SharePoint Foundation 2013 + ADFS フェデレーション 構 成 構 築 メモ 2014 年 10 月 株 式 会 社 セシオス 本 資 料 は Active Directory Federation Server を 利 用 し SharePoint Foundation 2013 と フェデレーションを 行 う テスト 環 境 を 構 築 する 手 順 を 記 載 したものです 資 料 は 2014 年 10 月 時 点 で 作 成 したものです 記 載 内 容 に 間 違 があっても 弊 社 では 一 切 責 任 は 負 いませんのでご 了 承 ください 本 資 料 は 参 考 資 料 です 1
目 次 1. 環 境... 3 2. 全 体 の 流 れ... 3 3. SharePoint 接 続 を HTTPS に 変 更... 4 3.1. AD に 証 明 書 サービスをインストール... 4 3.2. SharePoint のサイト 設 定... 5 3.3. SharePoint 側 の IIS 設 定... 5 4. ADFS のインストール 設 定... 7 4.1. SSL 証 明 書 の 作 成... 7 4.2. ADFS のインストール... 7 5. ADFS に 証 明 書 利 用 者 を 構 成 する... 9 6. 要 求 規 則 を 構 成 する... 10 7. トークン 署 名 証 明 書 をエクスポートする... 11 8. SharePoint サーバで PowerShell にて IDP 登 録... 12 9. IDP の 関 連 付 け... 14 10. アプリケーションへのアクセス 権 限 設 定... 14 11. 動 作 確 認... 16 2
1. 環 境 以 下 のサーバを 構 築 設 定 します 役 割 Active Directory サーバ 1 台 ADFS サーバ 1 台 SharePoint サーバ 1 台 OS Windows Server 2012 R2 Windows Server 2012 R2 Windows Server 2012 R2 Windows Server 2012 R2 環 境 で 利 用 できる SharePoint は 2014 年 10 月 現 在 SharePoint Foundation 2013 SP1 となっています 以 下 からダウンロードし 利 用 しました URL:http://www.microsoft.com/ja-jp/download/details.aspx?id=42039 2. 全 体 の 流 れ 以 下 の 流 れで 構 築 設 定 を 行 います 特 に 躓 く 点 がない 部 分 の 説 明 は 省 略 します Active Directory の 基 本 的 な 構 築 を 実 施 特 に 難 しい 点 は AD の 構 築 ないため 説 明 は 省 きます SharePoint の 構 築 SharePoint をスタンドアロンで 構 築 インストールマニ ュアル 等 が Web から 参 照 できるので 説 明 は 省 きます AD 証 明 書 サービスの 構 築 SSL 証 明 書 が 必 要 なため 今 回 は AD に 証 明 書 サービ ス を 追 加 します SharePoint HTTPS 設 定 フェデレーション 構 成 では HTTPS 接 続 が 必 要 なため 設 定 を 行 います ADFS の 構 築 ADFS の 構 築 を 行 います Windows Server 2012 R2 で は IIS が 導 入 されないので SSL 証 明 書 の 準 備 が 必 要 です フェデレーション 設 定 SharePoint ADFS とのフェデレーション 設 定 を 行 いま す 本 構 成 のキモになる 設 定 です 構 築 したサーバは 予 めドメインに 参 加 しておいてください また 作 業 は 全 て Domain Admin のユーザーで 実 施 してください 3
3. SharePoint 接 続 を HTTPS に 変 更 3.1. AD に 証 明 書 サービスをインストール サーバマネージャ - 役 割 と 機 能 の 追 加 から 証 明 書 サービスを 追 加 証 明 書 の 役 割 は 証 明 機 関 を 選 択 します インストール 後 証 明 書 サービスの 初 期 構 成 を 行 う 必 要 があります インストール 完 了 画 面 の 対 象 サーバに Active Directory 証 明 書 サービスを 構 成 する をクリックしてください 証 明 書 サービスの 構 成 ウィザードが 起 動 し 設 定 を 行 いますが 全 てデフォルト で 設 定 します CA は エンタープライズ CA CA の 種 類 : ルート CA 秘 密 キーの 種 類 : 新 しい 秘 密 キー 暗 号 化 : RSA (キー 長 2048) 証 明 書 サービスの 構 成 完 了 後 AD にルート 証 明 書 が 作 成 されます ドメインに 参 加 してい るメンバサーバは 自 動 的 にこの 証 明 書 が 信 頼 されたルート 証 明 書 機 関 に 配 布 されます 後 半 SharePoint サーバで PowerShell 実 行 時 ルート 証 明 書 を 引 数 として 利 用 するた め ここでルート 証 明 書 ファイルを SharePoint サーバからアクセス 可 能 なフォルダにコピ ーしておいてください ルート 証 明 書 ファイル:C: Windows System32 CertSrv CertEnroll *****.crt 4
