フェデレーション メタデータのインポートによる証明書利用者信頼の作成

各証明書利用者信頼の値をインポートするには、各管理ノードのSAMLメタデータにアクセスします。

開始する前に

タスク概要

ここに記載する手順は、Windows Server 2016に付属のAD FS 4.0での手順です。Windows Server 2012 R2に付属のAD FS 3.0を使用している場合は、手順が若干異なります。不明な点がある場合は、Microsoft AD FSのドキュメントを参照してください。

手順

  1. Windowsのサーバ マネージャで、[ツール]をクリックし、[AD FS の管理]を選択します。
  2. [操作]の下にある[証明書利用者信頼の追加]をクリックします。
  3. [ようこそ]ページで、[要求に対応する]を選択し、[開始]をクリックします。
  4. [オンラインまたはローカル ネットワークで公開されている証明書利用者についてのデータをインポートする]を選択します。
  5. [フェデレーション メタデータのアドレス (ホスト名または URL)]に、この管理ノードのSAMLメタデータの場所を入力します。https://Admin_Node_FQDN/api/saml-metadata
    Admin_Node_FQDNには、同じ管理ノードの完全修飾ドメイン名を入力します (必要に応じてノードのIPアドレスを代わりに使用できます。ただしIPアドレスを入力した場合、そのIPアドレスが変わったときには証明書利用者信頼を更新または再作成する必要があります)。
  6. 証明書利用者信頼の追加ウィザードを実行し、証明書利用者信頼を保存して、ウィザードを閉じます。
    注:表示名を入力する場合は、管理ノードの証明書利用者IDをGrid Manager[Single Sign-on]ページに表示されるとおりに入力してください。たとえば、「SG-DC1-ADM1」と入力します。
  7. 要求規則を追加します。
    1. 信頼を右クリックして、[要求発行ポリシーの編集]を選択します。
    2. [規則の追加]をクリックします。
    3. [規則テンプレートの選択]ページで、リストから[LDAP 属性を要求として送信]を選択し、[次へ]をクリックします。
    4. [規則の構成]ページで、この規則の表示名を入力します。
      たとえば、「ObjectGUID to Name ID」と入力します。
    5. [属性ストア]に[Active Directory]を選択します。
    6. [マッピング]テーブルの[LDAP 属性]列に「objectGUID」と入力します。
    7. [マッピング]テーブルの[出力方向の要求の種類]列で、ドロップダウン リストから[名前 ID]を選択します。
    8. [完了]をクリックし、[OK]をクリックします。
  8. メタデータがインポートされたことを確認します。
    1. 証明書利用者信頼を右クリックしてプロパティを開きます。
    2. [エンドポイント][識別子][署名]の各タブのフィールドに値が入力されていることを確認します。
      メタデータが見つからない場合は、[フェデレーション メタデータのアドレス]が正しいことを確認するか、手動で値を入力します。
  9. 上記の手順を繰り返して、StorageGRIDシステム内のすべての管理ノードに対して証明書利用者信頼を設定します。
  10. 完了したら、StorageGRIDに戻ってすべての証明書利用者信頼をテストし、正しく設定されていることを確認します。