AD FS ラボ環境を設定するSet up an AD FS lab environment

このトピックでは、次のチュートリアル ガイドのチュートリアルを完了するために使用できるテスト環境の構成手順を説明します。This topic outlines the steps to configure a test environment that can be used to complete the walkthroughs in the following walkthrough guides:

注意

Web サーバーとフェデレーション サーバーを同じコンピューターにインストールすることはお勧めしません。We do not recommend that you install the web server and the federation server on the same computer.

このテスト環境をセットアップするには、次の手順を完了します。To set up this test environment, complete the following steps:

  1. 手順 1: ドメイン コントローラー (DC1) を構成するStep 1: Configure the domain controller (DC1)

  2. 手順 2: デバイス登録サービスを使用してフェデレーションサーバー (ADFS1) を構成するStep 2: Configure the federation server (ADFS1) with Device Registration Service

  3. 手順 3: Web サーバー (WebServ1) とサンプルの要求ベースのアプリケーションを構成するStep 3: Configure the web server (WebServ1) and a sample claims-based application

  4. 手順 4: クライアント コンピューター (Client1) を構成するStep 4: Configure the client computer (Client1)

手順 1: ドメイン コントローラー (DC1) を構成するStep 1: Configure the domain controller (DC1)

このテスト環境では、ルート Active Directory ドメイン contoso.com を呼び出し、 pass@word1 管理者パスワードとしてを指定できます。For the purposes of this test environment, you can call your root Active Directory domain contoso.com and specify pass@word1 as the administrator password.

  • AD DS の役割サービスをインストールし Active Directory Domain Services (AD DS) をインストールして、Windows Server 2012 R2 でコンピューターをドメインコントローラーにします。Install the AD DS role service and install Active Directory Domain Services (AD DS) to make your computer a domain controller in Windows Server 2012 R2 . この操作により、ドメインコントローラーの作成の一環として AD DS スキーマがアップグレードされます。This action upgrades your AD DS schema as part of the domain controller creation. 詳細と詳細な手順については、「 https://technet.microsoft.com/ library/hh472162.aspx http://technet.microsoft.com/library/hh472162.aspx」を参照してください。For more information and step-by-step instructions, seehttps://technet.microsoft.com/ library/hh472162.aspx.

テスト用 Active Directory アカウントの作成Create test Active Directory accounts

ドメイン コントローラーが機能するようになったら、このドメインにテスト用のグループとユーザー アカウントを作成して、作成したユーザー アカウントをグループ アカウントに追加できます。After your domain controller is functional, you can create a test group and test user accounts in this domain and add the user account to the group account. このトピックの最初に示したチュートリアル ガイドのチュートリアルを完了するには、これらのアカウントを使用します。You use these accounts to complete the walkthroughs in the walkthrough guides that are referenced earlier in this topic.

次のアカウントを作成します。Create the following accounts:

  • ユーザー: Robert Hatley 次の資格情報: ユーザー名: roth th and password: P@sswordUser: Robert Hatley with the following credentials: User name: RobertH and password: P@ssword

  • グループ: FinanceGroup: Finance

Active Directory (AD) でユーザーアカウントとグループアカウントを作成する方法の詳細については、「」を参照してください https://technet.microsoft.com/library/cc783323%28v=ws.10%29.aspxFor information about how to create user and group accounts in Active Directory (AD), see https://technet.microsoft.com/library/cc783323%28v=ws.10%29.aspx.

Robert Hatley アカウントを Finance グループに追加します。Add the Robert Hatley account to the Finance group. Active Directory のグループにユーザーを追加する方法の詳細については、「」を参照してください https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspxFor information on how to add a user to a group in Active Directory, see https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx.

GMSA アカウントの作成Create a GMSA account

Active Directory フェデレーションサービス (AD FS) (AD FS) のインストールと構成では、グループの管理されたサービスアカウント (GMSA) アカウントが必要です。The group Managed Service Account (GMSA) account is required during the Active Directory Federation Services (AD FS) installation and configuration.

