証明書利用者信頼の手動作成

証明書利用者信頼のデータをインポートしないことを選択した場合は、値を手動で入力できます。

開始する前に

タスク概要

ここに記載する手順は、Windows Server 2016に付属のAD FS 4.0での手順です。Windows Server 2012 R2に付属のAD FS 3.0を使用している場合は、手順が若干異なります。不明な点がある場合は、Microsoft AD FSのドキュメントを参照してください。

手順

  1. Windowsのサーバ マネージャで、[ツール]をクリックし、[AD FS の管理]を選択します。
  2. [操作]の下にある[証明書利用者信頼の追加]をクリックします。
  3. [ようこそ]ページで、[要求に対応する]を選択し、[開始]をクリックします。
  4. [証明書利用者についてのデータを手動で入力する]を選択し、[次へ]をクリックします。
  5. 証明書利用者信頼の追加ウィザードを実行します。
    1. この管理ノードの表示名を入力します。
      一貫性を保つために、管理ノードの証明書利用者IDをGrid Manager[Single Sign-on]ページに表示されるとおりに入力してください。たとえば、「SG-DC1-ADM1」と入力します。
    2. オプションのトークン暗号化証明書を設定する手順は省略します。
    3. [URL の構成]ページで、[SAML 2.0 WebSSO プロトコルのサポートを有効にする]チェック ボックスをオンにします。
    4. 管理ノードのSAMLサービス エンドポイントのURLを入力します。https://Admin_Node_FQDN/api/saml-response
      Admin_Node_FQDNには、管理ノードの完全修飾ドメイン名を入力します (必要に応じてノードのIPアドレスを代わりに使用できます。ただしIPアドレスを入力した場合、そのIPアドレスが変わったときには証明書利用者信頼を更新または再作成する必要があります)。
    5. [識別子の構成]ページで、同じ管理ノードの証明書利用者IDを指定します。Admin_Node_Identifier
      Admin_Node_Identifierには、管理ノードの証明書利用者IDを[Single Sign-on]ページに表示されるとおりに入力します。たとえば、「SG-DC1-ADM1」と入力します。
    6. 設定を確認し、証明書利用者信頼を保存して、ウィザードを閉じます。
      [要求発行ポリシーの編集]ダイアログ ボックスが表示されます。
      注:このダイアログ ボックスが表示されない場合は、信頼を右クリックして[要求発行ポリシーの編集]を選択します。
  6. 要求規則ウィザードを開始するために、[規則の追加]をクリックします。
    1. [規則テンプレートの選択]ページで、リストから[LDAP 属性を要求として送信]を選択し、[次へ]をクリックします。
    2. [規則の構成]ページで、この規則の表示名を入力します。
      たとえば、「ObjectGUID to Name ID」と入力します。
    3. [属性ストア]に[Active Directory]を選択します。
    4. [マッピング]テーブルの[LDAP 属性]列に「objectGUID」と入力します。
    5. [マッピング]テーブルの[出力方向の要求の種類]列で、ドロップダウン リストから[名前 ID]を選択します。
    6. [完了]をクリックし、[OK]をクリックします。
  7. 証明書利用者信頼を右クリックしてプロパティを開きます。
  8. [エンドポイント]タブで、シングル ログアウト(SLO)用のエンドポイントを設定します。
    1. [SAML の追加]をクリックします。
    2. [エンドポイントの種類] > [SAML ログアウト]を選択します。
    3. [バインディング] > [リダイレクト]を選択します。
    4. [信頼された URL]フィールドに、この管理ノードからのシングル ログアウト(SLO)に使用するURLを入力します。https://Admin_Node_FQDN/api/saml-logout
      Admin_Node_FQDNには、管理ノードの完全修飾ドメイン名を入力します (必要に応じてノードのIPアドレスを代わりに使用できます。ただしIPアドレスを入力した場合、そのIPアドレスが変わったときには証明書利用者信頼を更新または再作成する必要があります)。
    5. [OK]をクリックします。
  9. [署名]タブで、この証明書利用者信頼の署名証明書を指定します。
    1. カスタム証明書を追加します。
      • StorageGRIDにアップロードしたカスタム管理証明書がある場合は、その証明書を選択します。
      • カスタム管理証明書がない場合は、管理ノードにログインして、管理ノードの/var/local/mgmt-apiディレクトリに移動し、custom-server.crt証明書ファイルを追加します。
      注:管理ノードのデフォルトの証明書(server.crt)の使用は推奨されません。管理ノードで障害が発生した場合、ノードをリカバリする際にデフォルトの証明書が再生成されるため、証明書利用者信頼を更新する必要があります。
    2. [適用]をクリックし、[OK]をクリックします。
      証明書利用者のプロパティが保存されて閉じられます。
  10. 上記の手順を繰り返して、StorageGRIDシステム内のすべての管理ノードに対して証明書利用者信頼を設定します。
  11. 完了したら、StorageGRIDに戻ってすべての証明書利用者信頼をテストし、正しく設定されていることを確認します。