フェデレーション サービスの役割サービスをインストールし、コンピューターに必要な証明書を構成したら、フェデレーション サーバーになるようにコンピューターを構成する準備が整います。 AD FS フェデレーション サーバー構成ウィザードを使用して、新しいフェデレーション サーバー ファームで最初のフェデレーション サーバーになるようにコンピューターを設定するには、次の手順に従います。
ファームで最初のフェデレーション サーバーを作成する操作では、新しいフェデレーション サービスも作成され、このコンピューターがプライマリ フェデレーション サーバーになります。 つまり、このコンピューターは、AD FS 構成データベースの読み取り/書き込みコピーで構成されます。 このファーム内の他のすべてのフェデレーション サーバーは、プライマリ フェデレーション サーバーで行われた変更を、ローカルに格納されている AD FS 構成データベースの読み取り専用コピーにレプリケートする必要があります。 このレプリケーション プロセスの詳細については、「 AD FS 構成データベースの役割」を参照してください。
注
フェデレーション Web シングルSign-On (SSO) 設計では、アカウント パートナー組織に少なくとも 1 つのフェデレーション サーバーがあり、リソース パートナー組織に少なくとも 1 つのフェデレーション サーバーが必要です。 詳細については、「 フェデレーション サーバーを配置する場所」を参照してください。
Domain Admins のメンバーシップ、または Active Directory の Program Data コンテナーへの書き込みアクセスが許可されている委任されたドメイン アカウントは、この手順を完了するために最低限必要です。
フェデレーション サーバー ファームで最初のフェデレーション サーバーを作成するには
AD FS フェデレーション サーバー構成ウィザードを開始するには、2 つの方法があります。 ウィザードを開始するには、次のいずれかの操作を行います。
フェデレーション サービス役割サービスのインストールが完了したら、AD FS 管理スナップインを開き、[概要] ページまたは [操作] ウィンドウの [AD FS フェデレーション サーバー構成ウィザード] リンクをクリックします。
セットアップ ウィザードが完了したら、いつでも Windows エクスプローラーを開き、 C:\Windows\ADFS フォルダーに移動し、 FsConfigWizard.exeダブルクリックします。
[ ようこそ ] ページで、[ 新しいフェデレーション サービスの作成 ] が選択されていることを確認し、[ 次へ] をクリックします。
[ Stand-Alone またはファームの展開の選択 ] ページで、[ 新しいフェデレーション サーバー ファーム] をクリックし、[ 次へ] をクリックします。
[ フェデレーション サービス名の指定] ページで、表示されている SSL 証明書 が正しいことを確認します。 これが正しい証明書でない場合は、 SSL 証明書 の一覧から適切な証明書を選択します。
この証明書は、既定の Web サイトの Secure Sockets Layer (SSL) 設定から生成されます。 既定の Web サイトに SSL 証明書が 1 つだけ構成されている場合、その証明書が表示され、使用するために自動的に選択されます。 既定の Web サイトに対して複数の SSL 証明書が構成されている場合は、これらの証明書がすべてここに一覧表示され、その中から選択する必要があります。 既定の Web サイト用に構成された SSL 設定がない場合は、ローカル コンピューターの個人用証明書ストアで使用できる証明書から一覧が生成されます。
注
SSL 証明書が IIS 用に構成されている場合、ウィザードでは証明書をオーバーライドできません。 これにより、SSL 証明書に対して意図された以前の IIS 構成が保持されます。 この制限を回避するには、証明書を削除するか、IIS 管理コンソールを使用して手動で再構成します。
選択した AD FS データベースが既に存在する場合は、[ 既存の AD FS 構成データベースが検出 されました] ページが表示されます。 そのページが表示されたら、[ データベースの削除] をクリックし、[ 次へ] をクリックします。
注意事項
このオプションは、この AD FS データベース内のデータが重要でないか、運用フェデレーション サーバー ファームで使用されていないことが確実な場合にのみ選択します。
[ サービス アカウントの指定 ] ページで、[ 参照] をクリックします。 [ 参照 ] ダイアログ ボックスで、この新しいフェデレーション サーバー ファームでサービス アカウントとして使用するドメイン アカウントを見つけて、[OK] をクリック します。 このアカウントのパスワードを入力して確認し、[ 次へ] をクリックします。
注
フェデレーション サーバー ファームのサービス アカウントの指定の詳細については、「フェデレーション サーバー ファームのサービス アカウントを手動で構成する」を参照してください。 フェデレーション サーバー ファーム内の各フェデレーション サーバーは、ファームが動作するために同じサービス アカウントを指定する必要があります。 たとえば、作成されたサービス アカウントが contoso\ADFS2SVC の場合、フェデレーション サーバーの役割用に構成し、同じファームに参加する各コンピューターは、ファームを動作させるには、フェデレーション サーバー構成ウィザードのこの手順で contoso\ADFS2SVC を指定する必要があります。
[ 設定の適用準備完了] ページで、詳細を確認します。 設定が正しいと思われる場合は、[ 次へ ] をクリックして、これらの設定で AD FS の構成を開始します。
[ 構成結果 ] ページで、結果を確認します。 すべての構成手順が完了したら、[ 閉じる ] をクリックしてウィザードを終了します。
重要
セキュリティで保護された展開のために、AD FS フェデレーション サーバー構成ウィザードを使用してフェデレーション サーバー ファームを構成すると、成果物の解決と応答の検出が無効になります。 このウィザードでは、サービス構成データを格納するための Windows 内部データベースが自動的に構成されます。 ただし、AD FS 管理スナップインの [エンドポイント ] ノードまたは Windows PowerShell の Enable-ADFSEndpoint コマンドレットを使用してアーティファクト解決エンドポイントを有効にすると、誤ってこの変更を元に戻す可能性があります。 フェデレーション サーバー ファームと Windows 内部データベースを一緒に使用するときに、このエンドポイントが無効なままになるように、既定の設定を再構成しないように注意してください。