アカウント パートナーの追加ウィザードを使用して、新しいアカウント パートナーを手動で追加したり、ポリシー ファイルのインポートによって追加することができます。この操作により、アカウント パートナー内のユーザー アカウントは、フェデレーション サービスによって保護されている Web アプリケーションにアクセスできるようになります。今回のバージョンの Active Directory フェデレーション サービス (AD FS) で強化されたインポート機能の詳細については、Windows Server 2008 における AD FS の最新機能に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=85684) を参照してください。

この手順を実行するには、ローカルの Administrators グループのメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。 適切なアカウントおよびグループ メンバーシップの使用の詳細については、https://go.microsoft.com/fwlink/?LinkId=83477 (英語の可能性あり) をご確認ください。

アカウント パートナーを手動で追加する

アカウント パートナーを手動で追加するには、次の手順を実行します。

アカウント パートナーを手動で追加するには
  1. [スタート] ボタンをクリックし、[管理ツール] をクリックして、[Active Directory フェデレーション サービス] をクリックします。

  2. コンソール ツリーで、[フェデレーション サービス]、[信頼ポリシー]、[パートナーの組織] の順にダブルクリックします。

  3. [アカウント パートナー] を右クリックし、[新規作成] をクリックして、[アカウント パートナー] をクリックします。

  4. [アカウント パートナー追加のウィザードの開始] ページで、[次へ] をクリックします。

  5. [ポリシー ファイルのインポート] ページで、[いいえ]、[次へ] の順にクリックします。

  6. [アカウント パートナーの詳細] ページで、次の操作を行い、[次へ] をクリックします。

    • [表示名] に、アカウント パートナーの表示名を入力します。

    • [フェデレーション サービスの URI] に、フェデレーション サービスの Uniform Resource Identifier (URI) を入力します。

    • [フェデレーション サービス エンドポイントの URL] に、フェデレーション サービスの Uniform Resource Locator (URL) を入力します。

  7. [アカウント パートナーの検証証明書] ページで、検証証明書のパスを入力するか、検証証明書を参照して選択し、[次へ] をクリックします。

  8. [フェデレーションのシナリオ] ページで、次のいずれかの操作を行い、[次へ] をクリックします。

    • 別の組織とフェデレーションの信頼を確立している場合や、既存のフォレストの信頼を使用しない場合は、[フェデレーション Web SSO] をクリックし、手順 10 に進みます。

    • 同じ組織内でフェデレーションの信頼を確立し、両方が既にフォレストの信頼を共有している場合は、[フォレストの信頼のあるフェデレーション Web SSO] をクリックします。

  9. [フォレストの信頼のあるフェデレーション Web SSO] ページで、次のいずれかの操作を行い、[次へ] をクリックします。

    • このアカウント パートナーによって信頼されているすべてのドメイン内のユーザーを受け入れるには、[すべての AD DS ドメインおよびフォレスト] をクリックします。これで、このアカウント パートナーから認証を受けることができるすべてのユーザーが受け入れられます。

    • このアカウント パートナーによって信頼されている特定のドメインに配置されたユーザー アカウントを受け入れるには、[AD DS ドメインおよびフォレストの指定] をクリックします。次に、[信頼する新規の AD DS ドメインまたはフォレスト] に、ドメインまたはフォレストの名前を入力し、[追加] をクリックします。これで、指定されたドメインのユーザーのみが受け入れられます。

  10. [アカウント パートナー ID 要求] ページで、リソース パートナーと共有する 1 つまたは複数の ID 要求を選択し、[次へ] をクリックします。

    • リソース パートナーが承認の判断を行うためにユーザー プリンシパル名 (UPN) 要求を必要とする場合は、[UPN 要求] チェック ボックスをオンにします。

    重要

    UPN 要求または電子メール要求を使用して承認の判断を行う場合、各アカウント パートナーは、固有の UPN サフィックスまたは電子メール サフィックスを保持している必要があります。2 つのアカウント パートナーが同じ UPN サフィックスまたは電子メール サフィックスを保持している場合は、ユーザーを一意に識別できないことがあります。このような状況では、あるアカウント パートナーのユーザーに、異なるアカウント パートナーのユーザー向けのアクセス許可が付与されてしまうことがあります。さらにこのような状況では、管理者がユーザー アカウントを不正に作成し、他のいずれかのアカウント パートナーのユーザーを偽装することが可能になるため、重大なセキュリティの脆弱性が発生する可能性もあります。