3.2. SharePoint のサイト 設 定 SharePoint の 管 理 画 面 にログインし Web アプリケーション(サイト)の 設 定 を 行 います SharePoint の 管 理 画 面 - Web アプリケーシ ョンの 管 理 を 表 示 デフォルトで 作 成 された SharePoint-80 を 選 択 し メニューにある 拡 張 ボタンをクリックします ポート に 443 を 設 定 SSL の 仕 様 を はい に 設 定 画 面 上 SharePoint-443 と 表 示 されて 欲 しいですが 80 のまま SharePoint の 菅 理 画 面 - 代 替 アクセ スマッピング を 見 ると 既 定 で はなく イントラネット で 作 成 さ れていることが 分 かります 以 上 の 操 作 を 行 うと IIS のサイトに SharePoint 443 が 作 成 されます 3.3. SharePoint 側 の IIS 設 定 SharePoint サーバには IIS も 必 須 コンポーネントとしてインストールされています IIS マネージャを 起 動 し 自 己 証 明 書 を 作 成 サイトにバインドします サーバを 選 択 して[サーバ 証 明 書 ]をクリック 画 面 右 側 の 操 作 メニューから 自 己 署 名 入 り 証 明 書 の 作 成 をクリック 証 明 書 作 成 ウィザードが 起 動 するので 情 報 を 入 力 します 5
フレンドリ 名 : 任 意 ストアの 種 類 :Web ホスティング 操 作 完 了 後 SharePoint-443 に 証 明 書 をバインドします SharePoint-443 を 選 択 バインド をクリック 先 ほど 作 成 した SSL 証 明 書 が 表 示 さ れるので 選 択 してください 以 上 で 設 定 は 完 了 です HTTPS 接 続 ができるか 確 認 をしてください 6
4. ADFS のインストール 設 定 4.1. SSL 証 明 書 の 作 成 フェデレーションサービスの 構 成 ウィザード で SSL 証 明 書 が 必 要 となります 予 め 以 下 の 設 定 を 行 い 証 明 書 を 作 成 しておきます ADFS サーバで フィル 名 を 指 定 して 実 行 > mmc を 実 行 してコンソールを 起 動 [ファ イル]>[スナップインの 追 加 と 削 除 ]から 証 明 書 スナップインを 追 加 スナップインは コンピュータアカウント に 設 定 コンピュータは ローカルコンピュータ に 設 定 [ 個 人 ]を 右 クリックして [すべてのタスク]- [ 新 しい 証 明 書 の 要 求 ]をクリックして 証 明 書 の 取 得 を 開 始 します 証 明 書 の 登 録 ウィザードが 起 動 するので 進 めてください なお 以 下 の 設 定 を 確 認 し てください 証 明 書 の 登 録 ポリシー:Active Directory 登 録 ポリシー 証 明 書 の 要 求 : コンピュータ にチェック 4.2. ADFS のインストール サーバマネージャから 役 割 と 機 能 の 追 加 で Active Directory Federation Service を 追 加 します 特 に 迷 う 設 定 はないと 思 います インストール 完 了 後 このサーバにフェデ レーションサービスを 構 成 します をクリックし 設 定 を 開 始 してください 途 中 サービスアカウントの 指 定 画 面 があ ります 既 存 のドメインユーザを 指 定 しても グループ 管 理 サービスアカウントを 作 成 し ます でもどちらでも 構 いませんが KDS ル ートキーが 設 定 されていないため と 警 告 メッセージが 表 示 されることがあります その 場 合 PowerShell を 起 動 しコマンドを 実 行 する 必 要 があります 7
