必要な証明書を使用してコンピューターを構成し、フェデレーション サービス プロキシの役割サービスをインストールしたら、フェデレーション サーバー プロキシになるようにコンピューターを構成する準備が整います。 次の手順を使用して、コンピューターがフェデレーション サーバー プロキシの役割を果たすことができます。
重要
この手順を使用してフェデレーション サーバー プロキシ コンピューターを構成する前に、「 チェックリスト: フェデレーション サーバー プロキシのセットアップ 」のすべての手順に従っていることを確認してください。 少なくとも 1 つのフェデレーション サーバーが展開されていること、およびフェデレーション サーバー プロキシ構成を承認するために必要なすべての資格情報が実装されていることを確認します。 また、既定の Web サイトで Secure Sockets Layer (SSL) バインドを構成する必要があります。このウィザードは起動しません。 このフェデレーション サーバー プロキシを機能させるには、これらのタスクをすべて完了する必要があります。
コンピューターの設定が完了したら、フェデレーション サーバー プロキシが想定どおりに動作していることを確認します。 詳細については、「 フェデレーション サーバー プロキシが動作していることを確認する」を参照してください。
この手順を完了するには、ローカル コンピューター上の Administrators または同等のメンバーシップが最低限必要です。 ローカルおよびドメインの既定のグループで、適切なアカウントおよびグループメンバーシップの使用方法に関する詳細を確認します。
フェデレーション サーバー プロキシの役割用にコンピューターを構成するには
AD FS フェデレーション サーバー構成ウィザードを開始するには、2 つの方法があります。 ウィザードを開始するには、次のいずれかの操作を行います。
スタート画面で、「AD FS フェデレーション サーバー プロキシ構成ウィザード」と入力し、Enter キーを押します。
セットアップ ウィザードが完了したら、いつでも Windows エクスプローラーを開き、 C:\Windows\ADFS フォルダーに移動し、 FspConfigWizard.exeダブルクリックします。
いずれかの方法を使用してウィザードを開始し、[ ようこそ ] ページで [ 次へ] をクリックします。
[ フェデレーション サービス名の指定 ] ページの [ フェデレーション サービス名] に、このコンピューターがプロキシの役割を果たすフェデレーション サービスを表す名前を入力します。
特定のネットワーク要件に基づいて、HTTP プロキシ サーバーを使用してフェデレーション サービスに要求を転送する必要があるかどうかを判断します。 その場合は、[ このフェデレーション サービスに要求を送信するときに HTTP プロキシ サーバーを使用する ] チェック ボックスをオンにし、[ HTTP プロキシ サーバーのアドレス ] でプロキシ サーバーのアドレスを入力し、[ 接続のテスト ] をクリックして接続を確認し、[ 次へ] をクリックします。
メッセージが表示されたら、このフェデレーション サーバー プロキシとフェデレーション サービス間の信頼を確立するために必要な資格情報を指定します。
既定では、フェデレーション サービスによって使用されるサービス アカウント、またはローカルの BUILTIN\Administrators グループのメンバーのみがフェデレーション サーバー プロキシを承認できます。
[ 設定の適用準備完了] ページで、詳細を確認します。 設定が正しいと思われる場合は、[ 次へ ] をクリックして、これらのプロキシ設定でこのコンピューターの構成を開始します。
[ 構成結果 ] ページで、結果を確認します。 すべての構成手順が完了したら、[ 閉じる ] をクリックしてウィザードを終了します。
フェデレーション サーバー プロキシの管理に使用する Microsoft 管理コンソール (MMC) スナップインはありません。 組織内の各フェデレーション サーバー プロキシの設定を構成するには、Windows PowerShell コマンドレットを使用します。
プロキシ操作用の代替 TCP/IP ポートの構成
既定では、フェデレーション サーバー プロキシ サービスは、HTTPS トラフィックに TCP ポート 443 を使用し、フェデレーション サーバーとの通信に HTTP トラフィックにポート 80 を使用するように構成されています。 HTTPS の場合は TCP ポート 444、HTTP の場合はポート 81 など、さまざまなポートを構成するには、次のタスクを完了する必要があります。
注
