SharePoint Server 2010 で AD FS 2.0 を構成する方法

 

適用先: SharePoint Foundation 2010, SharePoint Server 2010

トピックの最終更新日: 2016-12-08

この記事では、Microsoft SharePoint Server 2010 の Active Directory フェデレーション サービス (AD FS) バージョン 2.0 を構成する手順を説明します。

Active Directory フェデレーション サービス (AD FS) 2.0 を Windows Server 2008 オペレーティング システムで使用すると、分散型の識別、認証、および承認サービスを組織全体や複数のプラットフォーム境界にわたる Web ベース アプリケーションに拡大するフェデレーション ID 管理ソリューションを構築できます。AD FS 2.0 を展開することで、組織の既存の ID 管理機能をインターネットにまで拡大できます。

この記事では、AD FS v2 が IP-STS (Security Token Service) とも呼ばれる ID プロバイダーになります。AD FS は、クレーム ベース認証の機能を提供します。最初に、証明書利用者 (この場合は SharePoint Server 2010) に関する情報によって AD FS を構成する必要があります。Microsoft SharePoint 2010 製品 の観点からは、クレーム ベース マッピングを送信している IP-STS を信頼するように AD FS を構成する必要があります。最後に、クレーム ベース認証レベルを使用する Web アプリケーションとサイト コレクションを作成します。

注意

この記事の手順を実行する前に、Active Directory フェデレーション サービス (AD FS) 2.0 を実行するサーバーをインストールして構成する必要があります。AD FS 2.0 を実行するサーバーの構成については、「AD FS 2.0 Deployment Guide (英語)」(http://go.microsoft.com/fwlink/?linkid=191723&clcid=0x411) (英語) を参照してください。

次のビデオでは、Microsoft SharePoint Server 2010 で Active Directory フェデレーション サービス (AD FS) バージョン 2.0 を構成する手順を説明しています。

AD FS for SharePoint Server 2010 を構成する

再生時間: 9 分 43 秒

ビデオの再生 "AD FS の信頼されたクレームで SharePoint Server 2010 を構成する" ビデオを見る (英語)

ダウンロード ビデオ最適な表示環境を得るため、"AD FS の信頼されたクレームで SharePoint Server 2010 を構成する" ビデオをダウンロードする (英語)

コピーをダウンロードするには、リンクを右クリックし、[対象をファイルに保存] をクリックします。リンクをクリックすると、最大解像度で表示できるように、既定のビデオ ビューアーで .wmv ファイルが開きます。

この記事の内容

  • 証明書利用者を構成する

  • 要求規則を構成する

  • トークン署名証明書をエクスポートする

  • 複数の親証明書のエクスポート

  • Windows PowerShell を使用してトークン署名証明書をインポートする

  • Windows PowerShell を使用してクレーム マッピング用の一意識別子を定義する

  • 認証プロバイダーを新たに作成する

  • Web アプリケーションと信頼できる ID プロバイダーを関連付ける

  • サイト コレクションを作成する

注意

この記事の手順は、ここに示す順序のとおりに実行する必要があります。

証明書利用者を構成する

このセクションの手順を使用して、証明書利用者を構成します。証明書利用者では、AD FS がどのように証明書利用者を認識し、その証明書利用者に要求を発行するのかを定義します。

証明書利用者を構成するには

  1. この手順を実行するユーザー アカウントが、ローカル コンピューターの Administrators グループのメンバーであることを確認します。アカウントおよびグループ メンバーシップの詳細については、「Local and Domain Default Groups」を参照してください。

  2. Active Directory フェデレーション サービス (AD FS) 2.0 管理コンソールを開きます。

  3. 左側のウィンドウで、[信頼関係] を展開し、[証明書利用者信頼] フォルダーをダブルクリックします。

  4. 右側のウィンドウで、[証明書利用者信頼の追加] をクリックします。Active Directory フェデレーション サービス (AD FS) 2.0 構成ウィザードが開きます。

