ステップ バイ ステップ ビデオ: SAML 認証用の SharePoint Server 2010 での AD FS の設定

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:3064450
次のビデオは、SharePoint Server 2010 で SAML 認証に Active Directory フェデレーション サービス (AD FS) を設定する方法を示します。


手順については、便利なメモ

手順 1: は、Active Directory フェデレーション サービスを構成します。

  • フェデレーション サービス名は、AD FS サーバーのインターネットに接続するドメイン名です。Microsoft Office 365 のユーザーは、この認証用のドメインにリダイレクトされます。公開を追加することを確認するドメイン名のレコードです。
  • フェデレーション サービス名の名前を手動で入力することはできません。この名前は、証明書のバインドに「既定の Web サイト」では、インターネット インフォメーション サービス (IIS) によって決定されます。そのため、AD FS を構成する前に、既定の web サイトに新しい証明書をバインドする必要があります。
  • 任意のアカウントは、サービス アカウントとして使用できます。サービス アカウントのパスワードの有効期限が切れて、AD FS が機能を停止します。したがって、アカウントのパスワードが設定されているため、無期限であることを確認します。


手順 2: SharePoint 2010 web アプリケーションへのパーティの証明書利用者信頼を追加します。



  • 利用者 Ws-federation のパッシブ プロトコル URL は、次の形式である必要があります。
    https://<>FQDN>/_trust/
    忘れずにスラッシュ文字 (/) を入力後、"_trust"にします。

  • 返信関係者の信頼の識別子で始まる必要があります。 urn:.

手順 3: SharePoint サーバーに AD FS 署名証明書をインポートします。



AD FS には、次の 3 つの証明書が含まれています。インポートした証明書は、「トークンの署名」証明書であることを確認します。

手順 4: AD FS を使用して、SAML プロバイダーを識別するように SharePoint を構成します。

AD FS で SharePoint 2010 を設定するためのスクリプト
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(“C:\adfs.cer”) New-SPTrustedRootAuthority -Name “Token Signing Cert“ -Certificate $cert $map1= New-SPClaimTypeMapping -IncomingClaimType “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName “EmailAddress” -SameAsIncoming$map2 = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName “Role” -SameAsIncoming$realm = “urn:lg-sp2010”$signingURL=https://myadfs.contoso.com/adfs/ls ##comment: "myadfs.contoso.com" is the ADFS federation service name.$SPT = New-SPTrustedIdentityTokenIssuer -Name “My ADFSv2 SAML Provider” -Description “ADFS for SharePoint” -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map1,$map2 -SignInUrl $signingURL -IdentifierClaim “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"


手順 5: SharePoint の SAML 認証用のユーザーのアクセス許可を構成します。

  • ユーザー アカウントで構成されている電子メール アドレスがあることを確認する必要がある、電子メール Active Directory 内のフィールドです。それ以外の場合、「アクセスが拒否されました」エラーは、SharePoint サーバーから戻されます。

フェデレーション サーバーの名前をインターネット上でローカル イントラネット ゾーンに追加すると、ユーザーが AD FS サーバーの認証と NTLM 認証が使用されます。したがって、資格情報を入力するのには、求められません。

管理者は、ドメインに参加しているクライアント コンピューターでシングル サインオン ソリューションを構成するグループ ポリシー設定を実装できます。

よく寄せられる質問
Q:方法を有効にするクライアント コンピューターの 1 つのサインインできるように、ユーザーが SharePoint web サイトにログインするときはユーザー資格情報を要求するはないでしょうか。

A:クライアント コンピューターに Internet Explorer のローカル イントラネット ゾーンに、フェデレーション サーバーの名前を追加します。その後、AD FS サーバーを認証しようとしているユーザーと資格情報を入力するのにはないメッセージが表示、NTLM 認証が使用されます。管理者は、ドメインに参加しているクライアント コンピューターでローカル イントラネット ゾーンを構成するグループ ポリシー設定を実装できます。

警告: この記事は自動翻訳されています

プロパティ

文書番号:3064450 - 最終更新日: 07/28/2015 17:03:00 - リビジョン: 1.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Foundation, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard

  • kbsurveynew kbhowto kbexpertiseinter kbmt KB3064450 KbMtja
フィードバック