代替 TCP/IP ポートで動作するように AD FS を最初に展開する場合は、まず、フェデレーション サーバーとフェデレーション サーバー プロキシ コンピューターの両方で、HTTP と HTTPS の IIS プロトコル バインドのポートを変更する必要があります。 これは、初期構成用の AD FS 構成ウィザードを実行する前に発生する必要があります。 インターネット インフォメーション サービス (IIS) を最初に構成した場合、AD FS 内でウィザード ベースの構成が行われるときに代替 TCP/IP ポート設定が検出され、次の手順は必要ありません。 後でポート設定を変更する場合は、まず IIS プロトコル バインドを更新してから、次の手順に従ってポート設定を適切に更新します。 IIS バインドの編集の詳細については、Microsoft サポート技術情報 の記事149605 を参照してください。
フェデレーション サーバー プロキシで使用する代替 TCP/IP ポートを構成するには
既定以外のポートを使用するようにフェデレーション サーバーを構成します。
これを行うには、既定以外のポート番号を、Set-ADFSProperties コマンドレットの一部として HttpsPort オプションと HttpPort オプションに含めることで指定します。 たとえば、これらのポートを構成するには、フェデレーション サーバー コンピューターの Windows PowerShell セッションで次のコマンドを使用します。
Set-ADFSProperties -HttpsPort 444 Set-ADFSProperties -HttpPort 81既定以外のポートを使用するようにフェデレーション サーバー プロキシを構成します。
これを行うには、既定以外のポート番号を、Set-ADFSProxyProperties コマンドレットの一部として HttpsPort オプションと HttpPort オプションに含めることで指定します。 たとえば、これらのポートを構成するには、フェデレーション サーバー コンピューターの Windows PowerShell セッションで次のコマンドを使用します。
Set-ADFSProxyProperties -HttpsPort 444 Set-ADFSProxyProperties -HttpPort 81注
フェデレーション サーバー プロキシ サービスでは、エンドポイント URL は既定では有効になっていません。 新しいフェデレーション サーバーのインストールを構成する場合は、まずフェデレーション サーバー プロキシ サービス エンドポイントを有効にする必要があります。 たとえば、この手順の例で参照しているすべてのエンドポイントで、AD FS 管理スナップインでエンドポイントを選択し、[プロキシで有効にする] を選択して 、プロキシに対して有効にしたとします。
セキュリティ アサーション マークアップ言語 (SAML) と WS-Trust エンドポイントが更新されたポート番号を反映するように構成されるように、フェデレーション サーバー プロキシで IIS のインストールを更新します。 これを行うには、メモ帳を使用して、フェデレーション サーバー プロキシ コンピューターの systemdrive%\inetpub\adfs\ls\ にある Web.config ファイル内の以下を変更できます。 たとえば、sts1.contoso.com という名前のフェデレーション サーバーがあり、新しいポート番号が 444 であると仮定して、フェデレーション サーバー プロキシ コンピューター上のメモ帳で Web.config ファイルを参照して開き、次のセクションを見つけて、以下で強調表示されているようにポート番号を変更してから、メモ帳を保存して終了します。
<securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport" wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />フェデレーション サーバー プロキシ サービスのユーザー アカウントを、関連するエンドポイント URL のアクセス制御リスト (ACL) に追加します。 たとえば、ポート番号が 1234 で、AD FSfederation サーバー プロキシ サービスの実行に使用されるユーザー アカウントが組み込みのネットワーク サービス アカウントである場合は、コマンド プロンプトで次のコマンドを入力します。
netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service" netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"上記のコマンドは、フェデレーション サーバーとフェデレーション サーバー プロキシ コンピューターの両方で実行する必要があります。