【第3回】Azureで社内システム再現(オンプレ編)|ADFS & ShibbolethでSSOを実装①
概要
「Azureで社内システム再現(オンプレ編)」では、
AzureのIaaSサービスを使って簡単な社内システムを再現します。
機能としては、社員番号を入力して検索ボタンを押すと、
対応する名前を表示するだけのシンプルなものです。
※詳しい全体構成については、【第0回】Azureで社内システム再現(オンプレ編)|構成図と動作の流れで紹介しています。
システム構成(今回の対象範囲)
この記事では、赤枠で囲っている AD-VM2の構成が対象です。
今回は、ADFS(Active Directory Federation Services)を構築し、IdP(Identity Provider)として動作させるところまでを扱います。
Shibboleth の導入や外部サービスとの連携は次回以降で紹介します。
- AD-VM2 に ADFS をインストールし、IdP として構成します
- GMSA(グループマネージドサービスアカウント)と証明書の準備を行います
- ADFS 構成ウィザードで初期設定を完了させます
ADFSのインストール
まずは、AD-VM2 に、Active Directory Federation Services(AD FS)のロールを追加します
構成前の準備(GMSAの作成)
ADFS の構成では、サービスの実行アカウントが必要になります。
ここでは、グループ マネージド サービス アカウント(GMSA)を使用します。
GMSA を使用することで、ADFS サービスが自動的にパスワード管理された専用アカウントで実行されるようになり、手動によるパスワード設定や更新が不要になります。
GMSA のパスワードは Active Directory が自動で生成・管理します。
ただし、GMSA を初めて使うときは、そのための準備として「KDSルートキー」を自分で作成する必要があります。
KDSルートキーの作成
Add-KdsRootKey -EffectiveImmediately
GMSAアカウントの作成
New-ADServiceAccount -Name "gmsa-adfs" -DNSHostName "ad-vm2.domain.local" -PrincipalsAllowedToRetrieveManagedPassword "AD-VM2$"
GMSAの存在確認
Active Directory のサービスアカウント配下に、gmsa-adfs が登録されていることを確認します。
証明書のインストール
ADFS 構成では、SSL証明書を使用します。
今回は、Webサーバー証明書のテンプレートを複製し、ADFS 用に使用できるように構成します。
証明書はログイン画面やSPとの信頼関係の作成に使われます。
証明書のインストール
ADFS では、HTTPS 通信の暗号化や、SAML トークンへの署名に証明書が使用されます。
そのため、構成を行う前に、ADFS 用の SSL 証明書を発行しておく必要があります。
証明書の要求とインポート
certlm(ローカルコンピュータ証明書)から証明書の要求を行います。
証明書のプロパティで、共通名(CN)と SAN(Subject Alternative Name) を設定します。
ここには、ADFS サーバーの FQDN(例:adfs.domain.local)を指定します。
証明書の要求が完了すると、AD-VM2に証明書がインストールされます。
了解しました。ではご要望どおり、「ドメイン管理者アカウントでサインイン」部分は削除し、
代わりにGMSA を指定する画面の説明をシンプルに残す形で修正いたします。
ADFSの構成
構成ウィザードを起動し、ADFS の初期構成を行います。
フェデレーション サーバーの構成を選択
「このサーバーを新しいフェデレーション サーバー ファームの最初のサーバーにする」を選択します。
サービスアカウントの指定
作成した GMSA(例:gmsa-adfs)を指定します。
証明書の選択
構成に使用する証明書を選択します。
ここでは、前の手順で発行した ADFS 用の証明書を指定します。
構成の確認と実行
すべての設定を確認し、「構成」をクリックして初期設定を完了します。
Discussion