AD FS に証明書利用者信頼を作成します
Active Directory フェデレーションサービス( AD FS )を使用して、システム内の管理ノードごとに証明書利用者信頼を作成する必要があります。PowerShell コマンドを使用するか、 StorageGRID から SAML メタデータをインポートするか、またはデータを手動で入力することによって、証明書利用者信頼を作成できます。
-
StorageGRID のシングルサインオンを設定し、 SSO タイプとして AD FS を選択しました。
-
* Grid Manager のシングルサインオンページでサンドボックスモード * が選択されています。を参照して "サンドボックスモードを使用する"
-
システム内の各管理ノードの完全修飾ドメイン名(または IP アドレス)と証明書利用者 ID を確認しておきます。これらの値は、 StorageGRID のシングルサインオンページの管理ノード詳細テーブルにあります。
証明書利用者信頼は StorageGRID システム内の管理ノードごとに作成する必要があります。管理ノードごとに証明書利用者信頼を作成することで、ユーザは管理ノードに対して安全にサインイン / サインアウトすることができます。 -
AD FS での証明書利用者信頼の作成経験があるか、または Microsoft AD FS のドキュメントを参照できる必要があります。
-
AD FS 管理スナップインを使用していて、 Administrators グループに属している必要があります。
-
証明書利用者信頼を手動で作成する場合は、 StorageGRID 管理インターフェイス用にカスタム証明書をアップロードするか、コマンドシェルから管理ノードにログインする方法を確認しておきます。
以下の手順は、 Windows Server 2016 AD FS に該当します。別のバージョンの AD FS を使用している場合は、手順 にわずかな違いがあります。不明な点がある場合は、 Microsoft AD FS のドキュメントを参照してください。
Windows PowerShell を使用して証明書利用者信頼を作成します
Windows PowerShell を使用して証明書利用者信頼を簡単に作成できます。
-
Windows のスタートメニューから PowerShell アイコンを右クリックし、 * 管理者として実行 * を選択します。
-
PowerShell コマンドプロンプトで、次のコマンドを入力します。
Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"
-
には
Admin_Node_Identifier
、管理ノードの証明書利用者IDを[Single Sign-on]ページに表示されるとおりに入力します。たとえば、 `SG-DC1-ADM1`です。 -
には
Admin_Node_FQDN
、同じ管理ノードの完全修飾ドメイン名を入力します。(必要に応じて、ノードの IP アドレスを代わりに使用できます。ただし、 IP アドレスを入力した場合、その IP アドレスが変わったときには証明書利用者信頼を更新または再作成する必要があります)。
-
-
Windows Server Manager で、 * Tools * > * AD FS Management * を選択します。
AD FS 管理ツールが表示されます。
-
「 * AD FS * > * 証明書利用者信頼」を選択します。
証明書利用者信頼のリストが表示されます。
-
新しく作成した証明書利用者信頼にアクセス制御ポリシーを追加します。
-
作成した証明書利用者信頼を検索します。
-
信頼を右クリックし、 * アクセス制御ポリシーの編集 * を選択します。
-
アクセス制御ポリシーを選択します。
-
[ * 適用( Apply ) ] を選択し、 [ * OK] を選択します
-
-
新しく作成した証明書利用者信頼に要求発行ポリシーを追加します。
-
作成した証明書利用者信頼を検索します。
-
信頼を右クリックし、 [ * クレーム発行ポリシーの編集 * ] を選択します。
-
[ * ルールの追加 * ] を選択します。
-
[ ルールテンプレートの選択 ] ページで、リストから [ * LDAP 属性をクレームとして送信 * ] を選択し、 [ * 次へ * ] を選択します。
-
[ ルールの設定 ] ページで、このルールの表示名を入力します。
たとえば、* ObjectGUID to Name ID*または* UPN to Name ID*などです。
-
属性ストアで、 * Active Directory * を選択します。
-
[マッピング]テーブルの[LDAP属性]列に「* objectGUID 」と入力するか、[ユーザープリンシパル名]*を選択します。
-
マッピングテーブルの発信クレームタイプ列で、ドロップダウンリストから * 名前 ID * を選択します。
-
「完了」を選択し、「 * OK 」を選択します。
-
-
メタデータが正常にインポートされたことを確認します。
-
証明書利用者信頼を右クリックしてプロパティを開きます。
-
[Endpoints] 、 [*Identifiers] 、および [Signature] タブのフィールドに値が入力されていることを確認します。
メタデータが見つからない場合は、フェデレーションメタデータのアドレスが正しいことを確認するか、値を手動で入力します。
-
-
上記の手順を繰り返して、 StorageGRID システム内のすべての管理ノードに対して証明書利用者信頼を設定します。
-
完了したら、 StorageGRID に戻ってすべての証明書利用者信頼をテストし、正しく設定されていることを確認します。手順については'を参照して "サンドボックスモードを使用する" ください
フェデレーションメタデータをインポートして、証明書利用者信頼を作成します
各証明書利用者信頼の値をインポートするには、各管理ノードの SAML メタデータにアクセスします。
-
Windows Server Manager で、 * Tools * を選択し、 * AD FS Management * を選択します。
-
Actions (アクション)で、 * Add (証明書利用者信頼の追加) * を選択します。
-
[ ようこそ ] ページで、 [ * クレーム対応 * ] を選択し、 [ 開始 * ] を選択します。
-
[ * オンラインまたはローカルネットワーク上で公開されている証明書利用者に関するデータをインポートする * ] を選択します。
-
* フェデレーションメタデータアドレス(ホスト名または URL ) * に、この管理ノードの SAML メタデータの場所を入力します。
https://Admin_Node_FQDN/api/saml-metadata
には
Admin_Node_FQDN
、同じ管理ノードの完全修飾ドメイン名を入力します。(必要に応じて、ノードの IP アドレスを代わりに使用できます。ただし、 IP アドレスを入力した場合、その IP アドレスが変わったときには証明書利用者信頼を更新または再作成する必要があります)。 -
証明書利用者信頼の追加ウィザードを実行し、証明書利用者信頼を保存して、ウィザードを閉じます。
表示名を入力するときは、管理ノードの証明書利用者 ID を使用します。これは、 Grid Manager のシングルサインオンページに表示される情報とまったく同じです。たとえば、 `SG-DC1-ADM1`です。 -
クレームルールを追加します。
-
信頼を右クリックし、 [ * クレーム発行ポリシーの編集 * ] を選択します。
-
[ * ルールを追加 * ( Add rule * ) ] を
-
[ ルールテンプレートの選択 ] ページで、リストから [ * LDAP 属性をクレームとして送信 * ] を選択し、 [ * 次へ * ] を選択します。
-
[ ルールの設定 ] ページで、このルールの表示名を入力します。
たとえば、* ObjectGUID to Name ID*または* UPN to Name ID*などです。
-
属性ストアで、 * Active Directory * を選択します。
-
[マッピング]テーブルの[LDAP属性]列に「* objectGUID 」と入力するか、[ユーザープリンシパル名]*を選択します。
-
マッピングテーブルの発信クレームタイプ列で、ドロップダウンリストから * 名前 ID * を選択します。
-
「完了」を選択し、「 * OK 」を選択します。
-
-
メタデータが正常にインポートされたことを確認します。
-
証明書利用者信頼を右クリックしてプロパティを開きます。
-
[Endpoints] 、 [*Identifiers] 、および [Signature] タブのフィールドに値が入力されていることを確認します。
メタデータが見つからない場合は、フェデレーションメタデータのアドレスが正しいことを確認するか、値を手動で入力します。
-
-
上記の手順を繰り返して、 StorageGRID システム内のすべての管理ノードに対して証明書利用者信頼を設定します。
-
完了したら、 StorageGRID に戻ってすべての証明書利用者信頼をテストし、正しく設定されていることを確認します。手順については'を参照して "サンドボックスモードを使用する" ください
証明書利用者信頼を手動で作成します
証明書利用者信頼のデータをインポートしないことを選択した場合は、値を手動で入力できます。
-
Windows Server Manager で、 * Tools * を選択し、 * AD FS Management * を選択します。
-
Actions (アクション)で、 * Add (証明書利用者信頼の追加) * を選択します。
-
[ ようこそ ] ページで、 [ * クレーム対応 * ] を選択し、 [ 開始 * ] を選択します。
-
[ * 証明書利用者に関するデータを手動で入力する * ] を選択し、 [ * 次へ * ] を選択します。
-
