Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

AD FS で証明書利用者信頼を作成する

PDF

システム内の各管理ノードに対して証明書利用者信頼を作成するには、Active Directory フェデレーション サービス (AD FS) を使用する必要があります。 PowerShell コマンドを使用するか、 StorageGRIDから SAML メタデータをインポートするか、データを手動で入力することで、証明書利用者信頼を作成できます。

開始する前に

  • StorageGRIDのシングル サインオンを構成し、SSO タイプとして AD FS を選択しました。

  • グリッド マネージャーのシングル サインオン ページで サンドボックス モード が選択されています。見る"サンドボックスモードを使用する"

  • システム内の各管理ノードの完全修飾ドメイン名 (または IP アドレス) と証明書利用者識別子がわかっています。これらの値は、StorageGRIDシングル サインオン ページの管理ノードの詳細テーブルで確認できます。

    メモ StorageGRIDシステム内の各管理ノードに対して、証明書利用者信頼を作成する必要があります。各管理ノードに証明書利用者信頼を設定することで、ユーザーはどの管理ノードに対しても安全にサインインおよびサインアウトできるようになります。

  • AD FS で証明書利用者信頼を作成した経験があるか、Microsoft AD FS ドキュメントにアクセスできる必要があります。

  • AD FS 管理スナップインを使用しており、Administrators グループに属しています。

  • 証明書利用者信頼を手動で作成する場合は、 StorageGRID管理インターフェイス用にアップロードされたカスタム証明書があるか、コマンド シェルから管理ノードにログインする方法を知っている必要があります。

タスク概要

これらの手順は、Windows Server 2016 AD FS に適用されます。異なるバージョンの AD FS を使用している場合は、手順が若干異なります。ご質問がある場合は、Microsoft AD FS のドキュメントを参照してください。

Windows PowerShell を使用して証明書利用者信頼を作成する

Windows PowerShell を使用すると、1 つ以上の証明書利用者信頼をすばやく作成できます。

手順

  1. Windows のスタート メニューから、PowerShell アイコンを右クリックし、[管理者として実行] を選択します。

  2. PowerShell コマンド プロンプトで、次のコマンドを入力します。

    Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"

    • のために Admin_Node_Identifier、シングル サインオン ページに表示されるとおりに、管理ノードの証明書利用者識別子を入力します。例: SG-DC1-ADM1

    • のために Admin_Node_FQDN、同じ管理ノードの完全修飾ドメイン名を入力します。 (必要に応じて、代わりにノードの IP アドレスを使用することもできます。ただし、ここに IP アドレスを入力する場合、その IP アドレスが変更されたときにはこの証明書利用者信頼を更新または再作成する必要があることに注意してください。