GMSA アカウントを作成するにはTo create a GMSA account
  1. Windows PowerShell コマンド ウィンドウを開いて、次のコマンドを入力します。Open a Windows PowerShell command window and type:

    Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
    New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com
    
    

手順 2: デバイス登録サービスを使用してフェデレーション サーバー (ADFS1) を構成するStep 2: Configure the federation server (ADFS1) by using Device Registration Service

別の仮想マシンをセットアップするには、Windows Server 2012 R2 をインストールし、ドメイン contoso.com に接続します。To set up another virtual machine, install Windows Server 2012 R2 and connect it to the domain contoso.com. ドメインに参加した後、コンピューターをセットアップし、AD FS の役割のインストールと構成に進みます。Set up the computer after you have joined it to the domain, and then proceed to install and configure the AD FS role.

これらの手順を説明したビデオを視聴するには、「 Active Directory フェデレーション サービスの使い方ビデオ シリーズ: AD FS サーバー ファームのインストール」を参照してください。For a video, see Active Directory Federation Services How-To Video Series: Installing an AD FS Server Farm.

サーバー SSL 証明書のインストールInstall a server SSL certificate

ADFS1 サーバーのサーバー SSL (Secure Socket Layer) 証明書を、ローカル コンピューター ストアにインストールする必要があります。You must install a server Secure Socket Layer (SSL) certificate on the ADFS1 server in the local computer store. この証明書には次の属性が必要です。The certificate MUST have the following attributes:

  • サブジェクト名 (CN): adfs1.contoso.comSubject Name (CN): adfs1.contoso.com

  • サブジェクト代替名 (DNS): adfs1.contoso.comSubject Alternative Name (DNS): adfs1.contoso.com

  • サブジェクト代替名 (DNS): enterpriseregistration.contoso.comSubject Alternative Name (DNS): enterpriseregistration.contoso.com

証明書の登録 Web サービスガイダンスCertificate Enrollment Web Service Guidance

Active Directory フェデレーション サービスの使い方ビデオ シリーズ: 証明書の更新」。Active Directory Federation Services How-To Video Series: Updating Certificates.

AD FS サーバーの役割のインストールInstall the AD FS server role

フェデレーション サービス役割サービスをインストールするにはTo install the Federation Service role service
  1. ドメイン管理者アカウントを使用してサーバーにログオン administrator@contoso.com します。Log on to the server by using the domain administrator account administrator@contoso.com.

  2. Server Manager を起動します。Start Server Manager. サーバー マネージャーを起動するには、Windows の スタート 画面で [サーバー マネージャー] をクリックするか、または Windows デスクトップの Windows タスク バーで [サーバー マネージャー] をクリックします。To start Server Manager, click Server Manager on the Windows Start screen, or click Server Manager on the Windows taskbar on the Windows desktop. [ダッシュボード] ページにある [ようこそ] タイルの [クイック スタート] タブで、[役割と機能の追加] をクリックします。On the Quick Start tab of the Welcome tile on the Dashboard page, click Add roles and features. または、[管理] メニューの [役割と機能の追加] をクリックすることもできます。Alternatively, you can click Add Roles and Features on the Manage menu.

  3. [開始する前に] ページで、 [次へ] をクリックします。On the Before you begin page, click Next.

  4. [インストールの種類の選択] ページで、[役割ベースまたは機能ベースのインストール] をクリックし、[次へ] をクリックします。On the Select installation type page, click Role-based or feature-based installation, and then click Next.

  5. [宛先サーバーの選択] ページで、[サーバー プールからサーバーを選択] をクリックし、ターゲット コンピューターが選択されていることを確認してから、[次へ] をクリックします。On the Select destination server page, click Select a server from the server pool, verify that the target computer is selected, and then click Next.

  6. [サーバーの役割の選択] ページで、[Active Directory フェデレーション サービス] をクリックし、[次へ] をクリックします。On the Select server roles page, click Active Directory Federation Services, and then click Next.

  7. [機能の選択] ページで、[次へ] をクリックします。On the Select features page, click Next.

  8. [Active Directory フェデレーション サービス (AD FS)] ページで、[次へ] をクリックします。On the Active Directory Federation Service (AD FS) page, click Next.

  9. [インストール オプションの確認] ページの情報を確認し、[必要に応じて対象サーバーを自動的に再起動する] チェック ボックスをオンにして、[インストール] をクリックします。After you verify the information on the Confirm installation selections page, select the Restart the destination server automatically if required check box, and then click Install.

  10. [インストールの進行状況] ページで、すべてが正常にインストールされたことを確認し、[閉じる] をクリックします。On the Installation progress page, verify that everything installed correctly, and then click Close.