  5. 証明書利用者信頼の追加ウィザードの最初のページページで、[開始] をクリックします。

  6. [証明書利用者についてのデータを手動で入力する] を選択し、[次へ] をクリックします。

  7. 証明書利用者名を入力し、[次へ] をクリックします。

  8. [AD FS 2.0 プロファイル] が選択されていることを確認し、[次へ] をクリックします。

  9. 暗号証明書は使いません。[次へ] をクリックします。

  10. [WS-Federation のパッシブ プロトコルのサポートを有効にする] チェック ボックスをオンにします。

  11. [証明書利用者 WS-Federation パッシブ プロトコルの URL] フィールドで、Web アプリケーション URL の名前を入力し、その後に「/_trust/」を追加します (例: https://WebAppName/_trust/)。[次へ] をクリックします。

    注意

    URL の名前では、Secure Socket Layer (SSL) を使用する必要があります。

  12. 証明書利用者の信頼できる ID の名前を入力し (例: urn:sharepoint:WebAppName)、[追加] をクリックします。[次へ] をクリックします。

  13. [すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択します。[次へ] をクリックします。

  14. [信頼の追加の準備完了] ページでは、操作が不要なので、[次へ] をクリックします。

  15. 完了ページで [閉じる] をクリックします。ルール エディター管理コンソールが開きます。このコンソールを使用して、LDAP Web アプリケーションから SharePoint Server 2010 への要求のマッピングを構成します。

要求規則を構成する

このステップの手順を使用して、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) 属性の値を要求として送信し、そうした属性による出力方向の要求の種類へのマッピング方法を指定します。

要求規則を構成するには

  1. この手順を実行するユーザー アカウントが、ローカル コンピューターの Administrators グループのメンバーであることを確認します。アカウントおよびグループ メンバーシップの詳細については、「Local and Domain Default Groups」を参照してください。

  2. [発行変換規則] タブで、[規則の追加] をクリックします。

  3. [規則テンプレートの選択] ページで、[LDAP 属性を要求として送信] を選択し、[次へ] をクリックします。

  4. [要求規則の構成] ページで、[要求規則名] フィールドに要求規則の名前を入力します。

  5. [属性ストア] ドロップダウン リストから、[Active Directory] を選択します。

  6. [LDAP 属性の出力方向の要求の種類への関連付け] セクションの [LDAP 属性] で、[電子メール アドレス] を選択します。

  7. [出力方向のクレームの種類] で、[電子メール アドレス] を選択します。

  8. [LDAP 属性] で、[Token-Groups - 名前の指定なし] を選択します。

  9. [出力方向の要求の種類] で、[役割] を選択します。

  10. [完了]、[OK] の順にクリックします。

トークン署名証明書をエクスポートする

このセクションの手順を使用して、信頼関係を確立する AD FS サーバーのトークン署名証明書をエクスポートして SharePoint Server 2010 がアクセスできる場所にコピーします。

トークン署名証明書をエクスポートするには

  1. この手順を実行するユーザー アカウントが、ローカル コンピューターの Administrators グループのメンバーであることを確認します。アカウントおよびグループ メンバーシップの詳細については、「Local and Domain Default Groups」を参照してください。

  2. Active Directory フェデレーション サービス (AD FS) 2.0 管理コンソールを開きます。

  3. 左側のウィンドウで、[サービス] をクリックして展開し、[証明書] フォルダーをクリックします。

  4. [トークン署名] で、プライマリ列に表示されているプライマリ トークン証明書をクリックします。

  5. 右側のウィンドウで、[証明書の表示] をクリックします。証明書のプロパティが表示されます。

  6. [詳細] タブをクリックします。

  7. [ファイルにコピー] をクリックします。証明書のエクスポート ウィザードが起動します。

  8. [証明書のエクスポート ウィザードの開始] ページで、[次へ] をクリックします。

  9. [秘密キーのエクスポート] ページで、[いいえ、秘密キーをエクスポートしません]、[次へ] の順にクリックします。

  10. [エクスポート ファイルの形式] ページで、[DER encoded binary X.509 (.CER)] を選択し、[次へ] をクリックします。

  11. [エクスポートするファイル] ページで、エクスポートするファイルの名前と場所を入力し、[次へ] をクリックします。たとえば、「C:\ADFS.cer」と入力します。

