Windows Server 2012 R2 で AD FS のラボ環境を設定する

このトピックでは、次のチュートリアル ガイドのチュートリアルを完了するために使用できるテスト環境を構成する手順について説明します。

• 手順: iOS デバイスを使用した職場参加

• 使い方ガイド: Windows デバイスでの職場参加

• チュートリアル ガイド: 条件付きアクセス制御によるリスクの管理

• チュートリアル ガイド: 機密性の高いアプリケーションに対する追加の多要素認証によるリスクの管理

このテスト環境を設定するには、次の手順を実行します。

1. 手順 1: ドメイン コントローラー (DC1) を構成する

2. 手順 2: Device Registration Service を使用してフェデレーション サーバー (ADFS1) を構成する

3. 手順 3: Web サーバー (WebServ1) と要求ベースのサンプル アプリケーションを構成する

4. 手順 4: クライアント コンピューターを構成する (Client1)

手順 1: ドメイン コントローラー (DC1) を構成する

このテスト環境では、ルートの Active Directory ドメイン contoso.com を呼び出し、管理者パスワードとして pass@word1 を指定できます。

• AD DS 役割サービスをインストールし、Active Directory Domain Services (AD DS) をインストールして、コンピューターを Windows Server 2012 R2 のドメイン コントローラーにします。 このアクションにより、ドメイン コントローラーの作成の一部として AD DS スキーマがアップグレードされます。 詳細情報と手順の詳細については、https://technet.microsoft.com/library/hh472162.aspxを参照してください。

テスト Active Directory アカウントを作成する

ドメイン コントローラーが機能したら、テスト グループを作成し、このドメインでユーザー アカウントをテストし、そのユーザー アカウントをグループ アカウントに追加できます。 これらのアカウントを使用して、このトピックで前述したウォークスルー ガイドで示された手順を完了します。

次のアカウントを作成します。

• ユーザー: 次の資格情報を持つ Robert Hatley : ユーザー名: RobertH とパスワード: P@ssword

• グループ: 財務

Active Directory (AD) でユーザー アカウントとグループ アカウントを作成する方法については、 https://technet.microsoft.com/library/cc783323%28v.aspxを参照してください。

Robert Hatley アカウントを Finance グループに追加します。 Active Directory のグループにユーザーを追加する方法については、「 https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx」を参照してください。

GMSA アカウントを作成する

グループ管理サービス アカウント (GMSA) アカウントは、Active Directory フェデレーション サービス (AD FS) のインストールと構成中に必要です。

GMSA アカウントを作成するには

1. Windows PowerShell コマンド ウィンドウを開き、次のように入力します。

   Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
   New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com
   
   

手順 2: Device Registration Service を使用してフェデレーション サーバー (ADFS1) を構成する

別の仮想マシンをセットアップするには、Windows Server 2012 R2 をインストールし、ドメイン contoso.com に接続します。 コンピューターをドメインに参加させた後にセットアップし、AD FS の役割のインストールと構成に進みます。

ビデオについては、「Active Directory フェデレーション サービス How-To ビデオ シリーズ: AD FS サーバー ファームのインストール」を参照してください。

サーバー SSL 証明書をインストールする

ローカル コンピューター ストアの ADFS1 サーバーにサーバー Secure Socket Layer (SSL) 証明書をインストールする必要があります。 証明書には次の属性が必要です。

• サブジェクト名 (CN): adfs1.contoso.com

• サブジェクトの別名 (DNS): adfs1.contoso.com

• サブジェクトの別名 (DNS): enterpriseregistration.contoso.com

SSL 証明書の設定の詳細については、「エンタープライズ CA を使用して ドメイン内の Web サイトで SSL/TLS を構成する」を参照してください。

Active Directory フェデレーション サービス How-To ビデオ シリーズ: 証明書の更新。

AD FS サーバーの役割をインストールする

フェデレーション サービスの役割サービスをインストールするには

1. ドメイン管理者アカウント administrator@contoso.comを使用してサーバーにログオンします。

2. サーバー マネージャーを開始します。 サーバー マネージャーを起動するには、Windows のスタート画面で [サーバー マネージャー] をクリックするか、Windows デスクトップの Windows タスク バーの [サーバー マネージャー] をクリックします。 [ダッシュボード] ページの [ようこそ] タイルの [クイック スタート] タブで、[役割と機能の追加] をクリックします。 または、[管理] メニューの [役割と機能の追加] をクリックすることもできます。