フェデレーション サーバーの構成Configure the federation server

次の手順ではフェデレーション サーバーを構成します。The next step is to configure the federation server.

フェデレーション サーバーを構成するにはTo configure the federation server
  1. Server Manager の [ダッシュボード] ページで、[通知] フラグをクリックし、[サーバーにフェデレーション サービスを構成します] をクリックします。On the Server Manager Dashboard page, click the Notifications flag, and then click Configure the federation service on the server.

    Active Directory フェデレーション サービス構成ウィザード が開きます。The Active Directory Federation Service Configuration Wizard opens.

  2. [ようこそ] ページで、[フェデレーション サーバー ファームに最初のフェデレーション サーバーを作成します] を選択し、[次へ] をクリックします。On the Welcome page, select Create the first federation server in a federation server farm, and then click Next.

  3. [AD DS への接続] ページで、このコンピューターが参加している contoso.com Active Directory ドメインのドメイン管理者権限を持つアカウントを指定し、[次へ] をクリックします。On the Connect to AD DS page, specify an account with domain administrator rights for the contoso.com Active Directory domain that this computer is joined to, and then click Next.

  4. [サービスのプロパティの指定] ページで次の操作を実行してから、[次へ] をクリックします。On the Specify Service Properties page, do the following, and then click Next:

    • 前の手順で取得した SSL 証明書をインポートします。Import the SSL certificate that you have obtained earlier. この証明書は必須のサービス認証証明書です。This certificate is the required service authentication certificate. SSL 証明書の保存場所を参照します。Browse to the location of your SSL certificate.

    • フェデレーション サービスの名前に「adfs1.contoso.com」と入力します。To provide a name for your federation service, type adfs1.contoso.com. この値は、Active Directory 証明書サービス (AD CS) に SSL 証明書を登録したときに指定したのと同じ値です。This value is the same value that you provided when you enrolled an SSL certificate in Active Directory Certificate Services (AD CS).

    • フェデレーション サービスの表示名に「Contoso Corporation」と入力します。To provide a display name for your federation service, type Contoso Corporation.

  5. [サービス アカウントの指定] ページで、[既存のドメイン ユーザー アカウントまたはグループの管理されたサービス アカウントを使用してください] を選択し、ドメイン コントローラーの作成時に作成した GMSA アカウント fsgmsa を指定します。On the Specify Service Account page, select Use an existing domain user account or group Managed Service Account, and then specify the GMSA account fsgmsa that you created when you created the domain controller.

  6. [構成データベースの指定] ページで、[Windows Internal Database を使用してサーバーにデータベースを作成します] を選択し、[次へ] をクリックします。On the Specify Configuration Database page, select Create a database on this server using Windows Internal Database, and then click Next.

  7. [オプションの確認] ページで、構成の選択内容を確認し、[次へ] をクリックします。On the Review Options page, verify your configuration selections, and then click Next.

  8. [前提条件の確認] ページで、すべての前提条件の確認が正常に完了したことを確認し、[構成] をクリックします。On the Pre-requisite Checks page, verify that all prerequisite checks were successfully completed, and then click Configure.

  9. [結果] ページで結果を確認し、構成が正常に完了したことを確認してから、[フェデレーション サービス展開を完了するために必要な次の手順] をクリックします。On the Results page, review the results, check whether the configuration has completed successfully, and then click Next steps required for completing your federation service deployment.

デバイス登録サービスの構成Configure Device Registration Service

次の手順では、ADFS1 サーバーでデバイス登録サービスを構成します。The next step is to configure Device Registration Service on the ADFS1 server. これらの手順を説明したビデオを視聴するには、「 Active Directory フェデレーション サービスの使い方ビデオ シリーズ: デバイス登録サービスを有効にする」を参照してください。For a video, see Active Directory Federation Services How-To Video Series: Enabling the Device Registration Service.

Windows Server 2012 RTM でデバイス登録サービスを構成するにはTo configure Device Registration Service for Windows Server 2012 RTM
  1. 重要

    次の手順は、Windows Server 2012 R2 RTM ビルドに該当します。The following step applies to the Windows Server 2012 R2 RTM build.

