フェデレーション サーバー プロキシの役割用にコンピューターを構成する
必要な証明書を使用してコンピューターを構成し、フェデレーション サービス プロキシ役割サービスをインストールしたら、コンピューターをフェデレーション サーバー プロキシとして構成する準備が整います。 コンピューターがフェデレーション サーバー プロキシの役割を実行できるようにするには、以下の手順を使用します。
重要
この手順を使用してフェデレーション サーバー プロキシ コンピューターを構成する前に、「チェックリスト: フェデレーション サーバー プロキシのセットアップ」で説明したチェックリストのすべての手順を、掲載されている順に実行したことを確認します。 少なくとも 1 台のフェデレーション サーバーが展開され、フェデレーション サーバー プロキシの構成を認証するために必要なすべての資格情報が実装されていることを確認します。 また、既定の Web サイトで Secure Sockets Layer (SSL) のバインドを構成する必要もあります。構成しないと、このウィザードは開始されません。 フェデレーション サーバー プロキシが機能できるようにするには、これらすべてのタスクを完了する必要があります。
コンピューターのセットアップが終了したら、フェデレーション サーバー プロキシが期待どおりに機能していることを確認します。 詳細については、「フェデレーション サーバー プロキシが正常に動作していることを確認する」を参照してください。
この手順を完了するには、ローカル コンピューター上の Administrators または同等のメンバーシップが最低限必要です。 適切なアカウントの使用方法の詳細を確認し、グループ メンバーシップ ローカルおよびドメインの既定のグループします。
フェデレーション サーバー プロキシの役割用にコンピューターを構成するには
AD FS フェデレーション サーバー構成ウィザードを開始するには 2 つの方法があります。 ウィザードを開始するには、次のいずれかを実行します。
スタート画面に「AD FS フェデレーション サーバー プロキシ構成ウィザード」と入力し、Enter を押します。
セットアップ ウィザードの完了後、任意のタイミングで、エクスプローラーを開いてC:\Windows\ADFS フォルダーに移動し、FspConfigWizard.exe をダブルクリックします。
いずれかの方法を使用してウィザードを開始し、[ようこそ] ページで [次へ] をクリックします。
[フェデレーション サービス名の指定] ページの [フェデレーション サービス名] に、このコンピューターがプロキシ ロールで動作するフェデレーション サービスを示す名前を入力します。
具体的なネットワーク要件に基づいて、フェデレーション サービスに要求を転送するのに HTTP プロキシ サーバーを使用する必要があるかどうかを判断します。 必要がある場合は、[このフェデレーション サービスに要求を送信するときに HTTP プロキシ サーバーを使用する] チェック ボックスをオンにし、[HTTP プロキシ サーバー アドレス] にプロキシ サーバーのアドレスを入力し、[接続をテスト] をクリックして接続を検証してから、[次へ] をクリックします。
メッセージに従って、このフェデレーション サーバー プロキシとフェデレーション サービスとの間に信頼関係を確立するために必要な資格情報を指定します。
既定では、フェデレーション サービスで使用されるサービス アカウントまたはローカル BUILTIN\Administrators グループのメンバーだけが、フェデレーション サーバー プロキシを承認できます。
[設定の適用準備] ページで、詳細を確認します。 設定が正しい場合は、[次へ] をクリックして、これらのプロキシ設定によるこのコンピューターの構成を開始します。
[構成結果] ページで作業内容を確認します。 すべての構成手順が終了したら、[閉じる] をクリックしてウィザードを終了します。
フェデレーション サーバー プロキシの管理に使用できる Microsoft 管理コンソール (MMC) スナップインはありません。 組織内の各フェデレーション サーバー プロキシの設定を構成するには、Windows PowerShell コマンドレットを使用します。
プロキシ操作用の代替 TCP/IP ポートの構成
既定でフェデレーション サーバー プロキシ サービスは、フェデレーション サーバーとの通信のために、HTTPS トラフィックには TCP ポート 443、HTTP トラフィックにはポート 80 を使用するように構成されています。 異なるポートを構成するには (HTTPS に TCP ポート 444、HTTP にポート 81 など)、次のタスクを実行する必要があります。
注意