PowerShell から 以 下 を 実 行 Add-KdsRootKey EffectiveTime (Get- Date).AddHours(-10) 警 告 メッセージの 詳 細 表 示 で 実 行 コ マンドが 表 示 されます また 構 成 完 了 後 SPN の 設 定 中 にエラーが という 警 告 メッセージが 表 示 されま すので 設 定 したユーザーの SPN レコードを 正 しく 設 定 してください 設 定 すべき SPN は ADFS 管 理 画 面 - AD-FS - サービス にある フェデレーショ ンサービスのプロパティの 編 集 から 確 認 できます AD の 該 当 アカウントについて 属 性 エディターを 開 き ServicePrincipalName に 設 定 をしてください 設 定 値 :http://test-adfs01.secioss.ad01 SPN レコードを 登 録 しなくても 結 果 としてフェデレーションできました 以 上 で ADFS のインストール 初 期 設 定 は 完 了 です 次 からはマイクロソフト 社 のナレッジをベースに 進 めていきます 参 考 URL: http://technet.microsoft.com/ja-jp/library/hh305235%28v=office.15%29.aspx 8
5. ADFS に 証 明 書 利 用 者 を 構 成 する 1. AD FS サーバ 上 で AD FS 管 理 コンソールを 開 きます 2. ナビゲーション ウィンドウで [ 信 頼 関 係 ] を 展 開 [ 証 明 書 利 用 者 信 頼 ] フォルダをク リックし 右 側 のウィンドウで [ 証 明 書 利 用 者 信 頼 の 追 加 ] をクリックします これに より AD FS 2.0 構 成 ウィザードが 開 きます 3. 証 明 書 利 用 者 信 頼 の 追 加 ウィザードの 最 初 のページで [ 開 始 ] をクリックします 4. [ 証 明 書 利 用 者 についてのデータを 手 動 で 入 力 する] を 選 択 し[ 次 へ] をクリックします 5. 表 示 名 ( 任 意 )を 入 力 し [ 次 へ] をクリックします 6. [AD FS プロファイル] が 選 択 されていることを 確 認 し [ 次 へ] をクリックします 7. 暗 号 証 明 書 は 使 いません [ 次 へ] をクリックします 8. [WS-Federation のパッシブ プロトコルのサポートを 有 効 にする] チェック ボックス をオンにします 9. [ 証 明 書 利 用 者 WS-Federation パッシブ プロトコルの URL] フィールドで Web ア プリケーション URL の 名 前 を 入 力 し その 後 に /_trust/ を 追 加 します ( 例 : https:// test-sharepoint/_trust/) [ 次 へ] をクリックします 注 記 :URL の 名 前 では Secure Socket Layer (SSL) を 使 用 する 必 要 があります 10. 証 明 書 利 用 者 信 頼 ID の 名 前 を 入 力 し ( 例 : urn:sharepoint:secioss) [ 追 加 ] をクリッ クします [ 次 へ] をクリックします この 名 前 は 後 に SharePoint サーバで 実 行 する PowerShell コマンド 内 の 引 数 SPTrustedIdentityTokenIssuer でも 利 用 する 値 です 11. [ 現 時 点 ではこの 証 明 書 利 用 者 信 頼 に 多 要 素 認 証 を 構 成 しない]を 選 択 し[ 次 へ] をクリ 9
ックします 12. [すべてのユーザーに 対 してこの 証 明 書 利 用 者 へのアクセスを 許 可 する] を 選 択 します [ 次 へ] をクリックします 13. [ 信 頼 の 追 加 の 準 備 完 了 ] ページでは 操 作 が 不 要 なので [ 次 へ] をクリックします 14. 完 了 ページで [ウィザードの 終 了 時 にこの 証 明 書 利 用 者 信 頼 の[ 要 求 規 則 の 編 集 ]ダイア ログを 開 く]にチェックを 入 れ [ 閉 じる] をクリックします 要 求 規 則 の 編 集 コンソー ルが 開 きますので 次 の 手 順 6. 要 求 規 則 を 構 成 する に 進 んでください 6. 