    Windows PowerShell コマンド ウィンドウを開いて、次のコマンドを入力します。Open a Windows PowerShell command window and type:

    Initialize-ADDeviceRegistration
    

    サービスアカウントの入力を求められたら、「 contosofsgmsa $」と入力します。When you are prompted for a service account, type contosofsgmsa$.

    次に、Windows PowerShell コマンドレットを実行します。Now run the Windows PowerShell cmdlet.

    Enable-AdfsDeviceRegistration
    
  2. ADFS1 サーバーで、AD FS 管理 コンソールの [認証ポリシー] に移動します。On the ADFS1 server, in the AD FS Management console, navigate to Authentication Policies. [グローバル プライマリ認証の編集] を選択します。Select Edit Global Primary Authentication. [デバイス認証の有効化] の横にあるチェック ボックスをオンにして、[OK] をクリックします。Select the check box next to Enable Device Authentication, and then click OK.

ホスト (A) およびエイリアス (CNAME) リソース レコードの DNS への追加Add Host (A) and Alias (CNAME) Resource Records to DNS

DC1 では、デバイス登録サービス用に次のドメイン ネーム システム (DNS) レコードを作成する必要があります。On DC1, you must ensure that the following Domain Name System (DNS) records are created for Device Registration Service.

入力Entry TypeType AddressAddress
adfs1adfs1 ホスト (A)Host (A) AD FS サーバーの IP アドレスIP address of the AD FS server
enterpriseregistrationenterpriseregistration エイリアス (CNAME)Alias (CNAME) adfs1.contoso.comadfs1.contoso.com

次の手順に従って、ホスト (A) リソース レコードを会社のフェデレーション サーバーとデバイス登録サービスの DNS ネーム サーバーに追加できます。You can use the following procedure to add a host (A) resource record to corporate DNS name servers for the federation server and Device Registration Service.

この手順を実行するには、少なくとも Administrators グループのメンバーシップまたは同等の権限を持つメンバーシップが必要です。Membership in the Administrators group or an equivalent is the minimum requirement to complete this procedure. 適切なアカウントおよびグループメンバーシップの使用方法の詳細については、「 https://go.microsoft.com/fwlink/?LinkId=83477 ローカルおよびドメインの既定のグループ ()」を参照して https://go.microsoft.com/fwlink/p/?LinkId=83477 ください。Review details about using the appropriate accounts and group memberships in the HYPERLINK "https://go.microsoft.com/fwlink/?LinkId=83477" Local and Domain Default Groups (https://go.microsoft.com/fwlink/p/?LinkId=83477).

ホスト (A) およびエイリアス (CNAME) リソース レコードをフェデレーション サーバーの DNS に追加するにはTo add a host (A) and alias (CNAME) resource records to DNS for your federation server
  1. DC1 のサーバー マネージャーで、[ツール] メニューの [DNS] をクリックし、DNS スナップインを開きます。On DC1, from Server Manager, on the Tools menu, click DNS to open the DNS snap-in.

  2. コンソール ツリーで [DC1] を展開し、[前方参照ゾーン] を展開して [contoso.com] を右クリックし、[新しいホスト (A または AAAA)] をクリックします。In the console tree, expand DC1, expand Forward Lookup Zones, right-click contoso.com, and then click New Host (A or AAAA).

  3. [名前] に AD FS ファームで使用する名前を入力します。In Name, type the name you want to use for your AD FS farm. このチュートリアルでは、「adfs1」と入力します。For this walkthrough, type adfs1.

  4. [IP アドレス] に ADFS1 サーバーの IP アドレスを入力します。In IP address, type the IP address of the ADFS1 server. [ホストの追加] をクリックします。Click Add Host.

  5. [contoso.com] を右クリックし、[新しいエイリアス (CNAME)] をクリックします。Right-click contoso.com, and then click New Alias (CNAME).

  6. [新しいリソース レコード] ダイアログ ボックスで、[エイリアス名] ボックスに「enterpriseregistration」と入力します。In the New Resource Record dialog box, type enterpriseregistration in the Alias name box.

  7. ターゲット ホスト ボックスの [完全修飾ドメイン名 (FQDN)] に「adfs1.contoso.com」と入力し、[OK] をクリックします。In the Fully Qualified Domain Name (FQDN) of the target host box, type adfs1.contoso.com, and then click OK.