証明書利用者信頼の追加ウィザードを実行します。
-
この管理ノードの表示名を入力します。
整合性を確保するために、管理ノードの証明書利用者 ID を使用してください。この ID は、 Grid Manager のシングルサインオンページに表示されます。たとえば、 `SG-DC1-ADM1`です。
-
オプションのトークン暗号化証明書を設定する手順は省略してください。
-
[URLの設定]ページで、* SAML 2.0 WebSSOプロトコルのサポートを有効にする*チェックボックスをオンにします。
-
管理ノードの SAML サービスエンドポイントの URL を入力します。
https://Admin_Node_FQDN/api/saml-response
には
Admin_Node_FQDN
、管理ノードの完全修飾ドメイン名を入力します。(必要に応じて、ノードの IP アドレスを代わりに使用できます。ただし、 IP アドレスを入力した場合、その IP アドレスが変わったときには証明書利用者信頼を更新または再作成する必要があります)。 -
Configure Identifiers ページで、同じ管理ノードの証明書利用者 ID を指定します。
Admin_Node_Identifier
には
Admin_Node_Identifier
、管理ノードの証明書利用者IDを[Single Sign-on]ページに表示されるとおりに入力します。たとえば、 `SG-DC1-ADM1`です。 -
設定を確認し、証明書利用者信頼を保存して、ウィザードを閉じます。
[ クレーム発行ポリシーの編集 ] ダイアログボックスが表示されます。
ダイアログボックスが表示されない場合は、信頼を右クリックし、 * クレーム発行ポリシーの編集 * を選択します。 -
-
[ クレームルール ] ウィザードを開始するには、 [ * ルールの追加 * ] を選択します。
-
[ ルールテンプレートの選択 ] ページで、リストから [ * LDAP 属性をクレームとして送信 * ] を選択し、 [ * 次へ * ] を選択します。
-
[ ルールの設定 ] ページで、このルールの表示名を入力します。
たとえば、* ObjectGUID to Name ID*または* UPN to Name ID*などです。
-
属性ストアで、 * Active Directory * を選択します。
-
[マッピング]テーブルの[LDAP属性]列に「* objectGUID 」と入力するか、[ユーザープリンシパル名]*を選択します。
-
マッピングテーブルの発信クレームタイプ列で、ドロップダウンリストから * 名前 ID * を選択します。
-
「完了」を選択し、「 * OK 」を選択します。
-
-
証明書利用者信頼を右クリックしてプロパティを開きます。
-
[* Endpoints] タブで、シングルログアウト( SLO )のエンドポイントを設定します。
-
「 * SAML を追加」を選択します。
-
[* Endpoint Type*>*SAML Logout*] を選択します。
-
「 * Binding * > * Redirect * 」を選択します。
-
[Trusted URL] フィールドに、この管理ノードからのシングルログアウト( SLO )に使用する URL を入力します。
https://Admin_Node_FQDN/api/saml-logout
には
Admin_Node_FQDN
、管理ノードの完全修飾ドメイン名を入力します。(必要に応じて、ノードの IP アドレスを代わりに使用できます。ただし、 IP アドレスを入力した場合、その IP アドレスが変わったときには証明書利用者信頼を更新または再作成する必要があります)。-
「* OK *」を選択します。
-
-
[* Signature*] タブで、この証明書利用者信頼の署名証明書を指定します。
-
カスタム証明書を追加します。
-
StorageGRID にアップロードしたカスタム管理証明書がある場合は、その証明書を選択します。
-
カスタム証明書がない場合は、管理ノードにログインし、管理ノードのディレクトリに移動して `/var/local/mgmt-api`証明書ファイルを追加し `custom-server.crt`ます。
管理ノードのデフォルト証明書を使用する(`server.crt`ことは推奨されません。管理ノードで障害が発生した場合、ノードをリカバリする際にデフォルトの証明書が再生成されるため、証明書利用者信頼を更新する必要があります。
-
-
[ * 適用( Apply ) ] を選択し、 [ * OK] を選択します。
証明書利用者のプロパティが保存されて閉じられます。
-
-
上記の手順を繰り返して、 StorageGRID システム内のすべての管理ノードに対して証明書利用者信頼を設定します。
-
完了したら、 StorageGRID に戻ってすべての証明書利用者信頼をテストし、正しく設定されていることを確認します。手順については'を参照して "サンドボックスモードを使用する" ください