    [フォレストの信頼のあるフェデレーション Web SSO] シナリオを選択した場合、[UPN 要求] オプションが選択されますが、構成はできません。これは、UPN 要求がこのシナリオに必要であるためです。

    • リソース パートナーが承認の判断を行うために電子メールの要求を必要とする場合は、[電子メールの要求] チェック ボックスをオンにします。

    • リソース パートナーが承認の判断を行うために共通名の要求を必要とする場合は、[共通名の要求] チェック ボックスをオンにします。

  11. [受け取る UPN のサフィックス] ページで、ID 要求として [UPN 要求] を選択した場合は、次のいずれかの操作を行い、[次へ] をクリックします。

    • [フォレストの信頼のあるフェデレーション Web SSO] オプションを選択した場合は、[すべての UPN のサフィックス] をクリックするか、[次の一覧からのサフィックスのみ] をクリックして受け取るサフィックスを入力し、[追加] をクリックします。

    • [フェデレーション Web SSO] オプションを選択した場合は、[新しいサフィックスの追加] で、受け取るサフィックスを入力し、[追加] をクリックします。

  12. [受け取る電子メールのサフィックス] ページで、ID 要求として [電子メールの要求] を選択した場合は、次のいずれかの操作を行い、[次へ] をクリックします。

    • [フォレストの信頼のあるフェデレーション Web SSO] オプションを選択した場合は、[すべての電子メールのサフィックス] をクリックするか、[次の一覧からのサフィックスのみ] をクリックして受け取るサフィックスを入力し、[追加] をクリックします。

    • [フェデレーション Web SSO] オプションを選択した場合は、[新しいサフィックスの追加] で、受け取るサフィックスを入力し、[追加] をクリックします。

    共通名の要求では、追加の情報は必要ありません。

  13. アカウント パートナーをすぐには有効にしない場合は、[このアカウント パートナーを有効にする] ページで、[このアカウント パートナーを有効にする] チェック ボックスをオフにし、[次へ] をクリックします。

  14. 新しいアカウント パートナーを追加して、ウィザードを終了するには、[完了] をクリックします。

ポリシー ファイルをインポートすることによってアカウント パートナーを追加する

ポリシー ファイルをインポートすることによってアカウント パートナーを追加するには、次の手順を実行します。

ポリシー ファイルをインポートすることによってアカウント パートナーを追加するには
  1. [スタート] ボタンをクリックし、[管理ツール] をクリックして、[Active Directory フェデレーション サービス] をクリックします。

  2. コンソール ツリーで、[フェデレーション サービス]、[信頼ポリシー]、[パートナーの組織] の順にダブルクリックします。

  3. [アカウント パートナー] を右クリックし、[新規作成] をクリックして、[アカウント パートナー] をクリックします。

  4. [アカウント パートナー追加のウィザードの開始] ページで、[次へ] をクリックします。

  5. [ポリシー ファイルのインポート] ページで、次の操作を行い、[次へ] をクリックします。

    • [はい] をクリックします。

    • [パートナー相互運用性ポリシー ファイル] で、アカウント パートナー ポリシー ファイルの場所を参照して選択するか、入力します。

  6. [アカウント パートナーの詳細] ページの [表示名] で、アカウント パートナーの表示名を入力し、インポートしたパートナーのその他の設定が正しいことを確認して、[次へ] をクリックします。

  7. [アカウント パートナーの検証証明書] ページで、次のいずれかの操作を行い、[次へ] をクリックします。

    • [ポリシー ファイルのインポートで検証証明書を使用する] をクリックします。

    • [検証証明書を使用する] をクリックし、証明書の場所を入力するか、[参照] をクリックして選択します。

  8. [フェデレーションのシナリオ] ページで、次のいずれかの操作を行い、[次へ] をクリックします。

    • 別の組織とフェデレーションの信頼を確立している場合や、既存のフォレストの信頼を使用しない場合は、[フェデレーション Web SSO] をクリックし、手順 10 に進みます。

    • 同じ組織内でフェデレーションの信頼を確立し、両方が既にフォレストの信頼を共有している場合は、[フォレストの信頼のあるフェデレーション Web SSO] をクリックします。