    重要

    実際の展開では、会社に複数のユーザー プリンシパル名 (UPN) サフィックスがある場合、DNS の各 UPN サフィックスに 1 つずつ、複数の CNAME レコードを作成する必要があります。In a real-world deployment, if your company has multiple user principal name (UPN) suffixes, you must create multiple CNAME records, one for each of those UPN suffixes in DNS.

手順 3: Web サーバー (WebServ1) とサンプルの要求ベースのアプリケーションを構成するStep 3: Configure the web server (WebServ1) and a sample claims-based application

Windows Server 2012 R2 オペレーティングシステムをインストールして仮想マシン (WebServ1) をセットアップし、それをドメイン contoso.com に接続します。Set up a virtual machine (WebServ1) by installing the Windows Server 2012 R2 operating system and connect it to the domain contoso.com. ドメインに参加したら、Web サーバーの役割のインストールと構成を開始できます。After it is joined to the domain, you can proceed to install and configure the Web Server role.

このトピックの最初に示したチュートリアルを完了するには、フェデレーション サーバー (ADFS1) で保護されたサンプル アプリケーションが必要です。To complete the walkthroughs that were referenced earlier in this topic, you must have a sample application that is secured by your federation server (ADFS1).

https://www.microsoft.com/download/details.aspx?id=4451サンプルの要求ベースのアプリケーションを含む、Windows Identity FOUNDATION SDK () をダウンロードできます。You can download Windows Identity Foundation SDK (https://www.microsoft.com/download/details.aspx?id=4451, which includes a sample claims-based application.

このサンプルの要求ベースのアプリケーションで Web サーバーをセットアップするには、次の手順を完了する必要があります。You must complete the following steps to set up a web server with this sample claims-based application.

注意

これらの手順は、Windows Server 2012 R2 オペレーティングシステムを実行する web サーバーでテストされています。These steps have been tested on a web server that runs the Windows Server 2012 R2 operating system.

  1. Web サーバーの役割と Windows Identity Foundation をインストールするInstall the Web Server Role and Windows Identity Foundation

  2. Windows Identity Foundation SDK をインストールするInstall Windows Identity Foundation SDK

  3. 単純な要求ベースのアプリケーションを IIS で構成するConfigure the simple claims app in IIS

  4. フェデレーション サーバーで証明書利用者信頼を作成するCreate a relying party trust on your federation server

Web サーバーの役割と Windows Identity Foundation をインストールするInstall the Web Server role and Windows Identity Foundation

  1. 注意

    Windows Server 2012 R2 のインストールメディアにアクセスできる必要があります。You must have access to the Windows Server 2012 R2 installation media.

    とパスワードを使用して、WebServ1 にログオンし administrator@contoso.com pass@word1 ます。Log on to WebServ1 by using administrator@contoso.com and the password pass@word1.

  2. サーバー マネージャーを開き、[ダッシュボード] ページにある [ようこそ] タイルの [クイック スタート] タブで、[役割と機能の追加] をクリックします。From Server Manager, on the Quick Start tab of the Welcome tile on the Dashboard page, click Add roles and features. または、[管理] メニューの [役割と機能の追加] をクリックすることもできます。Alternatively, you can click Add Roles and Features on the Manage menu.

  3. [開始する前に] ページで、 [次へ] をクリックします。On the Before you begin page, click Next.

  4. [インストールの種類の選択] ページで、[役割ベースまたは機能ベースのインストール] をクリックし、[次へ] をクリックします。On the Select installation type page, click Role-based or feature-based installation, and then click Next.

  5. [宛先サーバーの選択] ページで、[サーバー プールからサーバーを選択] をクリックし、ターゲット コンピューターが選択されていることを確認してから、[次へ] をクリックします。On the Select destination server page, click Select a server from the server pool, verify that the target computer is selected, and then click Next.

  6. [サーバーの役割の選択] ページで、[Web サーバー (IIS)] の横にあるチェック ボックスをオンにして、[機能の追加] をクリックし、[次へ] をクリックします。On the Select server roles page, select the check box next to Web Server (IIS), click Add Features, and then click Next.

  7. [機能の選択] ページで、[Windows Identity Foundation 3.5] を選択し、[次へ] をクリックします。On the Select features page, select Windows Identity Foundation 3.5, and then click Next.

  8. [Web サーバーの役割 (IIS)] ページで、[次へ] をクリックします。On the Web Server Role (IIS) page, click Next.

