AD FSでの証明書利用者信頼の作成
Active Directory フェデレーションサービス( AD FS )を使用して、システム内の管理ノードごとに証明書利用者信頼を作成する必要があります。PowerShell コマンドを使用するか、 StorageGRID から SAML メタデータをインポートするか、またはデータを手動で入力することによって、証明書利用者信頼を作成できます。
Windows PowerShellを使用した証明書利用者信頼の作成
Windows PowerShell を使用して証明書利用者信頼を簡単に作成できます。
-
StorageGRID でSSOを設定し、システム内の各管理ノードの完全修飾ドメイン名(またはIPアドレス)と証明書利用者IDを確認しておきます。
証明書利用者信頼は StorageGRID システム内の管理ノードごとに作成する必要があります。管理ノードごとに証明書利用者信頼を作成することで、ユーザは管理ノードに対して安全にサインイン / サインアウトすることができます。 -
AD FS での証明書利用者信頼の作成経験があるか、または Microsoft AD FS のドキュメントを参照できる必要があります。
-
AD FS 管理スナップインを使用していて、 Administrators グループに属している必要があります。
以下の手順は、Windows Server 2016に付属のAD FS 4.0での手順です。Windows Server 2012 R2に含まれているAD FS 3.0を使用している場合は、手順 にわずかな違いがあります。不明な点がある場合は、 Microsoft AD FS のドキュメントを参照してください。
-
WindowsのスタートメニューからPowerShellアイコンを右クリックし、*管理者として実行*を選択します。
-
PowerShell コマンドプロンプトで、次のコマンドを入力します。
Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"
-
の場合
Admin_Node_Identifier`では、管理ノードの証明書利用者IDをSingle Sign-Onページに表示されるとおりに入力します。例: `SG-DC1-ADM1
。 -
の場合 `Admin_Node_FQDN`をクリックし、同じ管理ノードの完全修飾ドメイン名を入力します。(必要に応じて、ノードの IP アドレスを代わりに使用できます。ただし、 IP アドレスを入力した場合、その IP アドレスが変わったときには証明書利用者信頼を更新または再作成する必要があります)。
-
-
Windows Server Manager で、 * Tools * > * AD FS Management * を選択します。
AD FS 管理ツールが表示されます。
-
「 * AD FS * > * 証明書利用者信頼」を選択します。
証明書利用者信頼のリストが表示されます。
-
新しく作成した証明書利用者信頼にアクセス制御ポリシーを追加します。
-
作成した証明書利用者信頼を検索します。
-
信頼を右クリックし、 * アクセス制御ポリシーの編集 * を選択します。
-
アクセス制御ポリシーを選択します。
-
[*適用(Apply)]をクリックし、[OK]をクリックします
-
-
新しく作成した証明書利用者信頼に要求発行ポリシーを追加します。
-
作成した証明書利用者信頼を検索します。
-
信頼を右クリックし、 [ * クレーム発行ポリシーの編集 * ] を選択します。
-
[ルールの追加]をクリックします。
-
[ルールテンプレートの選択]ページで、リストから[* LDAP属性をクレームとして送信*]を選択し、[次へ]をクリックします。
-
[ ルールの設定 ] ページで、このルールの表示名を入力します。
たとえば、 ObjectGUID to Name ID と入力します。
-
属性ストアで、 * Active Directory * を選択します。
-
マッピングテーブルの LDAP 属性列に、 * objectGUID * と入力します。
-
マッピングテーブルの発信クレームタイプ列で、ドロップダウンリストから * 名前 ID * を選択します。
-
[完了]をクリックし、[OK]をクリックします。
-
-
メタデータが正常にインポートされたことを確認します。
-
証明書利用者信頼を右クリックしてプロパティを開きます。
-
[Endpoints] 、 [*Identifiers] 、および [Signature] タブのフィールドに値が入力されていることを確認します。
メタデータがない場合は、フェデレーションメタデータアドレスが正しいことを確認するか、値を手動で入力します。
-
-
上記の手順を繰り返して、 StorageGRID システム内のすべての管理ノードに対して証明書利用者信頼を設定します。
-
完了したら、StorageGRID およびに戻ります "すべての証明書利用者信頼をテストします" 正しく設定されていることを確認します。
フェデレーションメタデータをインポートして証明書利用者信頼を作成する
各証明書利用者信頼の値をインポートするには、各管理ノードの SAML メタデータにアクセスします。
-
StorageGRID でSSOを設定し、システム内の各管理ノードの完全修飾ドメイン名(またはIPアドレス)と証明書利用者IDを確認しておきます。
証明書利用者信頼は StorageGRID システム内の管理ノードごとに作成する必要があります。管理ノードごとに証明書利用者信頼を作成することで、ユーザは管理ノードに対して安全にサインイン / サインアウトすることができます。 -
AD FS での証明書利用者信頼の作成経験があるか、または Microsoft AD FS のドキュメントを参照できる必要があります。
-
AD FS 管理スナップインを使用していて、 Administrators グループに属している必要があります。
以下の手順は、Windows Server 2016に付属のAD FS 4.0での手順です。Windows Server 2012 R2に含まれているAD FS 3.0を使用している場合は、手順 にわずかな違いがあります。不明な点がある場合は、 Microsoft AD FS のドキュメントを参照してください。
-
Windows Server Managerで、* Tools をクリックし、 AD FS Management *を選択します。
-
Actions(アクション)で、* Add(証明書利用者信頼の追加)*をクリックします。
-
[ようこそ]ページで、[クレーム対応]を選択し、[開始]をクリックします。
-
[ * オンラインまたはローカルネットワーク上で公開されている証明書利用者に関するデータをインポートする * ] を選択します。
-
* フェデレーションメタデータアドレス(ホスト名または URL ) * に、この管理ノードの SAML メタデータの場所を入力します。
https://Admin_Node_FQDN/api/saml-metadata
の場合 `Admin_Node_FQDN`をクリックし、同じ管理ノードの完全修飾ドメイン名を入力します。(必要に応じて、ノードの IP アドレスを代わりに使用できます。ただし、 IP アドレスを入力した場合、その IP アドレスが変わったときには証明書利用者信頼を更新または再作成する必要があります)。
-
証明書利用者信頼の追加ウィザードを実行し、証明書利用者信頼を保存して、ウィザードを閉じます。
表示名を入力するときは、管理ノードの証明書利用者 ID を使用します。これは、 Grid Manager のシングルサインオンページに表示される情報とまったく同じです。例: SG-DC1-ADM1
。 -
クレームルールを追加します。
-
信頼を右クリックし、 [ * クレーム発行ポリシーの編集 * ] を選択します。
-
[ルールの追加:]をクリックします。
-
[ルールテンプレートの選択]ページで、リストから[* LDAP属性をクレームとして送信*]を選択し、[次へ]をクリックします。
-
[ ルールの設定 ] ページで、このルールの表示名を入力します。
たとえば、 ObjectGUID to Name ID と入力します。
-
属性ストアで、 * Active Directory * を選択します。
-
マッピングテーブルの LDAP 属性列に、 * objectGUID * と入力します。
-
マッピングテーブルの発信クレームタイプ列で、ドロップダウンリストから * 名前 ID * を選択します。
-
[完了]をクリックし、[OK]をクリックします。
-
-
メタデータが正常にインポートされたことを確認します。
-
証明書利用者信頼を右クリックしてプロパティを開きます。
-
[Endpoints] 、 [*Identifiers] 、および [Signature] タブのフィールドに値が入力されていることを確認します。
メタデータがない場合は、フェデレーションメタデータアドレスが正しいことを確認するか、値を手動で入力します。
-
-
上記の手順を繰り返して、 StorageGRID システム内のすべての管理ノードに対して証明書利用者信頼を設定します。
-
完了したら、StorageGRID およびに戻ります "すべての証明書利用者信頼をテストします" 正しく設定されていることを確認します。
証明書利用者信頼の手動作成
証明書利用者信頼のデータをインポートしないことを選択した場合は、値を手動で入力できます。
-
StorageGRID でSSOを設定し、システム内の各管理ノードの完全修飾ドメイン名(またはIPアドレス)と証明書利用者IDを確認しておきます。
証明書利用者信頼は StorageGRID システム内の管理ノードごとに作成する必要があります。管理ノードごとに証明書利用者信頼を作成することで、ユーザは管理ノードに対して安全にサインイン / サインアウトすることができます。 -
StorageGRID 管理インターフェイス用にカスタム証明書をアップロードしておきます。または、コマンドシェルから管理ノードにログインする方法を確認しておきます。
-
AD FS での証明書利用者信頼の作成経験があるか、または Microsoft AD FS のドキュメントを参照できる必要があります。
-
AD FS 管理スナップインを使用していて、 Administrators グループに属している必要があります。
以下の手順は、Windows Server 2016に付属のAD FS 4.0での手順です。Windows Server 2012 R2に含まれているAD FS 3.0を使用している場合は、手順 にわずかな違いがあります。不明な点がある場合は、 Microsoft AD FS のドキュメントを参照してください。
-
Windows Server Managerで、* Tools をクリックし、 AD FS Management *を選択します。
-
Actions(アクション)で、* Add(証明書利用者信頼の追加)*をクリックします。
-
[ようこそ]ページで、[クレーム対応]を選択し、[開始]をクリックします。
-
[証明書利用者に関するデータを手動で入力する]を選択し、[次へ]をクリックします。
-
証明書利用者信頼の追加ウィザードを実行します。
-
この管理ノードの表示名を入力します。
整合性を確保するために、管理ノードの証明書利用者 ID を使用してください。この ID は、 Grid Manager のシングルサインオンページに表示されます。例:
SG-DC1-ADM1
。 -
オプションのトークン暗号化証明書を設定する手順は省略してください。
-
[ URL の設定 ] ページで、 [ * SAML 2.0 WebSSO プロトコルのサポートを有効にする * ] チェックボックスをオンにします。
-
管理ノードの SAML サービスエンドポイントの URL を入力します。
https://Admin_Node_FQDN/api/saml-response
の場合 `Admin_Node_FQDN`で、管理ノードの完全修飾ドメイン名を入力します。(必要に応じて、ノードの IP アドレスを代わりに使用できます。ただし、 IP アドレスを入力した場合、その IP アドレスが変わったときには証明書利用者信頼を更新または再作成する必要があります)。
-
Configure Identifiers ページで、同じ管理ノードの証明書利用者 ID を指定します。
Admin_Node_Identifier
の場合
Admin_Node_Identifier`では、管理ノードの証明書利用者IDをSingle Sign-Onページに表示されるとおりに入力します。例: `SG-DC1-ADM1
。 -
設定を確認し、証明書利用者信頼を保存して、ウィザードを閉じます。
[ クレーム発行ポリシーの編集 ] ダイアログボックスが表示されます。
ダイアログボックスが表示されない場合は、信頼を右クリックし、 * クレーム発行ポリシーの編集 * を選択します。 -
-
[クレームルール]ウィザードを開始するには、[ルールの追加]をクリックします。
-
[ルールテンプレートの選択]ページで、リストから[* LDAP属性をクレームとして送信*]を選択し、[次へ]をクリックします。
-
[ ルールの設定 ] ページで、このルールの表示名を入力します。
たとえば、 ObjectGUID to Name ID と入力します。
-
属性ストアで、 * Active Directory * を選択します。
-
マッピングテーブルの LDAP 属性列に、 * objectGUID * と入力します。
-
マッピングテーブルの発信クレームタイプ列で、ドロップダウンリストから * 名前 ID * を選択します。
-
[完了]をクリックし、[OK]をクリックします。
-
-
証明書利用者信頼を右クリックしてプロパティを開きます。
-
[* Endpoints] タブで、シングルログアウト( SLO )のエンドポイントを設定します。
-
* SAMLの追加*をクリックします。
-
[* Endpoint Type*>*SAML Logout*] を選択します。
-
「 * Binding * > * Redirect * 」を選択します。
-
[Trusted URL] フィールドに、この管理ノードからのシングルログアウト( SLO )に使用する URL を入力します。
https://Admin_Node_FQDN/api/saml-logout
の場合 `Admin_Node_FQDN`をクリックし、管理ノードの完全修飾ドメイン名を入力します。(必要に応じて、ノードの IP アドレスを代わりに使用できます。ただし、 IP アドレスを入力した場合、その IP アドレスが変わったときには証明書利用者信頼を更新または再作成する必要があります)。
-
[OK] をクリックします。
-
-
[* Signature*] タブで、この証明書利用者信頼の署名証明書を指定します。
-
カスタム証明書を追加します。
-
StorageGRID にアップロードしたカスタム管理証明書がある場合は、その証明書を選択します。
-
カスタム証明書がない場合は、管理ノードにログインしてに進みます
/var/local/mgmt-api
管理ノードのディレクトリにを追加しますcustom-server.crt
証明書ファイル。*注:*管理ノードのデフォルト証明書を使用 (
server.crt
)は推奨されません。管理ノードで障害が発生した場合、ノードをリカバリする際にデフォルトの証明書が再生成されるため、証明書利用者信頼を更新する必要があります。
-
-
[*適用(Apply)]をクリックし、[OK]をクリックします。
証明書利用者のプロパティが保存されて閉じられます。
-
-
上記の手順を繰り返して、 StorageGRID システム内のすべての管理ノードに対して証明書利用者信頼を設定します。
-
完了したら、StorageGRID およびに戻ります "すべての証明書利用者信頼をテストします" 正しく設定されていることを確認します。