コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=SSO-Microsoft-ADFS

Microsoft AD FS を IdP として使用する方法

Microsoft AD FS を IdP として追加できます。

Microsoft AD FS を使用して、管理者やユーザーが Sophos Central 製品にサインインする際の ID を確認できます。これを行うには、IdP として Microsoft AD FS を追加する必要があります。

要件

スーパー管理者である必要があります。

警告

フェデレーション サインインをサインインのオプションとして使用する場合は、すべての管理者とユーザーがドメインに割り当てられており、IdP があることを確認する必要があります。

まず、ドメインを検証する必要があります。詳細は、フェデレーションドメインの検証を参照してください。

AD FS は、Microsoft が Windows Server 上で提供するサービスです。既存の Active Directory 認証情報を使用して認証を行うことを可能にします。

AD FS を IdP として追加する場合は、次の手順を実行する必要があります。

  • AD FS サーバーがあることを確認します。
  • Sophos Central 管理者とユーザーが、認証に使用する Active Directory フォレストに存在することを確認します。
  • フォレスト内のメールが、Sophos Central の管理者とユーザーに割り当てられているメールと一致していることを確認します。
  • AD 管理者から、組織の AD を Sophos Central で使用することの同意と承認を得てください。
  • Microsoft AD FS のメタデータ URL を参照します。

Microsoft AD FS メタデータ URL

Microsoft AD FS を IdP として追加する前に、Microsoft AD FS のメタデータ URL を把握する必要があります。これを参照するには、次の手順を実行します。

  1. Federation Metadata Explorer を参照します。
  2. 画面に表示される指示に従って、AD FS のメタデータを取得します。
  3. Microsoft AD FS のメタデータ URL をメモします。これは、AD FS を IdP として設定するために必要となります。

これで、AD FS を IdP として追加できます。詳細は、IDプロバイダの追加 (Entra ID/Open IDC/ADFS)を参照してください。

Microsoft AD FS の一般的なヘルプについては、AD FS ヘルプを参照してください。

Microsoft AD FS で Sophos Central の証明書利用者の信頼を追加する

AD FS では Sophos Central を証明書利用者の信頼として追加でき、AD FS が Sophos Central からの要求を受け入れられるように設定できます。

開始する前に、Sophos Central でフェデレーションサインインを設定していることを確認してください。詳細は、フェデレーションサインインの設定を参照してください。

Sophos Central を証明書利用者の信頼として追加するには、次の手順を実行します。

  1. Microsoft AD FS で、サーバーマネージャーを開きます。
  2. ツール」をクリック し、 [AD FS の管理]を選択します。
  3. 操作」で、「証明書利用者信頼の追加」をクリックします。
  4. ようこそ]」で 「要求に対応する]を選択します。
  5. データソースの選択」で、「依拠当事者に関するデータを手動で入力」を選択し、「次へ」をクリックします。
  6. 表示名の指定」で、名前を入力し、「次へ」をクリックします。
  7. プロファイルの選択」で「AD FS プロファイル」を選択 し、 「次へ」をクリックします。
  8. 証明書の構成」で、「次へ」をクリックします。

  9. URL の構成」で、次の手順を実行します。

    1. WS-Federation のパッシブ プロトコルのサポートを有効にする」を選択します。

    2. Sophos Central コールバック URL を、「証明書利用者 WS-Federation パッシブ プロトコル URL」に入力します。

      コールバック URL を見つけるには、次の手順を実行します。

      1. Sophos Central で「グローバル設定 > フェデレーション IdP」の順に選択します。
      2. IdP を選択し、「コールバック URL」に URL をコピーします。

    3. 次へ」をクリックします。

  10. 識別子の構成」で、「証明書利用者信頼の識別子」にエンティティ ID を入力し、「追加」をクリックして「次へ」をクリックします。

    エンティティ ID を見つけるには、次の手順を実行します。

    1. Sophos Central で「マイプロダクト > 全般設定 > フェデレーション IdP」の順に選択します。
    2. IdP を選択し、ID を「エンティティ ID」にコピーします。

  11. (任意) 「Configure Multi-factor Authentication Now?」で、必要に応じて、多要素認証を設定します。

  12. 発行承認規則の選択]で、「すべてのユーザーにこの証明書利用者へのアクセスを許可する」を選択 し、「次へ」をクリックします。
  13. 信頼の追加の準備完了」で、デフォルトの設定を保持し、「次へ」をクリックします。

  14. 完了」で、ウィザードの終了時にこの証明書利用者信頼の [要求規則の編集] ダイアログを開く」を選択 し、「閉じる」をクリックします。

    要求規則の編集」ダイアログが表示されます。

  15. 「要求規則の編集」の「発行承認規則」で「規則の追加」をクリックします。

    変換要求規則の追加ウィザード」が開きます。

  16. 規則の種類の選択」で「要求規則テンプレート」で、「LDAP 属性を要求として送信」を選択し、「次へ」をクリックします。

  17. 要求規則の構成」で、次の手順を実行します。

    1. 要求規則名」に、規則の名前を入力します。
    2. 属性ストア」で、Active Directory を選択します。

    3. LDAP 属性の出力方向の要求の種類への関連付け」で、次の表に示すように属性をマッピングします。

      LDAP 属性 出力方向の要求の種類
      E-mail-Addresses 名前 ID
      Given-Name
      Surname
      E-mail-Addresses 電子メールアドレス

    4. 完了」をクリックします。

これで、Microsoft AD FS を IdP として追加できます。詳細は、IDプロバイダの追加 (Entra ID/Open IDC/ADFS)を参照してください。