ADFSサーバー間の連携設定(2)

前回から、2台のADFSサーバーを利用して、ADFSサーバー間でクレームの受け渡しをするための設定についてお話をしています。今回は証明書の話をしようと思ったのですが、やはりADFSサーバー間で連携するための具体的な設定方法を紹介するところから解説します。

 

ADFSサーバー間の信頼関係設定

2台のADFSサーバーで連携するときには、それぞれのADFSサーバーで信頼関係を結びます。信頼関係の設定は、このブログでも以前紹介した、要求プロバイダー信頼と証明書利用者信頼を使います。

image

上図を参考に登録すべき要求プロバイダー信頼と証明書利用者信頼の設定を解説すると、次のとおりになります。

A社のADFSサーバーの証明書利用者信頼にB社のADFSサーバーを登録

B社のADFSサーバーの要求プロバイダー信頼にA社のADFSサーバーを登録

A社のADFSサーバーの証明書利用者信頼で、B社のADFSサーバーを設定するときは、

image

image

証明書利用者信頼を追加するウィザード画面からフェデレーションメタデータのアドレスとして、B社のADFSサーバーのFQDNを登録します。(古いADFSの画面ですが、Windows Server 2012 R2でも同じ設定です)

 

一方、B社のADFSサーバーの要求プロバイダー信頼で、A社のADFSサーバーを設定するときは、

image

image

要求プロバイダー信頼を追加するウィザード画面からフェデレーションメタデータのアドレスとして、A社のADFSサーバーのFQDNを登録します。

これだけです。
以上の設定で、互いのADFSサーバーはフェデレーションメタデータを交換し、互いのADFSサーバーの存在を認識し、ADFSサーバー間の信頼関係が出来上がるのです。

しかし、実際には前回も紹介したように、証明書の問題やクレームの受け渡し方法など、考慮しなければならないことがあります。次回はこれらについて、解説します。

広告

紹介 sophiakunii
国井 傑(株式会社ソフィアネットワーク)… インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとして、IT Pro分野全般のトレーニングを担当。また、2006年から連続してMicrosoft MVP(Directory Services)を受賞している。主な著書に「プロが教えるWindows Server 2012システム管理」(アスキーメディアワークス)、「Windows Server 2008イントラネット構築ガイド」(CQ出版)、「PowerShellによるWindowsサーバ管理術」(ソフトバンク クリエイティブ)などがある。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Google フォト

Google アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

%s と連携中