ADFS でメタデータ ファイルをインストールして下さい

概要

この資料に Microsoft Active Directory フェデレーション サービス（ADFS）でメタデータ ファイルをインストールする方法を記述されています。

前提条件

要件

次の項目に関する知識が推奨されます。

• ADFS
• セキュリティ管理 アプライアンスとのセキュリティ アサーション マークアップ言語（SAML）統合

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

• SMA 11.x.x
• SMA 12.x.x

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

背景説明

メタデータ ファイルが ADFS にインストールされている前に、これらの必要条件が当たるようにして下さい:

• SMA で有効に なる SAML
• 組織によって使用される識別プロバイダが Cisco コンテンツ セキュリティ管理アプライアンスによってサポートされるかどうか確かめて下さい。 これらはサポートされた識別プロバイダです:

  • Microsoft Active Directory フェデレーションは（ADFS） 2.0 を保守します

  • PING 識別 PingFederate 7.2

  • Cisco Web セキュリティ アプライアンス 9.1

• アプライアンスと識別プロバイダ間のコミュニケーションを保護するために必要となるこれらの証明書を得て下さい:

  • アプライアンスに SAML 認証要求に署名してほしいか、または識別プロバイダに SAML 表明を暗号化してほしかったら信頼された認証局（CA）および関連するプライベートキーからの自己署名証明書か証明書を得て下さい。

  • 識別プロバイダに SAML 表明に署名してほしい場合識別プロバイダの証明書を得て下さい。 アプライアンスは署名された SAML 表明を確認するのにこの証明書を使用します

設定

ステップ 1. SMA にナビゲート し、イメージに示すようにシステム 管理 > SAML > ダウンロード メタデータを、選択して下さい。

呼び出します。 識別プロバイダ プロファイルは顧客が彼の ADFS メタデータ ファイルをアップロードするとき自動的に記入します。 Microsoft にデフォルト URL があります: https://<ADFS-host>/FederationMetadata/2007-06/FederationMetadata.xml.

ステップ 3 プロファイルが両方とも設定されれば、SP プロファイル メタデータは不具合 CSCvh30183 によって、編集する必要があります。 イメージに示すようにメタデータ ファイル外観。

ステップ 4.端メタデータ ファイルで強調表示された情報を、イメージに示すようにあるなります取除いて下さい。

ステップ 5. ADFS にナビゲート し、イメージに示すように ADFS ツール > AD FS 管理 > Add 依存パーティ信頼の編集されたメタデータ ファイルを、インポートして下さい。

ステップ 6 正常にメタデータ ファイルをインポートした後、新しく作成された依存パーティ信頼のためのクレーム ルールを、選択しますイメージに示すようにクレーム ルール テンプレート > 送信 LDAP 属性を、設定して下さい。

ステップ 7.クレーム ルール名前を挙げ、アトリビュート ストア > Active Directory を選択して下さい。

ステップ 8.イメージに示すようにマップ LDAP 属性。

• LDAP アトリビュート > Ｅメールアドレス
• 発信クレームの種類 > Ｅメールアドレス

ステップ 9.イメージに示すようにこの情報で新しいカスタム クレーム ルールを、作成して下さい。

これはカスタム クレーム ルールに追加される必要があるカスタマイズした方法です:

c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] =>
issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer
= c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] =
"urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress",
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier
"] = "https://<smahostname>:83");

• SMA ホスト名およびポート（CES 環境との強調表示された URL をにあったら、ポートが必要となりません修正して下さい euq1.<allocation>.iphmx.com を指す必要があります）

ステップ 10： クレーム ルール順序が次のとおりであるようにして下さい: LDAP クレーム ルール イメージに示すように最初におよびカスタム クレーム ルール第 2。

ステップ 11. EUQ へのログイン、それは ADFS ホストにリダイレクトする必要があります。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連情報

• CSCvh30183
• テクニカル サポートとドキュメント – Cisco Systems