アカウント パートナーの追加ウィザードを使用して、新しいアカウント パートナーを手動で追加したり、ポリシー ファイルのインポートによって追加することができます。この操作により、アカウント パートナー内のユーザー アカウントは、フェデレーション サービスによって保護されている Web アプリケーションにアクセスできるようになります。今回のバージョンの Active Directory フェデレーション サービス (AD FS) で強化されたインポート機能の詳細については、Windows Server 2008 における AD FS の最新機能に関するページ (英語の可能性あり) (
この手順を実行するには、ローカルの Administrators グループのメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。 適切なアカウントおよびグループ メンバーシップの使用の詳細については、
アカウント パートナーを手動で追加する
アカウント パートナーを手動で追加するには、次の手順を実行します。
アカウント パートナーを手動で追加するには |
[スタート] ボタンをクリックし、[管理ツール] をクリックして、[Active Directory フェデレーション サービス] をクリックします。
コンソール ツリーで、[フェデレーション サービス]、[信頼ポリシー]、[パートナーの組織] の順にダブルクリックします。
[アカウント パートナー] を右クリックし、[新規作成] をクリックして、[アカウント パートナー] をクリックします。
[アカウント パートナー追加のウィザードの開始] ページで、[次へ] をクリックします。
[ポリシー ファイルのインポート] ページで、[いいえ]、[次へ] の順にクリックします。
[アカウント パートナーの詳細] ページで、次の操作を行い、[次へ] をクリックします。
-
[表示名] に、アカウント パートナーの表示名を入力します。
-
[フェデレーション サービスの URI] に、フェデレーション サービスの Uniform Resource Identifier (URI) を入力します。
-
[フェデレーション サービス エンドポイントの URL] に、フェデレーション サービスの Uniform Resource Locator (URL) を入力します。
-
[表示名] に、アカウント パートナーの表示名を入力します。
[アカウント パートナーの検証証明書] ページで、検証証明書のパスを入力するか、検証証明書を参照して選択し、[次へ] をクリックします。
[フェデレーションのシナリオ] ページで、次のいずれかの操作を行い、[次へ] をクリックします。
-
別の組織とフェデレーションの信頼を確立している場合や、既存のフォレストの信頼を使用しない場合は、[フェデレーション Web SSO] をクリックし、手順 10 に進みます。
-
同じ組織内でフェデレーションの信頼を確立し、両方が既にフォレストの信頼を共有している場合は、[フォレストの信頼のあるフェデレーション Web SSO] をクリックします。
-
別の組織とフェデレーションの信頼を確立している場合や、既存のフォレストの信頼を使用しない場合は、[フェデレーション Web SSO] をクリックし、手順 10 に進みます。
[フォレストの信頼のあるフェデレーション Web SSO] ページで、次のいずれかの操作を行い、[次へ] をクリックします。
-
このアカウント パートナーによって信頼されているすべてのドメイン内のユーザーを受け入れるには、[すべての AD DS ドメインおよびフォレスト] をクリックします。これで、このアカウント パートナーから認証を受けることができるすべてのユーザーが受け入れられます。
-
このアカウント パートナーによって信頼されている特定のドメインに配置されたユーザー アカウントを受け入れるには、[AD DS ドメインおよびフォレストの指定] をクリックします。次に、[信頼する新規の AD DS ドメインまたはフォレスト] に、ドメインまたはフォレストの名前を入力し、[追加] をクリックします。これで、指定されたドメインのユーザーのみが受け入れられます。
-
このアカウント パートナーによって信頼されているすべてのドメイン内のユーザーを受け入れるには、[すべての AD DS ドメインおよびフォレスト] をクリックします。これで、このアカウント パートナーから認証を受けることができるすべてのユーザーが受け入れられます。
[アカウント パートナー ID 要求] ページで、リソース パートナーと共有する 1 つまたは複数の ID 要求を選択し、[次へ] をクリックします。
-
リソース パートナーが承認の判断を行うためにユーザー プリンシパル名 (UPN) 要求を必要とする場合は、[UPN 要求] チェック ボックスをオンにします。
重要 UPN 要求または電子メール要求を使用して承認の判断を行う場合、各アカウント パートナーは、固有の UPN サフィックスまたは電子メール サフィックスを保持している必要があります。2 つのアカウント パートナーが同じ UPN サフィックスまたは電子メール サフィックスを保持している場合は、ユーザーを一意に識別できないことがあります。このような状況では、あるアカウント パートナーのユーザーに、異なるアカウント パートナーのユーザー向けのアクセス許可が付与されてしまうことがあります。さらにこのような状況では、管理者がユーザー アカウントを不正に作成し、他のいずれかのアカウント パートナーのユーザーを偽装することが可能になるため、重大なセキュリティの脆弱性が発生する可能性もあります。
注 [フォレストの信頼のあるフェデレーション Web SSO] シナリオを選択した場合、[UPN 要求] オプションが選択されますが、構成はできません。これは、UPN 要求がこのシナリオに必要であるためです。
-
リソース パートナーが承認の判断を行うために電子メールの要求を必要とする場合は、[電子メールの要求] チェック ボックスをオンにします。
-
リソース パートナーが承認の判断を行うために共通名の要求を必要とする場合は、[共通名の要求] チェック ボックスをオンにします。
-
リソース パートナーが承認の判断を行うためにユーザー プリンシパル名 (UPN) 要求を必要とする場合は、[UPN 要求] チェック ボックスをオンにします。
[受け取る UPN のサフィックス] ページで、ID 要求として [UPN 要求] を選択した場合は、次のいずれかの操作を行い、[次へ] をクリックします。
-
[フォレストの信頼のあるフェデレーション Web SSO] オプションを選択した場合は、[すべての UPN のサフィックス] をクリックするか、[次の一覧からのサフィックスのみ] をクリックして受け取るサフィックスを入力し、[追加] をクリックします。
-
[フェデレーション Web SSO] オプションを選択した場合は、[新しいサフィックスの追加] で、受け取るサフィックスを入力し、[追加] をクリックします。
-
[フォレストの信頼のあるフェデレーション Web SSO] オプションを選択した場合は、[すべての UPN のサフィックス] をクリックするか、[次の一覧からのサフィックスのみ] をクリックして受け取るサフィックスを入力し、[追加] をクリックします。
[受け取る電子メールのサフィックス] ページで、ID 要求として [電子メールの要求] を選択した場合は、次のいずれかの操作を行い、[次へ] をクリックします。
-
[フォレストの信頼のあるフェデレーション Web SSO] オプションを選択した場合は、[すべての電子メールのサフィックス] をクリックするか、[次の一覧からのサフィックスのみ] をクリックして受け取るサフィックスを入力し、[追加] をクリックします。
-
[フェデレーション Web SSO] オプションを選択した場合は、[新しいサフィックスの追加] で、受け取るサフィックスを入力し、[追加] をクリックします。
注 共通名の要求では、追加の情報は必要ありません。
-
[フォレストの信頼のあるフェデレーション Web SSO] オプションを選択した場合は、[すべての電子メールのサフィックス] をクリックするか、[次の一覧からのサフィックスのみ] をクリックして受け取るサフィックスを入力し、[追加] をクリックします。
アカウント パートナーをすぐには有効にしない場合は、[このアカウント パートナーを有効にする] ページで、[このアカウント パートナーを有効にする] チェック ボックスをオフにし、[次へ] をクリックします。
新しいアカウント パートナーを追加して、ウィザードを終了するには、[完了] をクリックします。
ポリシー ファイルをインポートすることによってアカウント パートナーを追加する
ポリシー ファイルをインポートすることによってアカウント パートナーを追加するには、次の手順を実行します。
ポリシー ファイルをインポートすることによってアカウント パートナーを追加するには |
[スタート] ボタンをクリックし、[管理ツール] をクリックして、[Active Directory フェデレーション サービス] をクリックします。
コンソール ツリーで、[フェデレーション サービス]、[信頼ポリシー]、[パートナーの組織] の順にダブルクリックします。
[アカウント パートナー] を右クリックし、[新規作成] をクリックして、[アカウント パートナー] をクリックします。
[アカウント パートナー追加のウィザードの開始] ページで、[次へ] をクリックします。
[ポリシー ファイルのインポート] ページで、次の操作を行い、[次へ] をクリックします。
-
[はい] をクリックします。
-
[パートナー相互運用性ポリシー ファイル] で、アカウント パートナー ポリシー ファイルの場所を参照して選択するか、入力します。
-
[はい] をクリックします。
[アカウント パートナーの詳細] ページの [表示名] で、アカウント パートナーの表示名を入力し、インポートしたパートナーのその他の設定が正しいことを確認して、[次へ] をクリックします。
[アカウント パートナーの検証証明書] ページで、次のいずれかの操作を行い、[次へ] をクリックします。
-
[ポリシー ファイルのインポートで検証証明書を使用する] をクリックします。
-
[検証証明書を使用する] をクリックし、証明書の場所を入力するか、[参照] をクリックして選択します。
-
[ポリシー ファイルのインポートで検証証明書を使用する] をクリックします。
[フェデレーションのシナリオ] ページで、次のいずれかの操作を行い、[次へ] をクリックします。
-
別の組織とフェデレーションの信頼を確立している場合や、既存のフォレストの信頼を使用しない場合は、[フェデレーション Web SSO] をクリックし、手順 10 に進みます。
-
同じ組織内でフェデレーションの信頼を確立し、両方が既にフォレストの信頼を共有している場合は、[フォレストの信頼のあるフェデレーション Web SSO] をクリックします。
-
別の組織とフェデレーションの信頼を確立している場合や、既存のフォレストの信頼を使用しない場合は、[フェデレーション Web SSO] をクリックし、手順 10 に進みます。
[フォレストの信頼のあるフェデレーション Web SSO] ページで、次のいずれかの操作を行い、[次へ] をクリックします。
-