要 求 規 則 を 構 成 する LDAP 属 性 の 値 を 要 求 として 送 信 し 出 力 方 向 の 要 求 の 種 類 へのマッピングを 行 います 1. [ 発 行 変 換 規 則 ] タブで [ 規 則 の 追 加 ] をクリックします 2. [ 規 則 テンプレートの 選 択 ] ページで [LDAP 属 性 を 要 求 として 送 信 ] を 選 択 し [ 次 へ] をクリックします 3. [ 要 求 規 則 の 構 成 ] ページで [ 要 求 規 則 名 ] フィールドに 要 求 規 則 の 名 前 を 入 力 します 4. [ 属 性 ストア] ドロップダウン リストから [Active Directory] を 選 択 します 5. [LDAP 属 性 の 出 力 方 向 の 要 求 の 種 類 への 関 連 付 け] セクションの [LDAP 属 性 ] で [ 電 子 メール アドレス] を 選 択 します 6. [ 出 力 方 向 の 要 求 の 種 類 ] で [ 電 子 メール アドレス] を 選 択 します 7. [LDAP 属 性 ] で [User-Principal-Name] を 選 択 します 8. [ 出 力 方 向 の 要 求 の 種 類 ] で [UPN] を 選 択 します 9. [ 完 了 ] [OK] の 順 にクリックします AD にてアカウントの 電 子 メール 属 性 に 値 を 入 れるのを 忘 れないように 10
7. トークン 署 名 証 明 書 をエクスポートする 信 頼 関 係 を 確 立 す る AD FS サ ー バ の ト ー ク ン 署 名 証 明 書 を エ ク ス ポ ー ト し て SharePoint サーバがアクセスできる 場 所 にコピーします 1. AD FS サーバ 上 で AD FS 管 理 コンソールを 開 きます 2. ナビゲーションウィンドウで[サービス] を 展 開 し[ 証 明 書 ] フォルダをクリックします 3. [トークン 署 名 ] のプライマリトークン 証 明 書 をクリックします 4. 右 側 のウィンドウで[ 証 明 書 の 表 示 ] をクリックし 証 明 書 のプロパティを 表 示 します 5. [ 詳 細 ] タブをクリックします 6. [ファイルにコピー] をクリックします 証 明 書 のエクスポートウィザードが 起 動 します 7. [ 証 明 書 のエクスポート ウィザードの 開 始 ] ページで [ 次 へ] をクリックします 8. [エクスポート ファイルの 形 式 ] ページで [DER encoded binary X.509 (.CER)] を 選 択 し [ 次 へ] をクリックします 9. [エクスポートするファイル] ページで エクスポートするファイルの 名 前 と 場 所 を 入 力 し [ 次 へ] をクリックします たとえば C: adfs-token.cer と 入 力 します 10. [ 証 明 書 のエクスポート ウィザードの 完 了 ] ページで [ 完 了 ] をクリックします 11
8. SharePoint サーバで PowerShell にて IDP 登 録 SharePoint 2013 管 理 シェルを 起 動 し コマンドを 実 行 してください /*** ルート 証 明 書 の 設 定 ***/ $root=new-object System.Security.Cryptography.X509Certificates.X509Certificate2("C: temp ad-root.crt") New-SPTrustedRootAuthority -Name "SeciossLink Certificate" -Certificate $root /*** ADFS トークン 署 名 の 設 定 ***/ $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C: temp adfs-token.cer") New-SPTrustedRootAuthority -Name "Token Signing Cert" -Certificate $cert /*** 参 考 : 証 明 関 連 を 削 除 する 場 合 のコマンド ***/ # Remove-SPTrustedRootAuthority "SeciossLink Certificate" # Remove-SPTrustedRootAuthority "Token Signing Cert" /*** クレーム 属 性 の 設 定 ***/ $emailclaimmap = New-SPClaimTypeMapping IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" SameAsIncoming (ここまでで 1 つのコマンド) $upnclaimmap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" -IncomingClaimTypeDisplayName "UPN" SameAsIncoming(ここまでで 1 つのコマンド) $roleclaimmap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" - SameAsIncoming(ここまでで 1 つのコマンド) $sidclaimmap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid" -IncomingClaimTypeDisplayName "SID" - SameAsIncoming(ここまでで 1 つのコマンド) /*** IDP の 登 録 ***/ $realm = "urn:sharepoint:secioss" $signinurl = "https://test-adfs01.secioss.ad01/adfs/ls" 12