  9. [役割サービスの選択] ページで、[アプリケーション開発] を選択して展開します。On the Select role services page, select and expand Application Development. [ASP.NET 3.5] を選択して [機能の追加] をクリックし、[次へ] をクリックします。Select ASP.NET 3.5, click Add Features, and then click Next.

  10. [インストール オプションの確認] ページで、[代替ソース パスの指定] をクリックします。On the Confirm installation selections page, click Specify an alternate source path. Windows Server 2012 R2 のインストールメディアにある Sxs ディレクトリへのパスを入力します。Enter the path to the Sxs directory that is located in the Windows Server 2012 R2 installation media. 例については、「d」を使用します。For example D:SourcesSxs. [OK] をクリックし、[インストール] をクリックします。Click OK, and then click Install.

Windows Identity Foundation SDK をインストールするInstall Windows Identity Foundation SDK

  1. WindowsIdentityFoundation-SDK-3.5.msi を実行して、Windows Identity Foundation SDK 3.5 (をインストールし https://www.microsoft.com/download/details.aspx?id=4451) ます。Run WindowsIdentityFoundation-SDK-3.5.msi to install Windows Identity Foundation SDK 3.5 (https://www.microsoft.com/download/details.aspx?id=4451). 既定のオプションをすべて選択してください。Choose all of the default options.

単純な要求ベースのアプリケーションを IIS で構成するConfigure the simple claims app in IIS

  1. コンピューターの証明書ストアに有効な SSL 証明書をインストールします。Install a valid SSL certificate in the computer certificate store. この証明書には、Web サーバーの名前 webserv1.contoso.com が含まれている必要があります。The certificate should contain the name of your web server, webserv1.contoso.com.

  2. C:program files Files (x86) Windows Identity Foundation SDKv 3.5 SamplesQuick StartWeb ApplicationPassiveRedirectBasedClaimsAwareWebApp の内容を C:InetpubClaimapp. にコピーします。Copy the contents of C:Program Files (x86)Windows Identity Foundation SDKv3.5SamplesQuick StartWeb ApplicationPassiveRedirectBasedClaimsAwareWebApp to C:InetpubClaimapp.

  3. Default.aspx.cs ファイルを編集して、要求のフィルタリングを無効にします。Edit the Default.aspx.cs file so that no claim filtering takes place. この手順を実行することで、フェデレーション サーバーが発行するすべての要求がサンプル アプリケーションに表示されます。This step is performed to ensure that the sample application displays all the claims that are issued by the federation server. 次の操作を行います。Do the following:

    1. Default.aspx.cs をテキスト エディターで開きます。Open Default.aspx.cs in a text editor.

    2. ファイル内を検索して ExpectedClaimsの 2 つ目のインスタンスを見つけます。Search the file for the second instance of ExpectedClaims.

    3. IF ステートメントとその中かっこ全体をコメント アウトします。Comment out the entire IF statement and its braces. 行の先頭に "//" (引用符を除く) を入力してコメントを指定します。Indicate comments by typing "//" (without the quotes) at the beginning of a line.

    4. FOREACH ステートメントは次のコード例のようになります。Your FOREACH statement should now look like this code example.

      Foreach (claim claim in claimsIdentity.Claims)
      {
         //Before showing the claims validate that this is an expected claim
         //If it is not in the expected claims list then don't show it
         //if (ExpectedClaims.Contains( claim.ClaimType ) )
         // {
            writeClaim( claim, table );
         //}
      }
      
      
    5. Default.aspx.cs を保存して閉じます。Save and close Default.aspx.cs.

    6. web.config をテキスト エディターで開きます。Open web.config in a text editor.

    7. <microsoft.identityModel> セクション全体を削除します。Remove the entire <microsoft.identityModel> section. including <microsoft.identityModel> から </microsoft.identityModel>までの内容 (開始および終了タグを含む) をすべて削除します。Remove everything starting from including <microsoft.identityModel> and up to and including </microsoft.identityModel>.

    8. web.config を保存して閉じます。Save and close web.config.

  4. IIS マネージャーを構成します。Configure IIS Manager

    1. [インターネット インフォメーション サービス (IIS) マネージャー] を開きます。Open Internet Information Services (IIS) Manager.