  3. Windows Server Manager から、[ツール] > [AD FS 管理] を選択します。

    AD FS 管理ツールが表示されます。

  4. AD FS > 証明書利用者信頼 を選択します。

    証明書利用者信頼のリストが表示されます。

  5. 新しく作成された証明書利用者信頼にアクセス制御ポリシーを追加します。

    1. 先ほど作成した証明書利用者信頼を見つけます。

    2. 信頼を右クリックし、[アクセス制御ポリシーの編集] を選択します。

    3. アクセス制御ポリシーを選択します。

    4. *適用*を選択し、*OK*を選択します。

  6. 新しく作成された証明書利用者信頼にクレーム発行ポリシーを追加します。

    1. 先ほど作成した証明書利用者信頼を見つけます。

    2. 信頼を右クリックし、[クレーム発行ポリシーの編集] を選択します。

    3. *ルールを追加*を選択します。

    4. [ルール テンプレートの選択] ページで、リストから [LDAP 属性をクレームとして送信] を選択し、[次へ] を選択します。

    5. 「ルールの構成」ページで、このルールの表示名を入力します。

      たとえば、ObjectGUID から Name ID または UPN から Name ID です。

    6. 属性ストアには、Active Directory を選択します。

    7. マッピング テーブルの LDAP 属性列に objectGUID と入力するか、User-Principal-Name を選択します。

    8. マッピング テーブルの [送信クレーム タイプ] 列で、ドロップダウン リストから [名前 ID] を選択します。

    9. *完了*を選択し、*OK*を選択します。

  7. メタデータが正常にインポートされたことを確認します。

    1. 証明書利用者信頼を右クリックして、そのプロパティを開きます。

    2. エンドポイント識別子、*署名*タブのフィールドに値が入力されていることを確認します。

      メタデータが見つからない場合、フェデレーション メタデータ アドレスが正しいことを確認するか、値を手動で入力します。

  8. これらの手順を繰り返して、 StorageGRIDシステム内のすべての管理ノードに対して証明書利用者信頼を構成します。

  9. 完了したら、 StorageGRIDに戻り、すべての証明書利用者信頼をテストして、正しく構成されていることを確認します。見る"サンドボックスモードを使用する"手順についてはこちらをご覧ください。

フェデレーション メタデータをインポートして証明書利用者信頼を作成する

各管理ノードの SAML メタデータにアクセスすることで、各証明書利用者信頼の値をインポートできます。

手順

  1. Windows Server Manager で、[ツール] を選択し、[AD FS 管理] を選択します。

  2. [アクション] の下で、[証明書利用者信頼の追加] を選択します。

  3. [ようこそ] ページで、[クレーム対応] を選択し、[開始*] を選択します。

  4. オンラインまたはローカル ネットワークで公開されている証明書利用者に関するデータをインポートする を選択します。

  5. フェデレーション メタデータ アドレス (ホスト名または URL) に、この管理ノードの SAML メタデータの場所を入力します。

    https://Admin_Node_FQDN/api/saml-metadata

    のために Admin_Node_FQDN、同じ管理ノードの完全修飾ドメイン名を入力します。 (必要に応じて、代わりにノードの IP アドレスを使用することもできます。ただし、ここに IP アドレスを入力する場合、その IP アドレスが変更されたときにはこの証明書利用者信頼を更新または再作成する必要があることに注意してください。

  6. 証明書利用者信頼ウィザードを完了し、証明書利用者信頼を保存して、ウィザードを閉じます。

    メモ 表示名を入力するときは、グリッド マネージャーのシングル サインオン ページに表示されるとおりに、管理ノードの依存パーティ識別子を使用します。例: SG-DC1-ADM1

  7. クレームルールを追加します。

    1. 信頼を右クリックし、[クレーム発行ポリシーの編集] を選択します。

    2. *ルールを追加*を選択します:

    3. [ルール テンプレートの選択] ページで、リストから [LDAP 属性をクレームとして送信] を選択し、[次へ] を選択します。

    4. 「ルールの構成」ページで、このルールの表示名を入力します。

      たとえば、ObjectGUID から Name ID または UPN から Name ID です。

    5. 属性ストアには、Active Directory を選択します。

    6. マッピング テーブルの LDAP 属性列に objectGUID と入力するか、User-Principal-Name を選択します。

    7. マッピング テーブルの [送信クレーム タイプ] 列で、ドロップダウン リストから [名前 ID] を選択します。

    8. *完了*を選択し、*OK*を選択します。

  8. メタデータが正常にインポートされたことを確認します。

    1. 証明書利用者信頼を右クリックして、そのプロパティを開きます。

    2. エンドポイント識別子、*署名*タブのフィールドに値が入力されていることを確認します。

      メタデータが見つからない場合、フェデレーション メタデータ アドレスが正しいことを確認するか、値を手動で入力します。

  9. これらの手順を繰り返して、 StorageGRIDシステム内のすべての管理ノードに対して証明書利用者信頼を構成します。

  10. 完了したら、 StorageGRIDに戻り、すべての証明書利用者信頼をテストして、正しく構成されていることを確認します。見る"サンドボックスモードを使用する"手順についてはこちらをご覧ください。

証明書利用者信頼を手動で作成する

依存部分信頼のデータをインポートしない場合は、値を手動で入力できます。

手順

  1. Windows Server Manager で、[ツール] を選択し、[AD FS 管理] を選択します。

  2. [アクション] の下で、[証明書利用者信頼の追加] を選択します。

  3. [ようこそ] ページで、[クレーム対応] を選択し、[開始*] を選択します。

  4. *証明書利用者に関するデータを手動で入力*を選択し、*次へ*を選択します。

  5. 証明書利用者信頼ウィザードを完了します。

    1. この管理ノードの表示名を入力します。

      一貫性を保つために、グリッド マネージャーのシングル サインオン ページに表示されるとおりに、管理ノードの依存パーティ ID を使用します。例: SG-DC1-ADM1

