フェデレーション サーバー ファームに最初のフェデレーション サーバーを構成する
適用対象: Azure、Office 365、Power BI、Windows Intune
AD FS フェデレーション サーバー構成ウィザードを使って、以下の手順に従うことで、新しいフェデレーション サーバー ファームの最初のフェデレーション サーバーになるようにコンピューターをセットアップすることができます。
重要
AD FS は Windows Server 2008 および Windows Server 2008 R2 のオペレーティング システム プラットフォームに対して、個別のパッケージ (AD FS 2.0 と呼びます) としてインストールおよび構成ができます。 AD FS は、Windows Server 2012 オペレーティング システムの一部として、フェデレーション サービス サーバー ロールを追加することで、インストールと構成を行うこともできます。
Windows Server 2008 または Windows Server 2008 R2 上で AD FS 2.0 を使用して、フェデレーション サーバー ファーム内の最初のフェデレーション サーバーを作成する
Windows Server 2012 上で AD FS を使用して、フェデレーション サーバー ファーム内の最初のフェデレーション サーバーを作成する
Windows Server 2008 または Windows Server 2008 R2 上で AD FS 2.0 を使用して、フェデレーション サーバー ファーム内の最初のフェデレーション サーバーを作成する
Domain Admins のメンバーシップ、または Active Directory の Program Data コンテナーへの書き込みアクセスが許可されている委任されたドメイン アカウントは、この手順を完了するために最低限必要なアクセス権です。
AD FS 2.0 ソフトウェアのインストールが完了したら、[ スタート]、[ 管理ツール]、[ AD FS 2.0 管理 ] の順にクリックして、AD FS 2.0 管理スナップインを開きます。
[ 概要 ] ページで、[ AD FS 2.0 フェデレーション サーバー構成ウィザード] をクリックします。
[ようこそ] ページで、[新しいフェデレーション サービスの作成] が選択されているのを確認し、[次へ] をクリックします。
[スタンドアロンまたはファーム デプロイの選択] ページで、[新しいフェデレーション サーバー ファーム] をクリックし、[次へ] をクリックします。
[フェデレーション サービス名の指定] ページで、表示されている [SSL 証明書] が、以前 IIS の既定の Web サイトにインポートした証明書の名前と一致することを確認します。 これが正しい証明書でない場合は、[SSL 証明書] 一覧から適切な証明書を選択します。
注意
IIS に対して SSL 証明書が構成されていない場合、証明書をオーバーライドすることはできません。 このしくみにより、SSL 証明書について以前に意図的に行われた IIS 構成はすべて維持されます。 この問題を回避するには、前に戻って、IIS の既定の Web サイトにもう一度証明書をインポートします。
このコンピューターに AD FS を以前に再インストールしたことがある場合は、[ 既存の AD FS 構成データベースが検出されました ] ページが表示されます。 このページが表示された場合は、[データベースの削除] をクリックし、[次へ] をクリックします。
[サービス アカウントを指定します] ページで、[参照] をクリックします。 [参照] ダイアログ ボックスで、この新しいフェデレーション サーバー ファームでサービス アカウントとして使用するドメイン アカウントを見つけ、[OK] をクリックします。 このアカウントのパスワードを入力し、確認して、[次へ] をクリックします。
[設定の適用準備] ページで、詳細を確認します。 設定が正しいように見える場合は、[ 次へ ] をクリックして、これらの設定で AD FS 2.0 の構成を開始します。
[構成結果] ページで作業内容を確認します。 すべての構成手順が終了したら、[閉じる] をクリックしてウィザードを終了します。
注意
この手順の手順を完了すると、AD FS 2.0 Management スナップインが自動的に開き、 必要な構成が不完全であり 、 信頼できる証明書利用者を追加する必要があることを示すメッセージが表示されます。 このメッセージは無視してもかまいません。
Microsoft Azure Active Directoryの証明書利用者信頼 (Microsoft Azure AD) は、後の手順で追加されます。 詳細については、「AD FS によるシングル サインオンのために Windows PowerShell をインストールする」を参照してください。 この手順が完了すると、このメッセージは AD FS 2.0 Management スナップインから消えます。右側のペインで、[フェデレーション サービス プロパティの編集] をクリックして、フェデレーション ブランド名 (会社名など) になるように、[フェデレーション サービスの表示名] フィールドを変更します。 この名前は、SSO が有効なアプリケーションにアクセスするためにログインするときにエンド ユーザーに表示されます。