3. [ 開始する前 に] ページで、[ 次へ] をクリックします。

4. [ インストールの種類の選択 ] ページ で、[役割ベースまたは機能ベースのインストール] をクリックし、[ 次へ] をクリックします。

5. [ 移行先サーバーの選択 ] ページで、[ サーバー プールからサーバーを選択] をクリックし、ターゲット コンピューターが選択されていることを確認して、[ 次へ] をクリックします。

6. [ サーバーの役割の選択 ] ページで、[ Active Directory フェデレーション サービス] をクリックし、[ 次へ] をクリックします。

7. [ 機能の選択 ] ページで、[ 次へ] をクリックします。

8. [Active Directory フェデレーション サービス (AD FS)] ページで、[次へ] をクリックします。

9. [ インストールの選択を確認 する] ページで情報を確認した後、[必要に応 じてターゲット サーバーを自動的に再起動 する] チェック ボックスをオンにし、[ インストール] をクリックします。

10. [ インストールの進行状況 ] ページで、すべてが正しくインストールされていることを確認し、[ 閉じる] をクリックします。

フェデレーション サーバーを構成する

次の手順では、フェデレーション サーバーを構成します。

フェデレーション サーバーを構成するには

1. [サーバー マネージャー ダッシュボード ] ページで、[ 通知 ] フラグをクリックし、[ サーバー上のフェデレーション サービスの構成] をクリックします。

   Active Directory フェデレーション サービス構成ウィザードが開きます。

2. [ ようこそ ] ページで、[ フェデレーション サーバー ファームに最初のフェデレーション サーバーを作成する] を選択し、[ 次へ] をクリックします。

3. [ AD DS への接続 ] ページで、このコンピューターが参加している contoso.com Active Directory ドメインのドメイン管理者権限を持つアカウントを指定し、[ 次へ] をクリックします。

4. [ サービスのプロパティの指定 ] ページで、次の操作を行い、[ 次へ] をクリックします。

   • 前に取得した SSL 証明書をインポートします。 この証明書は、必要なサービス認証証明書です。 SSL 証明書の場所を参照します。

   • フェデレーション サービスの名前を指定するには、「adfs1.contoso.com」と入力 します。 この値は、Active Directory 証明書サービス (AD CS) に SSL 証明書を登録したときに指定した値と同じです。

   • フェデレーション サービスの表示名を指定するには、「 Contoso Corporation」と入力します。

5. [ サービス アカウントの指定] ページで、[ 既存のドメイン ユーザー アカウントまたはグループ管理サービス アカウントを使用する] を選択し、ドメイン コントローラーの作成時に作成した GMSA アカウント fsgmsa を指定します。

6. [ 構成データベースの指定 ] ページ で、[Windows 内部データベースを使用してこのサーバーにデータベースを作成する] を選択し、[ 次へ] をクリックします。

7. [ オプションの確認] ページで、構成の選択内容を確認し、[ 次へ] をクリックします。

8. [ 前提条件のチェック ] ページで、すべての前提条件チェックが正常に完了したことを確認し、[ 構成] をクリックします。

9. [ 結果 ] ページで結果を確認し、構成が正常に完了したかどうかを確認し、[ フェデレーション サービスの展開を完了するために必要な次の手順] をクリックします。

デバイス登録サービスの構成

次の手順では、ADFS1 サーバーでデバイス登録サービスを構成します。 ビデオについては、「 Active Directory フェデレーション サービス How-To ビデオ シリーズ: デバイス登録サービスの有効化」を参照してください。

Windows Server 2012 RTM のデバイス登録サービスを構成するには

1. 重要

   次の手順は、Windows Server 2012 R2 RTM ビルドに適用されます。

   Windows PowerShell コマンド ウィンドウを開き、次のように入力します。

   Initialize-ADDeviceRegistration
   

   サービス アカウントの入力を求められたら、「 contoso\fsgmsa$」と入力します。

   次に、Windows PowerShell コマンドレットを実行します。

   Enable-AdfsDeviceRegistration
   

2. ADFS1 サーバーの AD FS 管理 コンソールで、 認証ポリシーに移動します。 [ グローバル プライマリ認証の編集] を選択します。 [ デバイス認証を有効にする] の横にあるチェック ボックスをオンにし、[OK] をクリック します。