最初に代替 TCP/IP ポート下で動作するように AD FS を展開する場合は、まずフェデレーション サーバーとフェデレーション サーバー プロキシの両方のコンピューターで、HTTP および HTTPS 用に IIS プロトコル バインド内のポートを変更する必要があります。 この操作は、初期構成のために AD FS 構成ウィザードを実行する前に行う必要があります。 インターネット インフォメーション サービス (IIS) を最初に構成する場合は、AD FS 内でウィザード ベースの構成が行われると代替 TCP/IP ポート設定が検出され、次に示す手順は不要になります。 後でポート設定を変更する場合は、IIS プロトコル バインドを最初に更新してから、次に示す手順を実行してポート設定を適切に更新します。 IIS バインディングの編集の詳細については、Microsoft サポート技術情報の記事 149605 を参照してください。
フェデレーション サーバー プロキシで使用する代替 TCP/IP ポートを構成するには
既定以外のポートを使用するようにフェデレーション サーバーを構成します。
そのためには、Set-ADFSProperties コマンドレットを実行するときに、HttpsPort オプションと HttpPort オプションに含める形で既定以外のポート番号を指定します。 たとえば、これらのポートを構成するには、フェデレーション サーバー コンピューター上の Windows PowerShell セッションで次のコマンドを使用します。
Set-ADFSProperties -HttpsPort 444 Set-ADFSProperties -HttpPort 81既定以外のポートを使用するようにフェデレーション サーバー プロキシを構成します。
このためには、 Set-ADFSProxyProperties コマンドレットの一部として HttpsPort および HttpPort オプションに含めることによって、既定以外のポート番号を指定します。 たとえば、これらのポートを構成するには、フェデレーション サーバー コンピューター上の Windows PowerShell セッションで次のコマンドを使用します。
Set-ADFSProxyProperties -HttpsPort 444 Set-ADFSProxyProperties -HttpPort 81注意
フェデレーション サーバー プロキシ サービスでは、エンドポイント URL は既定では有効になっていません。 新しいフェデレーション サーバーのインストールを構成する場合は、まずフェデレーション サーバー プロキシ サービス エンドポイントを有効にする必要があります。 たとえば、この手順の例で示すすべてのエンドポイントをプロキシ用に有効にしてあることが前提となります (有効にするために、AD FS 管理スナップインでエンドポイントを選択し、[プロキシで有効にする] をクリックします。
更新されたポート番号を反映するように Security Assertion Markup Language (SAML) と WS-Trust エンドポイントを構成できるよう、フェデレーション サーバー プロキシで IIS インストールを更新します。 このためには、メモ帳を使用して、フェデレーション サーバー プロキシ コンピューター上の systemdrive%\inetpub\adfs\ls\ にある Web.config ファイルで次の変更を行います。 たとえば、sts1.contoso.com という名前のフェデレーション サーバーを使用しており、新しいポート番号が 444 であるとします。フェデレーション サーバー プロキシ コンピューター上で Web.config ファイルを参照してメモ帳で開き、次のセクションを見つけて、以下で強調表示されているようにポート番号を変更してから、メモ帳を保存して終了します。
<securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport" wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />フェデレーション サーバー プロキシ サービスのユーザー アカウントを、関連するエンドポイント URL のアクセス制御リスト (ACL) に追加します。 たとえば、ポート番号が 1234 で、AD FS フェデレーション サーバー プロキシ サービスの実行に使用されるユーザー アカウントが組み込みのネットワーク サービス アカウントである場合は、コマンド プロンプトで次のコマンドを入力します。
netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service" netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"上記のコマンドは、フェデレーション サーバーとフェデレーション サーバー プロキシの両方のコンピューターで実行する必要があります。