$ap = New-SPTrustedIdentityTokenIssuer -Name test-adfs -Description Seciosssharepointtest -realm $realm - ImportTrustCertificate $cert -ClaimsMappings $emailclaimmap,$upnclaimmap,$roleclaimmap,$sidclaimmap -SignInUrl $signinurl -IdentifierClaim $emailclaimmap.inputclaimtype(ここまでで 1 つのコマンド) /*** 参 考 :IDP を 削 除 する 場 合 のコマンド ***/ # Remove-SPTrustedIdentityTokenIssuer "test-adfs" 13
9. IDP の 関 連 付 け 既 存 の Web アプリケーションを 構 成 して SAML サインインを 使 用 するには クレーム 認 証 の 種 類 セクションの 信 頼 できる ID プロバイダーを 変 更 する 必 要 があります 1. サーバの 全 体 管 理 のホームページで[アプリケーション 構 成 の 管 理 ] をクリックします 2. [アプリケーション 構 成 の 管 理 ] ページの [Web アプリケーション] セクションで [Web アプリケーションの 管 理 ] をクリックします 3. 適 切 な Web アプリケーションをクリックします 4. リボンの [ 認 証 プロバイダー] をクリックします 5. [ゾーン] で ゾーンの 名 前 ( 例 : 既 定 or イントラネットなど) をクリックします 6. [ 認 証 の 編 集 ] ページの [クレーム 認 証 の 種 類 ] セクションで [ 信 頼 できる ID プロバ イダー] を 選 択 し SAML プロバイダーの 名 前 (New-SPTrustedIdentityTokenIssuer の <ProviderName>) をクリックします [OK] をクリックします 10. アプリケーションへのアクセス 権 限 設 定 New-SPTrustedIdentityTokenIssuer コマンドを -IdentifierClaim $emailclaimmap.inputclaimtype パラメーターを 使 用 して 指 定 したように ユーザーが 電 子 メール アドレスを SAML ベースの ID として 使 用 して 認 証 できるようにするに は Web アプリケーションへの 適 切 な 権 限 のある 電 子 メール アドレスを 追 加 する 必 要 が あります 1. サーバの 全 体 管 理 のホームページで [アプリケーション 構 成 の 管 理 ] をクリックします 2. [アプリケーション 構 成 の 管 理 ] ページの [Web アプリケーション] セクションで [Web アプリケーションの 管 理 ] をクリックします 14
3. 適 切 な Web アプリケーションをクリックし [ユーザー ポリシー] をクリックします 4. [Web アプリケーションのポリシー] で [ユーザーの 追 加 ] をクリックします 5. [ユーザーの 追 加 ] ダイアログ ボックスの [ 領 域 ] で 適 切 な 領 域 をクリックし [ 次 へ] をクリックします 6. [ユーザーの 追 加 ] ダイアログ ボックスで [ユーザー] ボックスの 右 下 の [ 参 照 ] アイ コンをクリックします 7. [ユーザーとグループの 選 択 ] ダイアログ ボックスの [ 検 索 ] にユーザー アカウント の 電 子 メール アドレスを 入 力 し [ 検 索 ] アイコンをクリックします 8. 検 索 結 果 で AD FS ID プロバイダーの 名 前 の 下 の [ 電 子 メール アドレス] をクリッ クして [ 表 示 名 ] でユーザーの 電 子 メール アドレスをクリックし [ 追 加 ] をクリック してから [OK] をクリックします 9. [ 権 限 ] で 適 切 な 権 限 のレベルをクリックします 10. 他 に 許 可 するユーザーがいれば 手 順 6 ~ 9 を 繰 り 返 します 11. [ 完 了 ] [OK] の 順 にクリックします 15
11. 動 作 確 認 以 上 で 設 定 は 完 了 です Web ブラウザから SharePoint サーバに https アクセスを 行 い フ ェデレーション 可 能 か 確 認 してください 以 上 16