ホスト (A) およびエイリアス (CNAME) リソース レコードを DNS に追加する

DC1 では、デバイス登録サービス用に次のドメイン ネーム システム (DNS) レコードが作成されていることを確認する必要があります。

次の手順を使用して、フェデレーション サーバーとデバイス登録サービスの企業 DNS ネーム サーバーにホスト (A) リソース レコードを追加できます。

管理者グループまたは同等のメンバーシップは、この手順を完了するための最小要件です。 HYPERLINK の "https://go.microsoft.com/fwlink/?LinkId=83477" ローカル グループとドメインの既定のグループ (https://go.microsoft.com/fwlink/p/?LinkId=83477) で適切なアカウントとグループ メンバーシップを使用する方法の詳細を確認します。

フェデレーション サーバーの DNS にホスト (A) とエイリアス (CNAME) リソース レコードを追加するには

1. DC1 では、サーバー マネージャーの [ツール ] メニューの [DNS ] をクリックして DNS スナップインを開きます。

2. コンソール ツリーで、[DC1] を展開し、[ 前方参照ゾーン] を展開し、[ contoso.com] を右クリックし、[ 新しいホスト (A または AAAA)] をクリックします。

3. [ 名前] に、 AD FS ファームに使用する名前を入力します。 このチュートリアルでは、「 adfs1」と入力します。

4. [IP アドレス] に、ADFS1 サーバーの IP アドレスを入力します。 クリックしてホストを追加します。

5. contoso.com を右クリックし、[新しいエイリアス (CNAME)] をクリックします。

6. [新しいリソース レコード] ダイアログ ボックスで、[エイリアス名] ボックスに「enterpriseregistration」と入力します。

7. ターゲット ホスト ボックスの完全修飾ドメイン名 (FQDN) ボックスに 「adfs1.contoso.com」と入力し、[OK] をクリック します。

   重要

   実際の展開では、会社に複数のユーザー プリンシパル名 (UPN) サフィックスがある場合は、DNS の UPN サフィックスごとに 1 つずつ、複数の CNAME レコードを作成する必要があります。

手順 3: Web サーバー (WebServ1) と要求ベースのサンプル アプリケーションを構成する

Windows Server 2012 R2 オペレーティング システムをインストールして仮想マシン (WebServ1) を設定し、それをドメイン contoso.com に接続します。 ドメインに参加したら、Web サーバーロールのインストールと構成に進むことができます。

このトピックで前述したチュートリアルを完了するには、フェデレーション サーバー (ADFS1) によってセキュリティ保護されたサンプル アプリケーションが必要です。

このサンプル要求ベースのアプリケーションを使用して Web サーバーを設定するには、次の手順を完了する必要があります。

1. Web サーバーロールと Windows Identity Foundation をインストールする

2. Windows Identity Foundation SDK をインストールする

3. IIS で単純な要求アプリを構成する

4. フェデレーション サーバーでリライアント パーティ トラストを作成する

Web サーバーロールと Windows Identity Foundation をインストールする

1. 注

   Windows Server 2012 R2 インストール メディアにアクセスできる必要があります。

   administrator@contoso.comとパスワード pass@word1を使用して WebServ1 にログオンします。

2. サーバー マネージャーから、[ダッシュボード] ページの [ようこそ] タイルの [クイック スタート] タブで、[役割と機能の追加] をクリックします。 または、[管理] メニューの [役割と機能の追加] をクリックすることもできます。

3. [ 開始する前 に] ページで、[ 次へ] をクリックします。

4. [ インストールの種類の選択 ] ページ で、[役割ベースまたは機能ベースのインストール] をクリックし、[ 次へ] をクリックします。

5. [ 移行先サーバーの選択 ] ページで、[ サーバー プールからサーバーを選択] をクリックし、ターゲット コンピューターが選択されていることを確認して、[ 次へ] をクリックします。