    2. [アプリケーション プール] に移動して [DefaultAppPool] を右クリックし、[詳細設定] を選択します。Go to Application Pools, right-click DefaultAppPool to select Advanced Settings. [ユーザー プロファイルの読み込み][True] に設定して、[OK] をクリックします。Set Load User Profile to True, and then click OK.

    3. [DefaultAppPool] を右クリックし、[基本設定] を選択します。Right-click DefaultAppPool to select Basic Settings. [.NET CLR バージョン][.NET CLR バージョン v2.0.50727] に変更します。Change the .NET CLR Version to .NET CLR Version v2.0.50727.

    4. [既定の Web サイト] を右クリックし、[バインドの編集] を選択します。Right-click Default Web Site to select Edit Bindings.

    5. ポート 443 への HTTPS バインドと、インストール済みの SSL 証明書を追加します。Add an HTTPS binding to port 443 with the SSL certificate that you have installed.

    6. [既定の Web サイト] を右クリックし、[アプリケーションの追加] を選択します。Right-click Default Web Site to select Add Application.

    7. エイリアスを claimapp に設定し、物理パスを c:inetpubclaimapp に設定します。Set the alias to claimapp and the physical path to c:inetpubclaimapp.

  5. フェデレーション サーバーで動作するように claimapp を構成するには、次の手順を実行します。To configure claimapp to work with your federation server, do the following:

    1. FedUtil.exe を実行します。これは、 C:program files Files (x86) Windows Identity Foundation sdkv 3.5 にあります。Run FedUtil.exe, which is located in C:Program Files (x86)Windows Identity Foundation SDKv3.5.

    2. アプリケーションの構成の場所を C:inetputclaimappweb.config に設定し、アプリケーションの URI にサイトの URL ( https://webserv1.contoso.com /claimapp/) を設定します。Set the application configuration location to C:inetputclaimappweb.config and set the application URI to the URL for your site, https://webserv1.contoso.com /claimapp/. [次へ] をクリックします。Click Next.

    3. [ 既存の STS を使用 する] を選択し、AD FS サーバーのメタデータ URL を参照し https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml ます。Select Use an existing STS and browse to your AD FS server's metadata URL https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml. [次へ] をクリックします。Click Next.

    4. [証明書チェーンの検証を無効にする] を選択し、[次へ] をクリックします。Select Disable certificate chain validation, and then click Next.

    5. [暗号化なし] を選択し、[次へ] をクリックします。Select No encryption, and then click Next. [提供された要求] ページで、[次へ] をクリックします。On the Offered claims page, click Next.

    6. [毎日 WS-Federation メタデータを更新するタスクをスケジュールする] の横にあるチェック ボックスをオンにします。Select the check box next to Schedule a task to perform daily WS-Federation metadata updates. [完了] をクリックします。Click Finish.

    7. サンプル アプリケーションの構成が完了しました。Your sample application is now configured. アプリケーションの URL をテストすると https://webserv1.contoso.com/claimapp 、フェデレーションサーバーにリダイレクトされます。If you test the application URL https://webserv1.contoso.com/claimapp, it should redirect you to your federation server. 証明書利用者信頼をまだ構成していないため、フェデレーション サーバーによりエラー ページが表示されます。The federation server should display an error page because you have not yet configured the relying party trust. つまり、このテストアプリケーションは AD FS によってセキュリティ保護されていません。In other words, you have not secured this test application by AD FS.

Web サーバーで実行されるサンプルアプリケーションを AD FS でセキュリティで保護する必要があります。You must now secure your sample application that runs on your web server with AD FS. これを行うには、フェデレーション サーバー (ADFS1) に証明書利用者信頼を追加します。You can do this by adding a relying party trust on your federation server (ADFS1). これらの手順を説明したビデオを視聴するには、「 Active Directory フェデレーション サービスの使い方ビデオ シリーズ: 証明書利用者の信頼を追加する」を参照してください。For a video, see Active Directory Federation Services How-To Video Series: Add a Relying Party Trust.

フェデレーション サーバーで証明書利用者信頼を作成するCreate a relying party trust on your federation server

  1. フェデレーション サーバー (ADFS1) で、AD FS 管理コンソール[証明書利用者信頼] に移動し、[証明書利用者信頼の追加] をクリックします。On you federation server (ADFS1), in the AD FS Management console, navigate to Relying Party Trusts, and then click Add Relying Party Trust.

  2. [データ ソースの選択] ページで、[オンラインまたはローカル ネットワークで公開されている証明書利用者についてのデータをインポートする] を選択して、claimapp のメタデータ URL を入力し、[次へ] をクリックします。On the Select Data Source page, select Import data about the relying party published online or on a local network, enter the metadata URL for claimapp, and then click Next. FedUtil.exe の実行時にメタデータの .xml ファイルが作成されています。Running FedUtil.exe created a metadata .xml file. このファイルはにあり https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml ます。It is located at https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml.

  3. [表示名の指定] ページで、証明書利用者信頼 claimapp[表示名] を指定し、[次へ] をクリックします。On the Specify Display Name page, specify the display name for your relying party trust, claimapp, and then click Next.

  4. [多要素認証を今すぐ構成しますか?] ページで、[この証明書利用者信頼に対して多要素認証の設定を今は構成しません] を選択し、[次へ] をクリックします。On the Configure Multi-factor Authentication Now? page, select I do not want to specify multi-factor authentication setting for this relying party trust at this time, and then click Next.

  5. [発行承認規則の選択] ページで、[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択し、[次へ] をクリックします。On the Choose Issuance Authorization Rules page, select Permit all users to access this relying party, and then click Next.

  6. [信頼の追加の準備完了] ページで、[次へ] をクリックします。On the Ready to Add Trust page, click Next.

  7. [要求規則の編集] ダイアログ ボックスで、[規則の追加] をクリックします。On the Edit Claim Rules dialog box, click Add Rule.

  8. [規則の種類の選択] ページで、[カスタム規則を使用して要求を送信] を選択し、[次へ] をクリックします。On the Choose Rule Type page, select Send Claims Using a Custom Rule, and then click Next.

  9. [要求規則の構成] ページで、[要求規則名] ボックスに「All Claims」と入力します。On the Configure Claim Rule page, in the Claim rule name box, type All Claims. [カスタム規則] ボックスに、次の要求規則を入力します。In the Custom rule box, type the following claim rule.

    c:[ ]
    => issue(claim = c);
    
    
  10. [完了] をクリックし、[OK] をクリックします。Click Finish, and then click OK.

手順 4: クライアント コンピューター (Client1) を構成するStep 4: Configure the client computer (Client1)

別の仮想マシンをセットアップし、Windows 8.1 をインストールします。Set up another virtual machine and install Windows 8.1. この仮想マシンは、他の仮想マシンと同じ仮想ネットワークに属している必要があります。This virtual machine must be on the same virtual network as the other machines. このマシンは Contoso ドメインに参加させないでください。This machine should NOT be joined to the Contoso domain.

クライアントは、フェデレーション サーバー (ADFS1) で使用される SSL 証明書を信頼する必要があります。これは、「 Step 2: Configure the federation server (ADFS1) with Device Registration Service」で設定します。The client MUST trust the SSL certificate that is used for the federation server (ADFS1), which you set up in Step 2: Configure the federation server (ADFS1) with Device Registration Service. また、証明書の失効情報の検証が可能になっている必要もあります。It must also be able to validate certificate revocation information for the certificate.

さらに、Client1 にログオンするには、Microsoft アカウントをセットアップして使用する必要があります。You also must set up and use a Microsoft account to log on to Client1.

関連項目See Also

Active Directory フェデレーションサービス (AD FS) How-To ビデオシリーズ: AD FS サーバーファーム のインストールActive Directory フェデレーションサービス (AD FS) How-To ビデオシリーズ: 証明書 の更新Active Directory フェデレーションサービス (AD FS) How-To ビデオシリーズ: 証明書利用者信頼 を追加するActive Directory フェデレーションサービス (AD FS) How-To ビデオシリーズ: デバイス登録サービス を有効にするActive Directory フェデレーションサービス (AD FS) How-To ビデオシリーズ: Web アプリケーションプロキシのインストールActive Directory Federation Services How-To Video Series: Installing an AD FS Server Farm Active Directory Federation Services How-To Video Series: Updating Certificates Active Directory Federation Services How-To Video Series: Add a Relying Party Trust Active Directory Federation Services How-To Video Series: Enabling the Device Registration Service Active Directory Federation Services How-To Video Series: Installing the Web Application Proxy