image

特に設定する項目もないので、そのまま次へ

image

閉じるをクリックして完了です。

image

トークンの中に入れるクレームについては利用するサービスによって異なりますので、ここでは割愛します。(詳しくはクラウドサービス事業者が提供する情報を参照してください)

ADFSサーバーの設定 (RP側-今回のシナリオではB社側の設定)

B社側では、要求プロバイダー信頼と証明書利用者信頼の両方を登録する必要があります。
証明書利用者信頼については接続するクラウドのサービスによって設定が異なるので、ここでは要求プロバイダー信頼の設定方法だけ紹介します。
ADFSの管理コンソールから、要求プロバイダー信頼を開き、新しい要求プロバイダー信頼を追加します。

image

ウィザードが開始したら次へ

image

フェデレーションメタデータのアドレスとして、A社側のADFSサーバーのアドレス
(https://<A社側ADFSサーバーのFQDN>/)を入力します。

image

要求プロバイダー信頼の名前を入力します。

image

特に指定する項目はないので、次へ

image

閉じるをクリックして出来上がり。

image

トークンの中に入れるクレームについては利用するサービスによって異なりますので、ここでは割愛します。A社側とB社側でクレームの内容は受け渡しができるよう、同じクレームをトークンの中に登録してください。

接続確認

ここまでの設定が完了したら、接続確認をしましょう。
B社の証明書利用者信頼に登録されたサービスにアクセスするためのURLを入力します。すると、以下のような画面が表示されて、A社・B社どちらのADFSサーバーを利用して認証を行うか、選択する画面が登場します。
(ちなみに、ここで登場する選択肢を「レルム」と言います)

image

ここで、A社側のADFSサーバーを選択すると、A社側の要求プロバイダー信頼に登録されているActive Directoryを使って認証を行い、その情報に基づいて、A社のADFSサーバー→B社のADFSサーバー→クラウドのサービス、と 自動的にアクセスが推移することになります。

■ ■ ■

今まで見てきた CP と RP が同一サーバーの構成では、単一の Acitve Directory ドメインを利用していたため、利用するレルムは必ず同じものでした。しかし、CP と RP が異なる組織 (ADFS サーバー) で構成される場合、CP の Active Directory ドメインと RP の Active Directory ドメインは異なるため、2 つのレルムが存在することになります。その結果、CP と RP が異なる組織での構成では、今までは表示されることのなかったレルムの選択画面が表示されるようになります。

なお、認証時に選択したレルムの情報は、Cookie としてコンピューターに保存され、その情報は 8 時間記録されます。そのため、8 時間以内に再度クレーム ベース認証を行うと、今度はレルムが自動的に選択され、認証が行われます。もし、8 時間以内に異なるレルムに対して認証を行う場合には、Cookie を削除して再度認証を行ってください。

■ ■ ■

レルムの選択画面に表示されるレルムの名前には、ADFS管理ツールの [要求プロバイダー信頼] の名前が表示されます。既定で作成される要求プロバイダー信頼の名前には ADFSサーバーの FQDN が利用されるため (ドメイン名ではない!)、混乱を招く可能性があります。そのため、レルムを選択する運用を行うときは、既定の要求プロバイダー信頼の名前を変更してください。既定の要求プロバイダー信頼の名前は ADFS管理ツールの左ペインから [ADFS] を右クリックし、[フェデレーション サービスのプロパティの編集] をクリックして表示されるダイアログの [フェデレーション サービスの表示名] を書き換えることでカスタマイズできます。

いかがでしたか?
ADFSサーバーは1台でシングルサインオンの機能を提供するだけでなく、他社などで運用されているADFSサーバーとも連携して動作します。親会社/子会社、パートナー企業どうし、など、利用シーンに合わせて自由に連携させることが可能なので、ADFS利用のアイデアのひとつに加えてみてください。