6. [ サーバーの役割の選択 ] ページで、[ Web サーバー (IIS)] の横にあるチェック ボックスをオンにし、[機能の 追加] をクリックし、[ 次へ] をクリックします。

7. [ 機能の選択 ] ページ で、Windows Identity Foundation 3.5 を選択し、[ 次へ] をクリックします。

8. [ Web サーバーの役割 (IIS)] ページで、[ 次へ] をクリックします。

9. [ 役割サービスの選択 ] ページで、[ アプリケーション開発] を選択して展開します。 ASP.NET 3.5 を選択し、[機能の追加] をクリックし、[次へ] をクリックします。

10. [ インストールの選択の確認 ] ページで、[ 代替ソース パスの指定] をクリックします。 Windows Server 2012 R2 インストール メディアにある Sxs ディレクトリへのパスを入力します。 たとえば、D:\Sources\Sxs です。 [ OK] をクリックし、[ インストール] をクリックします。

Windows Identity Foundation SDK をインストールする

1. WindowsIdentityFoundation-SDK-3.5.msi を実行して Windows Identity Foundation SDK 3.5 をインストールします。 すべての既定のオプションを選択します。

IIS で単純な要求アプリを構成する

1. コンピューター証明書ストアに有効な SSL 証明書をインストールします。 証明書には、Web サーバーの名前 (webserv1.contoso.com) が含 まれている必要があります。

2. C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5\Samples\Quick Start\Web Application\PassiveRedirectBasedClaimsAwareWebApp の内容を C:\Inetpub\Claimapp にコピーします。

3. 要求のフィルター処理が行われないように、 Default.aspx.cs ファイルを編集します。 この手順は、フェデレーション サーバーによって発行されたすべての要求がサンプル アプリケーションに確実に表示されるようにするために実行されます。 次の手順を実行してください。

   1. テキスト エディターで Default.aspx.cs を開きます。

   2. ファイルで、 ExpectedClaimsの 2 番目のインスタンスを検索します。

   3. IF ステートメントとその中かっこ全体をコメント アウトします。 行の先頭に「//」と入力してコメントを示します (引用符を使用しない)。

   4. FOREACH ステートメントは、次のコード例のようになります。

      Foreach (claim claim in claimsIdentity.Claims)
      {
         //Before showing the claims validate that this is an expected claim
         //If it is not in the expected claims list then don't show it
         //if (ExpectedClaims.Contains( claim.ClaimType ) )
         // {
            writeClaim( claim, table );
         //}
      }
      
      

   5. Default.aspx.csを保存して閉じます。

   6. テキスト エディターで web.config を開きます。

   7. <microsoft.identityModel>セクション全体を削除します。 including <microsoft.identityModel>から始まり、</microsoft.identityModel>を含むすべてのものを削除します。

   8. web.configを保存 して閉じます 。

4. IIS マネージャーの構成

   1. インターネット インフォメーション サービス (IIS) マネージャーを開きます。

   2. [アプリケーション プール] に移動し、[DefaultAppPool] を右クリックして [詳細設定] を選択します。 [ ユーザー プロファイルの読み込み] を [True] に設定し、[OK] をクリック します。

   3. DefaultAppPool を右クリックして、[基本設定] を選択します。 .NET CLR バージョンを .NET CLR バージョン v2.0.50727 に変更します。

   4. [既定の Web サイト] を右クリックして、[バインドの編集] を選択します。

   5. インストールした SSL 証明書を使用して、ポート 443 に HTTPS バインディングを追加します。

   6. [既定の Web サイト] を右クリックし、[アプリケーションの追加] を選択します。

   7. エイリアスを claimapp に設定し、物理パスを c:\inetpub\claimapp に設定します。

5. フェデレーション サーバーと連携するように claimapp を構成するには、次の操作を行います。

   1. C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5 にある FedUtil.exeを実行します。

   2. アプリケーション構成の場所を C:\inetpub\claimapp\web.config に設定し、アプリケーション URI をサイトの URL https://webserv1.contoso.com/claimapp/ に設定します。 [次へ] をクリックします。

