コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=SSO-Microsoft-ADFS

Microsoft AD FS を IdP として使用する方法

Microsoft AD FS を IdP として追加できます。

Microsoft AD FS を使用して、管理者やユーザーが Sophos Central 製品にサインインする際の ID を確認できます。これを行うには、IdP として Microsoft AD FS を追加する必要があります。

要件

スーパー管理者である必要があります。

警告

フェデレーション サインインをサインインのオプションとして使用する場合は、すべての管理者とユーザーがドメインに割り当てられており、IdP があることを確認する必要があります。

まず、ドメインを検証する必要があります。詳細は、フェデレーションドメインの検証を参照してください。

AD FS は、Microsoft が Windows Server 上で提供するサービスです。既存の Active Directory 認証情報を使用して認証を行うことを可能にします。

AD FS を IdP として追加する場合は、次の手順を実行する必要があります。

  • AD FS サーバーがあることを確認します。
  • Sophos Central 管理者とユーザーが、認証に使用する Active Directory フォレストに存在することを確認します。
  • フォレスト内のメールが、Sophos Central の管理者とユーザーに割り当てられているメールと一致していることを確認します。
  • AD 管理者から、組織の AD を Sophos Central で使用することの同意と承認を得てください。
  • Microsoft AD FS のメタデータ URL を参照します。

Microsoft AD FS メタデータ URL

Microsoft AD FS を IdP として追加する前に、Microsoft AD FS のメタデータ URL を把握する必要があります。

AD FS メタデータ URL は、https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml です。<TenantDomainName> をお客様のドメイン名に置き換えます。詳細については、フェデレーション メタデータ エンドポイントを参照してください。

これで、AD FS を IdP として追加できます。詳細は、IDプロバイダの追加 (Entra ID/Open IDC/ADFS)を参照してください。

Microsoft AD FS の一般的なヘルプについては、AD FS ヘルプを参照してください。

Microsoft AD FS で Sophos Central の証明書利用者の信頼を追加する

AD FS では Sophos Central を証明書利用者の信頼として追加でき、AD FS が Sophos Central からの要求を受け入れられるように設定できます。

開始する前に、Sophos Central でフェデレーションサインインを設定していることを確認してください。詳細は、フェデレーションサインインの設定を参照してください。

Sophos Central を証明書利用者の信頼として追加するには、次の手順を実行します。

  1. Microsoft AD FS で、サーバーマネージャーを開きます。
  2. ツール」をクリック し、 「AD FS の管理]を選択します。
  3. 操作」で、「証明書利用者信頼の追加」をクリックします。
  4. ようこそ]」で 「要求に対応する]を選択します。
  5. データソースの選択」で、「依拠当事者に関するデータを手動で入力」を選択し、「次へ」をクリックします。
  6. 表示名の指定」で、名前を入力し、「次へ」をクリックします。
  7. プロファイルの選択」で「AD FS プロファイル」を選択 し、 「次へ」をクリックします。
  8. 証明書の構成」で、「次へ」をクリックします。

  9. URL の構成」で、次の手順を実行します。

    1. WS-Federation のパッシブ プロトコルのサポートを有効にする」を選択します。

    2. Sophos Central コールバック URL を、「証明書利用者 WS-Federation パッシブ プロトコル URL」に入力します。

      コールバック URL を見つけるには、次の手順を実行します。

      1. Sophos Central で、「全般設定」アイコン 「全般設定」アイコン。 をクリックします。
      2. 管理」の下で「フェデレーション IdP」をクリックします。
      3. IdP を選択し、「コールバック URL」に URL をコピーします。

    3. 次へ」をクリックします。

  10. 識別子の構成」で、「証明書利用者信頼の識別子」にエンティティ ID を入力し、「追加」をクリックして「次へ」をクリックします。

    エンティティ ID を見つけるには、次の手順を実行します。

    1. Sophos Central で、「全般設定」アイコン 「全般設定」アイコン。 をクリックします。
    2. 管理」の下で「フェデレーション IdP」をクリックします。
    3. IdP を選択し、ID を「エンティティ ID」にコピーします。

  11. (任意) 「Configure Multi-factor Authentication Now?」で、必要に応じて、多要素認証を設定します。

  12. 発行承認規則の選択]で、「すべてのユーザーにこの証明書利用者へのアクセスを許可する」を選択 し、「次へ」をクリックします。
  13. 信頼の追加の準備完了」で、デフォルトの設定を保持し、「次へ」をクリックします。

  14. 完了」で、ウィザードの終了時にこの証明書利用者信頼の [要求規則の編集] ダイアログを開く」を選択 し、「閉じる」をクリックします。

    要求規則の編集」ダイアログが表示されます。

  15. 「要求規則の編集」の「発行承認規則」で「規則の追加」をクリックします。

    変換要求規則の追加ウィザード」が開きます。

  16. 規則の種類の選択」で「要求規則テンプレート」で、「LDAP 属性を要求として送信」を選択し、「次へ」をクリックします。

  17. 要求規則の構成」で、次の手順を実行します。

    1. 要求規則名」に、規則の名前を入力します。
    2. 属性ストア」で、Active Directory を選択します。

    3. LDAP 属性の出力方向の要求の種類への関連付け」で、次の表に示すように属性をマッピングします。

      LDAP 属性 出力方向の要求の種類
      E-mail-Addresses 名前 ID
      Given-Name
      E-mail-Addresses 電子メールアドレス

    4. 完了」をクリックします。

これで、Microsoft AD FS を IdP として追加できます。詳細は、IDプロバイダの追加 (Entra ID/Open IDC/ADFS)を参照してください。