    2. オプションのトークン暗号化証明書を構成する手順をスキップします。

    3. [URL の構成] ページで、[SAML 2.0 WebSSO プロトコルのサポートを有効にする] チェックボックスをオンにします。

    4. 管理ノードの SAML サービス エンドポイント URL を入力します。

      https://Admin_Node_FQDN/api/saml-response

      のために Admin_Node_FQDN、管理ノードの完全修飾ドメイン名を入力します。 (必要に応じて、代わりにノードの IP アドレスを使用することもできます。ただし、ここに IP アドレスを入力する場合、その IP アドレスが変更されたときにはこの証明書利用者信頼を更新または再作成する必要があることに注意してください。

    5. 「識別子の構成」ページで、同じ管理ノードの依存パーティ識別子を指定します。

      Admin_Node_Identifier

      のために Admin_Node_Identifier、シングル サインオン ページに表示されるとおりに、管理ノードの証明書利用者識別子を入力します。例: SG-DC1-ADM1

    6. 設定を確認し、証明書利用者信頼を保存して、ウィザードを閉じます。

      [クレーム発行ポリシーの編集] ダイアログ ボックスが表示されます。

    メモ ダイアログ ボックスが表示されない場合は、信頼を右クリックし、[クレーム発行ポリシーの編集] を選択します。

  6. クレーム ルール ウィザードを開始するには、[ルールの追加] を選択します。

    1. [ルール テンプレートの選択] ページで、リストから [LDAP 属性をクレームとして送信] を選択し、[次へ] を選択します。

    2. 「ルールの構成」ページで、このルールの表示名を入力します。

      たとえば、ObjectGUID から Name ID または UPN から Name ID です。

    3. 属性ストアには、Active Directory を選択します。

    4. マッピング テーブルの LDAP 属性列に objectGUID と入力するか、User-Principal-Name を選択します。

    5. マッピング テーブルの [送信クレーム タイプ] 列で、ドロップダウン リストから [名前 ID] を選択します。

    6. *完了*を選択し、*OK*を選択します。

  7. 証明書利用者信頼を右クリックして、そのプロパティを開きます。

  8. エンドポイント タブで、シングル ログアウト (SLO) のエンドポイントを構成します。

    1. *SAML の追加*を選択します。

    2. エンドポイント タイプ > SAML ログアウト を選択します。

    3. バインド > *リダイレクト*を選択します。

    4. 信頼できる URL フィールドに、この管理ノードからのシングル ログアウト (SLO) に使用する URL を入力します。

      https://Admin_Node_FQDN/api/saml-logout

    のために Admin_Node_FQDN、管理ノードの完全修飾ドメイン名を入力します。 (必要に応じて、代わりにノードの IP アドレスを使用することもできます。ただし、ここに IP アドレスを入力する場合、その IP アドレスが変更されたときにはこの証明書利用者信頼を更新または再作成する必要があることに注意してください。

    1. 「OK」を選択します。

  9. *署名*タブで、この証明書利用者信頼の署名証明書を指定します。

    1. カスタム証明書を追加します。

      • StorageGRIDにアップロードしたカスタム管理証明書がある場合は、その証明書を選択します。

      • カスタム証明書をお持ちでない場合は、管理ノードにログインし、 `/var/local/mgmt-api`管理ノードのディレクトリに `custom-server.crt`証明書ファイル。

        メモ 管理ノードのデフォルト証明書を使用する(server.crt)は推奨されません。管理ノードに障害が発生した場合、ノードを回復するとデフォルトの証明書が再生成されるため、証明書利用者信頼を更新する必要があります。

    2. *適用*を選択し、*OK*を選択します。

      依存パーティのプロパティが保存され、閉じられます。

  10. これらの手順を繰り返して、 StorageGRIDシステム内のすべての管理ノードに対して証明書利用者信頼を構成します。

  11. 完了したら、 StorageGRIDに戻り、すべての証明書利用者信頼をテストして、正しく構成されていることを確認します。見る"サンドボックスモードを使用する"手順についてはこちらをご覧ください。