  9. [フォレストの信頼のあるフェデレーション Web SSO] ページで、次のいずれかの操作を行い、[次へ] をクリックします。

    • このアカウント パートナーによって信頼されているすべてのドメイン内のユーザーを受け入れるには、[すべての AD DS ドメインおよびフォレスト] をクリックします。これで、このアカウント パートナーから認証を受けることができるすべてのユーザーが受け入れられます。

    • このアカウント パートナーによって信頼されている特定のドメインに配置されたユーザー アカウントを受け入れるには、[AD DS ドメインおよびフォレストの指定] をクリックします。次に、[信頼する新規の AD DS ドメインまたはフォレスト] に、ドメインまたはフォレストの名前を入力し、[追加] をクリックします。これで、指定されたドメインのユーザーのみが受け入れられます。

  10. [アカウント パートナー ID 要求] ページで、このパートナーが提供する 1 つまたは複数の ID 要求を選択し、[次へ] をクリックします。

    • リソース パートナーが承認の判断を行うために UPN 要求を必要とする場合は、[UPN 要求] チェック ボックスをオンにします。

    重要

    UPN 要求または電子メール要求を使用して承認の判断を行う場合、各アカウント パートナーは、固有の UPN サフィックスまたは電子メール サフィックスを保持している必要があります。2 つのアカウント パートナーが同じ UPN サフィックスまたは電子メール サフィックスを保持している場合は、ユーザーを一意に識別できないことがあります。このような状況では、あるアカウント パートナーのユーザーに、異なるアカウント パートナーのユーザー向けのアクセス許可が付与されてしまうことがあります。さらにこのような状況では、管理者がユーザー アカウントを不正に作成し、他のいずれかのアカウント パートナーのユーザーを偽装することが可能になるため、重大なセキュリティの脆弱性が発生する可能性もあります。

    [フォレストの信頼のあるフェデレーション Web SSO] シナリオを選択した場合、[UPN 要求] チェック ボックスが選択され、構成できません。これは、UPN 要求がこのシナリオに必要であるためです。

    • リソース パートナーが承認の判断を行うために電子メールの要求を必要とする場合は、[電子メールの要求] チェック ボックスをオンにします。

    • リソース パートナーが承認の判断を行うために共通名の要求を必要とする場合は、[共通名の要求] チェック ボックスをオンにします。

  11. [受け取る UPN のサフィックス] ページで、ID 要求として [UPN 要求] を選択した場合は、次のいずれかの操作を行い、[次へ] をクリックします。

    • [フォレストの信頼のあるフェデレーション Web SSO] オプションを選択した場合は、[すべての UPN のサフィックス] をクリックするか、[次の一覧からのサフィックスのみ] をクリックして受け取るサフィックスを入力し、[追加] をクリックします。

    • [フェデレーション Web SSO] オプションを選択した場合は、[新しいサフィックスの追加] で、受け取るサフィックスを入力し、[追加] をクリックします。

  12. [受け取る電子メールのサフィックス] ページで、ID 要求として [電子メールの要求] を選択した場合は、次のいずれかの操作を行い、[次へ] をクリックします。

    • [フォレストの信頼のあるフェデレーション Web SSO] オプションを選択した場合は、[すべての電子メールのサフィックス] をクリックするか、[次の一覧からのサフィックスのみ] をクリックして受け取るサフィックスを入力し、[追加] をクリックします。

    • [フェデレーション Web SSO] オプションを選択した場合は、[新しいサフィックスの追加] で、受け取るサフィックスを入力し、[追加] をクリックします。

  13. アカウント パートナーをすぐには有効にしない場合は、[このアカウント パートナーを有効にする] ページで、[このアカウント パートナーを有効にする] チェック ボックスをオフにし、[次へ] をクリックします。

  14. 新しいアカウント パートナーを追加して、ウィザードを終了するには、[完了] をクリックします。

インポートしたアカウント パートナーの名前を変更する

インポートしたアカウント パートナーの名前を変更するには、次の手順を実行します。

インポートしたアカウント パートナーの名前を変更するには
  1. [スタート] ボタンをクリックし、[管理ツール] をクリックして、[Active Directory フェデレーション サービス] をクリックします。

  2. コンソール ツリーで、[フェデレーション サービス]、[信頼ポリシー]、[パートナーの組織]、[アカウント パートナー] の順にダブルクリックします。

  3. アカウント パートナーを右クリックし、[名前の変更] をクリックします。

  4. アカウント パートナーの新しい名前を入力します。


目次