[運用]
Windowsで構築する、クラウド・サービスと社内システムのSSO環境
――クラウド時代のアイデンティティ管理とは?――

第3回 クラウド・サービスと社内ADとのSSOを実現する(前)

1.AD FS 2.0のセットアップ

Microsoft MVP
Identity Lifecycle Manager
伊藤忠テクノソリューションズ株式会社
富士榮 尚寛
2010/09/22
Page1 Page2 Page3 Page4
クラウド・コンピューティングとアイデンティティ管理の概要
クラウド・コンピューティング時代の認証技術
第3回
 クラウド・サービスと社内ADとのSSOを実現する(前)
クラウド・サービスと社内ADとのSSOを実現する(後)

 前回はアイデンティティ連携(フェデレーション)について、その技術要素やセキュリティ・モデル、そしてマイクロソフトにおけるアーキテクチャや製品への実装について解説した。今回から2回にかけて、代表的なクラウド・サービスとActive Directoryとのフェデレーション環境を構築する手順を解説することによって、実際の利用イメージやこれまで解説してきた概念について理解を深めていただくことを目指す。

 本稿執筆時点でWindows CardSpace(InfoCard)に対応しているクラウド・サービスはそれほど多くはない。しかし、アイデンティティ・メタシステムにおける相互運用性への取り組みは、Active Directory Federation Services 2.0(AD FS 2.0)およびWindows Identity Foundation(WIF)により現状のクラウド・サービスとのシングル・サインオン(SSO)という分野で十分に発揮できる。今回と次回では、実際に次のサービスとのSSOを実現する手順を解説する。

 また、[PaaS]force.comおよび[IaaS]Amazon EC2については、参考情報を紹介する。

社内のAD FS 2.0とクラウド・サービスのシングル・サインオン

AD FS 2.0のセットアップ

 各サービスとのフェデレーション設定を行う前に、まずはアイデンティティ・プロバイダ(IdP)となるAD FS 2.0の環境を構築する。

 最初に前提となるハードウェア/ソフトウェア環境を準備する。本稿のように検証目的であれば、ドメインに参加したWindows Server 2008もしくはWindows Server 2008 R2のサーバが1台あれば十分だ(Active Directory Domain Servicesと共存も可能)。ただし、TechNetやMSDNのサブスクライバ・ダウンロードなどから入手できるWindows Server 2008 without Hyper-V版だと、インストーラのバージョン・チェックに失敗するので注意が必要だ。

 次に、AD FS 2.0をインストールするには、次のマイクロソフトのダウンロード・センターのページからセットアップ・プログラムを入手する。

 AD FS 2.0のセットアップ・プログラムは、次のようにプラットフォームごとに3種類用意されているので、インストールする環境に合致しているものを選ぶ。ダウンロードすると、いずれも「adfssetup.exe」というファイル名になるので注意する。

ダウンロード・ページの「ファイル名」欄 インストール対象プラットフォーム
RTW\W2K8\amd64\AdfsSetup.exe Windows Server 2008 x64(64bit版)
RTW\W2K8\x86\AdfsSetup.exe Windows Server 2008(32bit版)
RTW\W2K8-R2\amd64\AdfsSetup.exe Windows Server 2008 R2
AD FS 2.0のセットアップ・プログラムの種類

 また上記のダウンロード・ページを見ると以下のようなソフトウェア要件が記されている。しかしAD FS 2.0のモジュールをインストールする際、これらのように必要なモジュールはすべて自動的にインストールされるので、あらかじめインストールしておく必要はない。

  • Windows PowerShell
  • .NET Framework 3.5 Service Pack 1
  • IIS 7.0/7.5
  • Windows Identity Foundation

 ダウンロードしたセットアップ・ファイルを実行するとAD FS 2.0のインストール・ウィザードが起動する。このとき選択するべきオプションは1つだけで、「サーバーの役割」画面で「フェデレーション サーバー」を指定すれば後はデフォルトのままウィザードを進めて完了させればよい。

