Microsoft AD FS を IdP として使用する方法
Microsoft AD FS を IdP として追加できます。
Microsoft AD FS を使用して、管理者やユーザーが Sophos Central 製品にサインインする際の ID を確認できます。これを行うには、IdP として Microsoft AD FS を追加する必要があります。
要件
スーパー管理者である必要があります。
警告
フェデレーション サインインをサインインのオプションとして使用する場合は、すべての管理者とユーザーがドメインに割り当てられており、IdP があることを確認する必要があります。
まず、ドメインを検証する必要があります。詳細は、フェデレーションドメインの検証を参照してください。
AD FS は、Microsoft が Windows Server 上で提供するサービスです。既存の Active Directory 認証情報を使用して認証を行うことを可能にします。
AD FS を IdP として追加する場合は、次の手順を実行する必要があります。
- AD FS サーバーがあることを確認します。
- Sophos Central 管理者とユーザーが、認証に使用する Active Directory フォレストに存在することを確認します。
- フォレスト内のメールが、Sophos Central の管理者とユーザーに割り当てられているメールと一致していることを確認します。
- AD 管理者から、組織の AD を Sophos Central で使用することの同意と承認を得てください。
- Microsoft AD FS のメタデータ URL を参照します。
Microsoft AD FS メタデータ URL
Microsoft AD FS を IdP として追加する前に、Microsoft AD FS のメタデータ URL を把握する必要があります。これを参照するには、次の手順を実行します。
- Federation Metadata Explorer を参照します。
- 画面に表示される指示に従って、AD FS のメタデータを取得します。
- Microsoft AD FS のメタデータ URL をメモします。これは、AD FS を IdP として設定するために必要となります。
これで、AD FS を IdP として追加できます。詳細は、IDプロバイダの追加 (Entra ID/Open IDC/ADFS)を参照してください。
Microsoft AD FS の一般的なヘルプについては、AD FS ヘルプを参照してください。
Microsoft AD FS で Sophos Central の証明書利用者の信頼を追加する
AD FS では Sophos Central を証明書利用者の信頼として追加でき、AD FS が Sophos Central からの要求を受け入れられるように設定できます。
開始する前に、Sophos Central でフェデレーションサインインを設定していることを確認してください。詳細は、フェデレーションサインインの設定を参照してください。
Sophos Central を証明書利用者の信頼として追加するには、次の手順を実行します。
- Microsoft AD FS で、サーバーマネージャーを開きます。
- 「ツール」をクリック し、 [AD FS の管理]を選択します。
- 「操作」で、「証明書利用者信頼の追加」をクリックします。
- 「ようこそ]」で 「要求に対応する]を選択します。
- 「データソースの選択」で、「依拠当事者に関するデータを手動で入力」を選択し、「次へ」をクリックします。
- 「表示名の指定」で、名前を入力し、「次へ」をクリックします。
- 「プロファイルの選択」で「AD FS プロファイル」を選択 し、 「次へ」をクリックします。
- 「証明書の構成」で、「次へ」をクリックします。
-
「URL の構成」で、次の手順を実行します。
- 「WS-Federation のパッシブ プロトコルのサポートを有効にする」を選択します。
-
Sophos Central コールバック URL を、「証明書利用者 WS-Federation パッシブ プロトコル URL」に入力します。
コールバック URL を見つけるには、次の手順を実行します。
- Sophos Central で「グローバル設定 > フェデレーション IdP」の順に選択します。
- IdP を選択し、「コールバック URL」に URL をコピーします。
-
「次へ」をクリックします。
-
「識別子の構成」で、「証明書利用者信頼の識別子」にエンティティ ID を入力し、「追加」をクリックして「次へ」をクリックします。
エンティティ ID を見つけるには、次の手順を実行します。
- Sophos Central で「マイプロダクト > 全般設定 > フェデレーション IdP」の順に選択します。
- IdP を選択し、ID を「エンティティ ID」にコピーします。
-
(任意) 「Configure Multi-factor Authentication Now?」で、必要に応じて、多要素認証を設定します。
- 「発行承認規則の選択]で、「すべてのユーザーにこの証明書利用者へのアクセスを許可する」を選択 し、「次へ」をクリックします。
- 「信頼の追加の準備完了」で、デフォルトの設定を保持し、「次へ」をクリックします。
-
「完了」で、ウィザードの終了時にこの証明書利用者信頼の [要求規則の編集] ダイアログを開く」を選択 し、「閉じる」をクリックします。
「要求規則の編集」ダイアログが表示されます。
-
「要求規則の編集」の「発行承認規則」で「規則の追加」をクリックします。
「変換要求規則の追加ウィザード」が開きます。
-
「規則の種類の選択」で「要求規則テンプレート」で、「LDAP 属性を要求として送信」を選択し、「次へ」をクリックします。
-
「要求規則の構成」で、次の手順を実行します。
- 「要求規則名」に、規則の名前を入力します。
- 「属性ストア」で、Active Directory を選択します。
-
「LDAP 属性の出力方向の要求の種類への関連付け」で、次の表に示すように属性をマッピングします。
LDAP 属性 出力方向の要求の種類 E-mail-Addresses 名前 ID Given-Name 名 Surname 姓 E-mail-Addresses 電子メールアドレス -
「完了」をクリックします。
これで、Microsoft AD FS を IdP として追加できます。詳細は、IDプロバイダの追加 (Entra ID/Open IDC/ADFS)を参照してください。