   3. [ 既存の STS を使用する ] を選択し、AD FS サーバーのメタデータ URL https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xmlを参照します。 [次へ] をクリックします。

   4. [ 証明書チェーンの検証を無効にする] を選択し、[ 次へ] をクリックします。

   5. [ 暗号化なし] を選択し、[ 次へ] をクリックします。 [ 提供された要求 ] ページで、[ 次へ] をクリックします。

   6. 毎日の WS-Federation メタデータの更新を実行するようにタスクをスケジュールする] の横にあるチェック ボックスをオンにします。 [完了] をクリックします。

   7. これでサンプル アプリケーションが構成されました。 アプリケーション URL https://webserv1.contoso.com/claimappをテストすると、フェデレーション サーバーにリダイレクトされます。 証明書利用者信頼をまだ構成していないため、フェデレーション サーバーにエラー ページが表示されます。 つまり、このテスト アプリケーションは AD FS によって保護されていません。

これで、AD FS を使用して Web サーバー上で実行されるサンプル アプリケーションをセキュリティで保護する必要があります。 これを行うには、フェデレーション サーバー (ADFS1) に証明書利用者信頼を追加します。 ビデオについては、「Active Directory フェデレーション サービス How-To ビデオ シリーズ: 証明書利用者信頼の追加」を参照してください。

フェデレーション サーバーに証明書利用者信頼関係を作成する

1. フェデレーション サーバー (ADFS1) の AD FS 管理コンソールで、[ 証明書利用者信頼] に移動し、[ 証明書利用者信頼の追加] をクリックします。

2. [ データ ソースの選択 ] ページで、 オンラインまたはローカル ネットワークで公開されている証明書利用者に関するデータのインポートを選択し、 claimapp のメタデータ URL を入力して、[ 次へ] をクリックします。 FedUtil.exe 実行すると、メタデータ .xml ファイルが作成されました。 https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xmlにあります。

3. [表示名の指定] ページで、証明書利用者信頼 claimapp の [表示名] を指定し、[次へ] をクリックします。

4. [ 今すぐ多要素認証を構成しますか? ] ページ で、[この証明書利用者信頼に対して多要素認証設定を指定しない] を選択し、[ 次へ] をクリックします。

5. [発行承認規則の選択] ページで、[すべてのユーザーにこの依存パーティへのアクセスを許可する] を選択し、[次へ] をクリックします。

6. [ 信頼の追加の準備完了 ] ページで、[ 次へ] をクリックします。

7. [ 要求規則の編集 ] ダイアログ ボックスで、[ 規則の追加] をクリックします。

8. [ 規則の種類の選択 ] ページで、[ カスタム規則を使用して要求を送信] を選択し、[ 次へ] をクリックします。

9. [ 要求規則の構成 ] ページの [ 要求規則名 ] ボックスに、「 すべての要求」と入力します。 [ カスタム規則 ] ボックスに、次の要求規則を入力します。

   c:[ ]
   => issue(claim = c);
   
   

10. 終了 をクリックして、OK をクリックします。

手順 4: クライアント コンピューターを構成する (Client1)

別の仮想マシンを設定し、Windows 8.1 をインストールします。 この仮想マシンは、他のマシンと同じ仮想ネットワーク上にある必要があります。 このマシンを Contoso ドメインに参加させるべきではありません。

クライアントは、「手順 2: Device Registration Service を使用してフェデレーション サーバー (ADFS1) を構成する」で設定した フェデレーション サーバー (ADFS1) に使用される SSL 証明書を信頼する必要があります。 また、証明書の証明書失効情報を検証できる必要があります。

また、Microsoft アカウントを設定して使用して Client1 にログオンする必要があります。

こちらもご覧ください

• Active Directory フェデレーション サービス How-To ビデオ シリーズ: AD FS サーバー ファームのインストール
• Active Directory フェデレーション サービス How-To ビデオ シリーズ: 証明書の更新
• Active Directory フェデレーション サービスの使い方ビデオ シリーズ: 証明書利用者の信頼を追加する
• Active Directory フェデレーション サービス How-To ビデオ シリーズ: デバイス登録サービスの有効化
• Active Directory フェデレーション サービス How-To ビデオ シリーズ: Web アプリケーション プロキシのインストール