AD FS 2.0インストール時におけるサーバの役割の指定
インストールの際に選択する必要がある設定はこれだけで、ほかはデフォルトのままウィザードを進めればよい。
こちらを選ぶ。

 インストールが完了するとAD FS 2.0の管理コンソールが自動的に起動する。ただし、そのままフェデレーション・サーバの構成に進む前に、IISのSSLの有効化設定を行っておく必要がある(正規の証明書ではなく自己署名入り証明書でよい)。Windows Server 2008 R2のIIS 7.5を例にその手順を記す。

1.管理ツールからインターネット・インフォメーション・マネージャ(IISマネージャ)を開き、左ペインにあるサーバのアイコン(以下の)を選んで、真ん中のペインの「IIS 枠」から[サーバー証明書]をダブルクリックする。

IISマネージャから自己署名入り証明書を作成する。
AD FS 2.0ではSSLを使用するため、そのための証明書をIISであらかじめ作成しておく必要がある。
これを選ぶ。
これを選ぶ。
の後、このペインに表示されたアイコンの中からこれを見つけてダブルクリックすると、証明書を管理するための画面が表示される。

2.真ん中のペインに「サーバー証明書」が表示されたら、右ペインの操作ウィンドウから[自己署名入り証明書の作成]をクリックする。

3.証明書作成のダイアログが表示されるので、証明書のフレンドリ名を指定する。これは証明書を識別するのに便利な名前を決めて指定すればよい。これで証明書(SSL)の作業は完了だ。

 実際のフェデレーション・サーバの構成については、まず管理ツールの[AD FS 2.0 の管理]をダブルクリックして管理コンソールを起動したら、真ん中のペインの「AD FS 2.0 フェデレーション サーバーの構成ウィザード」リンクをクリックする。構成ウィザードが開始されるので、下表のように設定してウィザードを完了させる。

AD FS 2.0の管理コンソール
管理ツールの[AD FS 2.0 の管理]を起動すると、この画面が表示される。
これをクリックするとフェデレーション・サーバの構成ウィザードが起動するので、下表のように設定してウィザードを進める。

設定項目 設定値
フェデレーション サーバーの構成 [新しいフェデレーション サービスを作成する]を選択
展開の種類 [スタンドアロン フェデレーション サーバー]を選択
SSL証明書 事前にIISに設定した証明書
フェデレーション サービス名 サーバのFQDN(デフォルトで入力済み)
フェデレーション・サーバの構成

 これで、ひとまずIdPとなるAD FS 2.0の構成は完了だ。

 次ページからは、いよいよ実際のクラウド・サービスとのフェデレーション設定を行う。


 INDEX
  [運用]Windowsで構築する、クラウド・サービスと社内システムのSSO環境
  第1回 クラウド・コンピューティングとアイデンティティ管理の概要
    1.クラウド・コンピューティングの基礎と課題
    2.クラウドでのセキュリティ対策とアイデンティティ管理の役割
    3.クラウドがアイデンティティ管理システムにもたらす変化
 
  第2回 クラウド・コンピューティング時代の認証技術
    1.アイデンティティ連携(フェデレーション)の要素技術
    2.マイクロソフトのアイデンティティに関するビジョン
    3.アイデンティティ・メタシステムの実装
 
  第3回 クラウド・サービスと社内ADとのSSOを実現する(前)
  1.AD FS 2.0のセットアップ
    2.Google AppsとAD FS 2.0との連携
    3.Windows Live IDとAD FS 2.0との連携
    4.Salesforce.com CRMとAD FS 2.0との連携
 
  第4回 クラウド・サービスと社内ADとのSSOを実現する(後)
    1.Windows AzureとAD FS 2.0との連携(1)
    2.Windows AzureとAD FS 2.0との連携(2)

 Windows 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT