証明書利用者の信頼を作成する
次のドキュメントでは、証明書利用者の信頼を手動で作成し、フェデレーション メタデータを使用する方法について説明します。
要求対応の証明書利用者信頼を手動で作成するには
AD FS 管理スナップインを使用して新しい証明書利用者信頼を追加するには、手動で設定を構成して、フェデレーション サーバーで次の手順を実行します。
この手順を完了するには、ローカル コンピューター上の Administrators または同等のメンバーシップが最低限必要です。 適切なアカウントの使用方法の詳細を確認し、グループ メンバーシップ ローカルおよびドメインの既定のグループします。
サーバー マネージャーで、 [ツール] をクリックし、次に [AD FS の管理] を選択します。
[操作] の下の [証明書利用者信頼の追加] をクリックします。
[ようこそ] ページで [要求に対応する] を選び、[開始] をクリックします。
[データ ソースの選択] ページで、[証明書利用者についてのデータを手動で入力する] をクリックし、[次へ] をクリックします。
[表示名の指定] ページで、[表示名]に名前を入力し、[メモ]にこの証明書利用者の説明を入力して、[次へ] をクリックします。
オプションのトークン暗号化証明書がある場合は、[証明書の構成] ページで [参照] をクリックして証明書ファイルを指定し、[次へ] をクリックします。
[URL の構成] ページで、次のどちらかまたは両方の操作を行ってから [次へ]をクリックし、手順 8 に進みます。
[WS-Federation のパッシブ プロトコルのサポートを有効にする] チェック ボックスをオンにします。 [証明書利用者 WS-Federation パッシブ プロトコル URL] に、この証明書利用者信頼の URL を入力し、[次へ] をクリックします。
[SAML 2.0 WebSSO プロトコルのサポートを有効にする] チェック ボックスをオンにします。 [証明書利用者 SAML 2.0 SSO サービスの URL]で、この証明書利用者信頼の Security Assertion Markup Language (SAML) サービス エンドポイントの URL を入力し、[次へ] をクリックします。
[識別子の構成] ページで、この証明書利用者の識別子を 1 つ以上指定し、[追加] をクリックして一覧に追加したら、[次へ] をクリックします。
[アクセス制御ポリシーの選択] で、ポリシーを選択して、[次へ] をクリックします。 アクセス制御ポリシーの詳細については、「AD FS のアクセス制御ポリシー」を参照してください。
[信頼の追加の準備完了] ページで、設定を確認し、[次へ] をクリックして、証明書利用者信頼情報を保存します。
[完了] ページで、[閉じる] をクリックします。 これにより、自動的に [要求規則の編集] ダイアログ ボックスが表示されます。
フェデレーション メタデータを使って要求対応の証明書利用者信頼を作成するには
AD FS 管理スナップインを使用して、パートナーがローカル ネットワークまたはインターネットに公開したフェデレーション メタデータからパートナーに関する構成データを自動的にインポートすることで新しい証明書利用者信頼を追加するには、アカウント パートナー組織内のフェデレーション サーバーで次の手順を実行します。
注意
https://myserver などの非修飾ホスト名を証明書と組み合わせて使用することは長い間一般に行われてきていますが、そのような証明書はセキュリティの値を持たないため、フェデレーション メタデータを公開しているフェデレーション サービスの偽装が攻撃者によって行われる可能性があります。 したがって、フェデレーション メタデータに対するクエリを実行する際には、完全修飾ドメイン名 (たとえば https://myserver.contoso.com) のみを使用する必要があります。
この手順を完了するには、ローカル コンピューター上の Administrators または同等のメンバーシップが最低限必要です。 適切なアカウントの使用方法の詳細を確認し、グループ メンバーシップ ローカルおよびドメインの既定のグループします。
サーバー マネージャーで、 [ツール] をクリックし、次に [AD FS の管理] を選択します。
[操作] の下の [証明書利用者信頼の追加] をクリックします。
[ようこそ] ページで [要求に対応する] を選び、[開始] をクリックします。
[データ ソースの選択] ページで、[オンラインまたはローカル ネットワークで公開されている証明書利用者についてのデータをインポートする] をクリックします。 [フェデレーション メタデータのアドレス (ホスト名または URL)] に、パートナーのフェデレーション メタデータ URL またはホスト名を入力して、[次へ] をクリックします。
[表示名の指定] ページで、[表示名] に表示名を入力し、[注意事項] にこの証明書利用者信頼の説明を入力して、[次へ] をクリックします。
[ 発行承認規則の選択 ] ページで、[ すべてのユーザーに対してこの証明書利用者へのアクセスを許可する ] と [ すべてのユーザーに対してこの証明書利用者へのアクセスを拒否する] のいずれかをクリックし、[ 次へ] をクリックします。
[信頼の追加の準備完了] ページで、設定を確認し、[次へ] をクリックして、証明書利用者信頼情報を保存します。
[完了] ページで、 [閉じる]をクリックします。 これにより、自動的に [要求規則の編集] ダイアログ ボックスが表示されます。 この証明書利用者信頼の要求規則を追加する手順の詳細については、「その他の参照情報」を参照してください。