  12. [証明書のエクスポート ウィザードの完了] ページで、[完了] をクリックします。

複数の親証明書のエクスポート

AD FS サーバーの構成を完了するには、AD FS を実行しているコンピューターに .CER ファイルをコピーします。

トークン署名証明書は、そのチェーン内に 1 つ以上の親証明書を持つ場合があります。その場合は、チェーン内のすべての証明書を信頼できるルート証明機関の SharePoint Server リストに追加する必要があります。

1 つ以上の親証明書が存在するかどうかを確認するには、次の手順に従います。

注意

これらの手順は、すべての証明書がエクスポートされてルート証明機関の証明書に至るまで繰り返す必要があります。

複数の親証明書をエクスポートするには

  1. この手順を実行するユーザー アカウントが、ローカル コンピューターの Administrators グループのメンバーであることを確認します。アカウントおよびグループ メンバーシップの詳細については、「Local and Domain Default Groups」を参照してください。

  2. Active Directory フェデレーション サービス (AD FS) 2.0 管理コンソールを開きます。

  3. 左側のウィンドウで、[サービス] をクリックして展開し、[証明書] フォルダーをクリックします。

  4. [トークン署名] で、プライマリ列に表示されているプライマリ トークン証明書をクリックします。

  5. 右側のウィンドウで、[証明書の表示] をクリックします。証明書のプロパティが表示されます。

  6. [証明] タブをクリックします。

    チェーン内にある他の証明書が表示されます。

  7. [詳細] タブをクリックします。

  8. [ファイルにコピー] をクリックします。証明書のエクスポート ウィザードが起動します。

  9. [証明書のエクスポート ウィザードの開始] ページで、[次へ] をクリックします。

  10. [秘密キーのエクスポート] ページで、[いいえ、秘密キーをエクスポートしません]、[次へ] の順にクリックします。

  11. [エクスポート ファイルの形式] ページで、[DER encoded binary X.509 (.CER)] を選択し、[次へ] をクリックします。

  12. [エクスポートするファイル] ページで、エクスポートするファイルの名前と場所を入力し、[次へ] をクリックします。たとえば、「C:\ADFS.cer」と入力します。

  13. [証明書のエクスポート ウィザードの完了] ページで、[完了] をクリックします。

Windows PowerShell を使用してトークン署名証明書をインポートする

このセクションでは、SharePoint サーバー上にある信頼できるルート証明機関のリストにトークン署名証明書をインポートする方法を説明します。この手順は、ルート証明機関に到達するまでチェーン内のすべてのトークン署名証明書で繰り返す必要があります。

Windows PowerShell を使用してトークン署名証明書をインポートするには

  1. 次の最小要件を満たしていることを確認します。Add-SPShellAdmin を参照してください。

  2. [スタート] メニューの [すべてのプログラム] をクリックします。

  3. [Microsoft SharePoint 2010 製品] をクリックします。

  4. [SharePoint 2010 管理シェル] をクリックします。

  5. Windows PowerShell コマンド プロンプトで、次の構文を使用して、トークン署名証明書の親証明書 (つまり、ルート証明機関の証明書) をインポートします。

    $root = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfsParent.cer")
    
    New-SPTrustedRootAuthority -Name "Token Signing Cert Parent" -Certificate $root
    
  6. Windows PowerShell コマンド プロンプトで、次の構文を使用して、AD FS サーバーからコピーされたトークン署名証明書をインポートします。

    $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfs.cer ")
    
    New-SPTrustedRootAuthority -Name "Token Signing Cert" -Certificate $cert
    

New-SPTrustedRootAuthority コマンドレットの詳細については、「New-SPTrustedRootAuthority」を参照してください。