このアカウント パートナーによって信頼されているすべてのドメイン内のユーザーを受け入れるには、[すべての AD DS ドメインおよびフォレスト] をクリックします。これで、このアカウント パートナーから認証を受けることができるすべてのユーザーが受け入れられます。
-
このアカウント パートナーによって信頼されている特定のドメインに配置されたユーザー アカウントを受け入れるには、[AD DS ドメインおよびフォレストの指定] をクリックします。次に、[信頼する新規の AD DS ドメインまたはフォレスト] に、ドメインまたはフォレストの名前を入力し、[追加] をクリックします。これで、指定されたドメインのユーザーのみが受け入れられます。
-
このアカウント パートナーによって信頼されているすべてのドメイン内のユーザーを受け入れるには、[すべての AD DS ドメインおよびフォレスト] をクリックします。これで、このアカウント パートナーから認証を受けることができるすべてのユーザーが受け入れられます。
[アカウント パートナー ID 要求] ページで、このパートナーが提供する 1 つまたは複数の ID 要求を選択し、[次へ] をクリックします。
-
リソース パートナーが承認の判断を行うために UPN 要求を必要とする場合は、[UPN 要求] チェック ボックスをオンにします。
重要 UPN 要求または電子メール要求を使用して承認の判断を行う場合、各アカウント パートナーは、固有の UPN サフィックスまたは電子メール サフィックスを保持している必要があります。2 つのアカウント パートナーが同じ UPN サフィックスまたは電子メール サフィックスを保持している場合は、ユーザーを一意に識別できないことがあります。このような状況では、あるアカウント パートナーのユーザーに、異なるアカウント パートナーのユーザー向けのアクセス許可が付与されてしまうことがあります。さらにこのような状況では、管理者がユーザー アカウントを不正に作成し、他のいずれかのアカウント パートナーのユーザーを偽装することが可能になるため、重大なセキュリティの脆弱性が発生する可能性もあります。
注 [フォレストの信頼のあるフェデレーション Web SSO] シナリオを選択した場合、[UPN 要求] チェック ボックスが選択され、構成できません。これは、UPN 要求がこのシナリオに必要であるためです。
-
リソース パートナーが承認の判断を行うために電子メールの要求を必要とする場合は、[電子メールの要求] チェック ボックスをオンにします。
-
リソース パートナーが承認の判断を行うために共通名の要求を必要とする場合は、[共通名の要求] チェック ボックスをオンにします。
-
リソース パートナーが承認の判断を行うために UPN 要求を必要とする場合は、[UPN 要求] チェック ボックスをオンにします。
[受け取る UPN のサフィックス] ページで、ID 要求として [UPN 要求] を選択した場合は、次のいずれかの操作を行い、[次へ] をクリックします。
-
[フォレストの信頼のあるフェデレーション Web SSO] オプションを選択した場合は、[すべての UPN のサフィックス] をクリックするか、[次の一覧からのサフィックスのみ] をクリックして受け取るサフィックスを入力し、[追加] をクリックします。
-
[フェデレーション Web SSO] オプションを選択した場合は、[新しいサフィックスの追加] で、受け取るサフィックスを入力し、[追加] をクリックします。
-
[フォレストの信頼のあるフェデレーション Web SSO] オプションを選択した場合は、[すべての UPN のサフィックス] をクリックするか、[次の一覧からのサフィックスのみ] をクリックして受け取るサフィックスを入力し、[追加] をクリックします。
[受け取る電子メールのサフィックス] ページで、ID 要求として [電子メールの要求] を選択した場合は、次のいずれかの操作を行い、[次へ] をクリックします。
-
[フォレストの信頼のあるフェデレーション Web SSO] オプションを選択した場合は、[すべての電子メールのサフィックス] をクリックするか、[次の一覧からのサフィックスのみ] をクリックして受け取るサフィックスを入力し、[追加] をクリックします。
-
[フェデレーション Web SSO] オプションを選択した場合は、[新しいサフィックスの追加] で、受け取るサフィックスを入力し、[追加] をクリックします。
-
[フォレストの信頼のあるフェデレーション Web SSO] オプションを選択した場合は、[すべての電子メールのサフィックス] をクリックするか、[次の一覧からのサフィックスのみ] をクリックして受け取るサフィックスを入力し、[追加] をクリックします。
アカウント パートナーをすぐには有効にしない場合は、[このアカウント パートナーを有効にする] ページで、[このアカウント パートナーを有効にする] チェック ボックスをオフにし、[次へ] をクリックします。
新しいアカウント パートナーを追加して、ウィザードを終了するには、[完了] をクリックします。
インポートしたアカウント パートナーの名前を変更する
インポートしたアカウント パートナーの名前を変更するには、次の手順を実行します。
インポートしたアカウント パートナーの名前を変更するには |
[スタート] ボタンをクリックし、[管理ツール] をクリックして、[Active Directory フェデレーション サービス] をクリックします。
コンソール ツリーで、[フェデレーション サービス]、[信頼ポリシー]、[パートナーの組織]、[アカウント パートナー] の順にダブルクリックします。
アカウント パートナーを右クリックし、[名前の変更] をクリックします。
アカウント パートナーの新しい名前を入力します。