Windows Server 2012によるADFS Proxy構築

Posted on by Posted in Office365, Work, シングルサインオンとディレクトリ同期 Leave a comment

Windows Server 2012によるADFS構築に引き続き、今回はADFS ProxyサーバをWindows Server 2012上に構成してみたいと思います。

作成する環境はこんな感じです。通常はDMZ上の別セグメントに構成しますが、検証を行う上ではあまり関係ないので。
20130403_33

AD FSの時よりは準備は少ないです。基本的には公的証明書(通常はAD FSで利用している物と同じ物)をエクスポートした物さえ有れば良いです。今回は、Digicertさんで取った公的証明書を利用しています。ちなみに、なぜAD FS Proxyが必要だとか、公的証明書が必要だとかは過去の記事をご参照下さい。

まずは、hostsファイルを構成します。AD FS Proxyは通常インターネット上のDNSサーバを向いており、AD FSサービス名(例: sts.contoso.com)に対して接続をしようとした場合、自分自身のグローバルIPアドレスに解決してしまって接続できません。これを、DNSの名前解決より優先されるhostsファイルに書くことにより、AD FSサーバーに接続しに行くようにします。
20130403_01

続いては、[役割と機能の追加]で[Active Directoryフェデレーションサービス]を追加します。
20130403_02 20130403_03 20130403_04 20130403_05 20130403_06

依存する関連サービスのIISなども同時にインストールされます。
20130403_07 20130403_08 20130403_09

AD FSでは、[フェデレーションサービスプロキシ]を選択します。IISはデフォルトのままで大丈夫なので、次へを押していくとインストールが完了します。
20130403_10 20130403_11 20130403_12 20130403_13 20130403_14 20130403_15

続いて、SSL関係の設定を行います。IISサービスマネージャーを開き、[サーバー証明書]の項目を選びます。[インポート]を選択し、用意しておいた証明書(.pfxファイル)とパスワードを入力します。エクスポートできるようにチェックは付けておきます。
20130403_16 20130403_17 20130403_18 20130403_19

続いては、インポートした証明書を利用してSSLのサイトを作成します。IISマネージャーの[サイト]を開き、[Default Web Site]をクリックして[バインドの編集]を選択します。デフォルトでは、HTTP(ポート80)でしか応答しないようになっているので、HTTPS(ポート443)で先ほどのSSL証明書を利用してAD FSサービス名に対して応答するようにします。
20130403_20 20130403_21 20130403_22

最後に、AD FS Proxyの構成です。スタートメニューの[ADFSフェデレーションサーバープロキシの構成ウィザード]を選択します。
20130403_23

フェデレーションサービス名を入力すると、AD FSサービスへのアクセスの資格情報を求められます。ここでは、AD FSにアクセスできる管理アカウントを指定します。次へを押すと、構成が完了です。
20130403_24 20130403_25 20130403_26 20130403_27 20130403_28

OSの基本機能でほぼいけますので、簡単ですね。

また、外部DNSでAD FSサービス名をAD FS Proxyに接続できるグローバルIPアドレスに解決できるように構成しておきます。必要に応じて、AD FSの実際のアドレスにNATするようにFirewallの設定を行います。

動作確認の為、接続してみます。ポータルからIDを入力すると、自動的に画面がリダイレクトし、AD FS Proxyのフォーム認証画面に飛びます。ここで、ID/PASSを入力してして[サインイン]をクリックすると、Office365にActive Directoryの資格情報でサインインすることができます。
20130403_29 20130403_30 20130403_32 20130403_31

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です