Windows PowerShell を使用してクレーム マッピング用の一意識別子を定義する

このセクションの手順を使用して、要求のマッピングの一意識別子を定義します。通常、この情報は電子メール アドレスのフォーム内にあります。また、それぞれのユーザーで常に一意になる要求の種類がどれであるかは STS の所有者しか知らないため、信頼できる STS の管理者がこの情報を提供する必要があります。

Windows PowerShell を使用してクレーム マッピング用の一意識別子を定義するには

  1. 次の最小要件を満たしていることを確認します。Add-SPShellAdmin を参照してください。

  2. [スタート] メニューの [すべてのプログラム] をクリックします。

  3. [Microsoft SharePoint 2010 製品] をクリックします。

  4. [SharePoint 2010 管理シェル] をクリックします。

  5. Windows PowerShell コマンド プロンプトで、次の構文を使用して ID 要求のマッピングを作成します。

    $map = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
    
  6. Windows PowerShell コマンド プロンプトで、次の構文を使用して役割要求のマッピングを作成します。

    $map2 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming
    

New-SPClaimTypeMapping コマンドレットの詳細については、「New-SPClaimTypeMapping」を参照してください。

認証プロバイダーを新たに作成する

このセクションの手順を使用して、新しい SPTrustedIdentityTokenIssuer を作成します。

Windows PowerShell を使用して新しい認証プロバイダーを作成するには

  1. 次の最小要件を満たしていることを確認します。Add-SPShellAdmin を参照してください。

  2. [スタート] メニューの [すべてのプログラム] をクリックします。

  3. [Microsoft SharePoint 2010 製品] をクリックします。

  4. [SharePoint 2010 管理シェル] をクリックします。

  5. Windows PowerShell コマンド プロンプトで、次の構文を使用して新しい認証プロバイダーを作成します。

    注意

    $realm 変数は、特定の SharePoint ファームを識別する信頼できる STS を定義します。$cert 変数は、「Windows PowerShell を使用してトークン署名証明書をインポートする」セクションで使用されたものです。SignInUrl パラメーターは、AD FS サーバーに対するものです。

    $realm = "urn:sharepoint:WebAppName"
    
    $ap = New-SPTrustedIdentityTokenIssuer -Name "SAML Provider" -Description "SharePoint secured by SAML" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map,$map2 -SignInUrl "https://congen1.contoso.local/adfs/ls" -IdentifierClaim "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
    

New-SPTrustedIdentityTokenIssuer コマンドレットの詳細については、「New-SPTrustedIdentityTokenIssuer」を参照してください。

Web アプリケーションと信頼できる ID プロバイダーを関連付ける

既存の Web アプリケーションを構成して SAML サインインを使用するには、クレーム認証の種類セクションの信頼できる ID プロバイダーを変更する必要があります。

既存の Web アプリケーションを構成して SAML プロバイダーを使用するには

  1. この手順を実行するユーザー アカウントが、Farm Administrators SharePoint グループのメンバーであることを確認します。

  2. サーバーの全体管理のホーム ページで、[アプリケーション構成の管理] をクリックします。

  3. [アプリケーション構成の管理] ページの [Web アプリケーション] セクションで、[Web アプリケーションの管理] をクリックします。

  4. 適切な Web アプリケーションをクリックして選択します。

  5. リボンの [認証プロバイダー] をクリックします。

  6. [ゾーン] で、ゾーンの名前 (例: 既定) をクリックします。

  7. [認証の編集] ページの [クレーム認証の種類] セクションで、新しい信頼できる ID プロバイダー名のチェック ボックスをオンにします。

Web アプリケーションを作成して SAML サインインを使用するように構成する必要がある場合は、「SharePoint Web アプリケーションを新たに作成し、SAML サインインを使うように構成する」を参照してください。

サイト コレクションを作成する

最後の手順として、SharePoint サイト コレクションを作成し、所有者を割り当てます。サイト コレクションの管理者を追加する際には、名前を ID 要求の形式で入力する必要があることに注意します。たとえば、この記事では、ID 要求が電子メール アドレスになっています。詳細については、「サイト コレクションを作成する (SharePoint Server 2010)」を参照してください。