Windows Server 2012 上で AD FS を使用して、フェデレーション サーバー ファーム内の最初のフェデレーション サーバーを作成する
AD FS フェデレーション サーバー構成ウィザードを開始するには 2 つの方法があります。 ウィザードを開始するには、次のいずれかを実行します。
Federation Service ロール サービスのインストールが完了したら、AD FS 管理スナップインを開き、[概要] ページまたは [アクション] ペインで [AD FS フェデレーション サーバー構成ウィザード] リンクを開きます。
セットアップ ウィザードを終了した後、Windows Explorer を開き、C:\Windows\ADFS フォルダーをダブルクリックして、FsConfigWizard.exe をダブルクリックします。
[ようこそ] ページで、[新しいフェデレーション サービスの作成] が選択されているのを確認し、[次へ] をクリックします。
[スタンドアロンまたはファーム デプロイの選択] ページで、[新しいフェデレーション サーバー ファーム] をクリックし、[次へ] をクリックします。
[フェデレーション サービス名の指定] ページで、表示されている [SSL 証明書] が正しいことを確認します。 これが正しい証明書でない場合は、[SSL 証明書] 一覧から適切な証明書を選択します。
この証明書は、既定の Web サイトの Secure Sockets Layer (SSL) の設定から生成されます。 既定の Web サイトで SSL 証明書が 1 つしか構成されていない場合は、その証明書が提示され、自動的に選択されて使用されます。 既定の Web サイトで複数の SSL 証明書が構成されている場合は、それらすべての証明書がここに示され、その中から 1 つを選ぶ必要があります。 既定の Web サイトで SSL 設定が構成されていない場合は、ローカル コンピューター上の個人証明書ストアで使用できる証明書から一覧が生成されます。
注意
IIS に対して SSL 証明書が構成されていない場合、証明書をオーバーライドすることはできません。 このしくみにより、SSL 証明書について以前に意図的に行われた IIS 構成はすべて維持されます。 このような制約を回避したい場合は、証明書を削除するか、IIS 管理コンソールを使って証明書を手動で再構成できます。
選択した AD FS データベースが既に存在する場合、[検出された既存の AD FS 構成データベース] ページが表示されます。 このページが表示された場合は、[データベースの削除] をクリックし、[次へ] をクリックします。
警告
このオプションを選択するのは、AD FS データベース内のこのデータが重要でないか、実稼働フェデレーション サーバー ファームで使用されていないことが明らかな場合のみにしてください。
[サービス アカウントを指定します] ページで、[参照] をクリックします。 [参照] ダイアログ ボックスで、この新しいフェデレーション サーバー ファームでサービス アカウントとして使用するドメイン アカウントを見つけ、[OK] をクリックします。 このアカウントのパスワードを入力し、確認して、[次へ] をクリックします。
[設定の適用準備] ページで、詳細を確認します。 設定が正しいと思われる場合は、[次へ] をクリックして、これらの設定で AD FS の構成を開始します。
[構成結果] ページで作業内容を確認します。 すべての構成手順が終了したら、[閉じる] をクリックしてウィザードを終了します。
セキュリティに関する注意 セキュリティで保護された展開を行うため、AD FS フェデレーション サーバー構成ウィザードを使ってフェデレーション サーバー ファームを構成するときは、アーティファクト解決および応答検出は無効にされます。 このウィザードでは、サービス構成データを格納するための Windows Internal Database が自動的に構成されます。 ただし、AD FS 管理スナップインの [エンドポイント] ノード、または Windows PowerShell の Enable-ADFSEndpoint コマンドレットのいずれかを使用して、アーティファクト解像度エンドポイントを有効にすることによって、この変更を誤って取り消してしまう可能性があります。 フェデレーション サーバー ファームと Windows Internal Database を一緒に使用するときにこのエンドポイントを無効のままにするため、既定の設定を再構成しないように注意してください。
注意
ファーム内の最初のフェデレーション サーバーを構成した後、右側のペインで、[フェデレーション サービス プロパティの編集] をクリックして、フェデレーション ブランド名 (会社名など) になるように、[フェデレーション サービスの表示名] フィールドを変更します。 この名前は、SSO が有効なアプリケーションにアクセスするためにログインするときにエンド ユーザーに表示されます。
次のステップ
フェデレーション サーバー ファームで最初のフェデレーション サーバーを構成したら、[チェックリスト: Windows Server のレガシ バージョンにフェデレーション サーバー ファームを展開する] に戻り、残りの手順を完了します。
参照
概念
チェックリスト: フェデレーション サーバー ファームを従来のバージョンの Windows Server に展開する
チェックリスト: AD FS を使用してシングル サインオンを実装および管理する