Windows PowerShellを使用した証明書利用者信頼の作成

Windows PowerShellを使用して証明書利用者信頼を簡単に作成できます。

開始する前に

タスク概要

ここに記載する手順は、Windows Server 2016に付属のAD FS 4.0での手順です。Windows Server 2012 R2に付属のAD FS 3.0を使用している場合は、手順が若干異なります。不明な点がある場合は、Microsoft AD FSのドキュメントを参照してください。

手順

  1. Windowsの[スタート]メニューで、PowerShellアイコンを右クリックして[管理者として実行]を選択します。
  2. PowerShellコマンド プロンプトで、次のコマンドを入力します。Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"
    • Admin_Node_Identifierには、管理ノードの証明書利用者IDを[Single Sign-on]ページに表示されるとおりに入力します。たとえば、「SG-DC1-ADM1」と入力します。

    • Admin_Node_FQDNには、同じ管理ノードの完全修飾ドメイン名を入力します (必要に応じてノードのIPアドレスを代わりに使用できます。ただしIPアドレスを入力した場合、そのIPアドレスが変わったときには証明書利用者信頼を更新または再作成する必要があります)。
  3. Windowsのサーバ マネージャで、[ツール] > [AD FS の管理]を選択します。
    AD FS管理ツールが表示されます。
  4. [AD FS] > [証明書利用者信頼]を選択します。
    証明書利用者信頼のリストが表示されます。
  5. 新しく作成した証明書利用者信頼にアクセス制御ポリシーを追加します。
    1. 作成した証明書利用者信頼を検索します。
    2. 信頼を右クリックして、[アクセス制御ポリシーの編集]を選択します。
    3. アクセス制御ポリシーを選択します。
    4. [適用]をクリックし、[OK]をクリックします。
  6. 新しく作成した証明書利用者信頼に要求発行ポリシーを追加します。
    1. 作成した証明書利用者信頼を検索します。
    2. 信頼を右クリックして、[要求発行ポリシーの編集]を選択します。
    3. [規則の追加]をクリックします。
    4. [規則テンプレートの選択]ページで、リストから[LDAP 属性を要求として送信]を選択し、[次へ]をクリックします。
    5. [規則の構成]ページで、この規則の表示名を入力します。
      たとえば、「ObjectGUID to Name ID」と入力します。
    6. [属性ストア]に[Active Directory]を選択します。
    7. [マッピング]テーブルの[LDAP 属性]列に「objectGUID」と入力します。
    8. [マッピング]テーブルの[出力方向の要求の種類]列で、ドロップダウン リストから[名前 ID]を選択します。
    9. [完了]をクリックし、[OK]をクリックします。
  7. メタデータがインポートされたことを確認します。
    1. 証明書利用者信頼を右クリックしてプロパティを開きます。
    2. [エンドポイント][識別子][署名]の各タブのフィールドに値が入力されていることを確認します。
      メタデータが見つからない場合は、[フェデレーション メタデータのアドレス]が正しいことを確認するか、手動で値を入力します。
  8. 上記の手順を繰り返して、StorageGRIDシステム内のすべての管理ノードに対して証明書利用者信頼を設定します。
  9. 完了したら、StorageGRIDに戻ってすべての証明書利用者信頼をテストし、正しく設定されていることを確認します。