秘密キーの証明書

SAML 2.0 認証を設定する際には、ID プロバイダーから提供された証明書に関する特定の請求を指定する必要があります。ここでは、秘密キーの SAML 証明書を利用するように Orchestrator インスタンスを設定する方法を順を追って説明します。この手順は、Microsoft 管理コンソールを使用して、Windows ローカルマシン証明書ストアに証明書をインポートするところから始まり、Orchestrator および Identity Server で必要な実際の設定手順に続きます。

Windows への証明書のインポート

[コントロールパネル] > [コンピューター証明書の管理] に進みます。コンソールが表示されます。
[コンソールルート] ウィンドウの左側のペインで、[信頼されたルート証明機関] フォルダーを展開して [証明書] をクリックします。
[証明書] を右クリックして、[すべてのタスク] > [インポート] を選択します。証明書のインポートウィザードが表示されます。
[ストアの場所] セクションで、「ローカルマシン」が選択されていることを確認します。[次へ] をクリックします。
[参照] をクリックして、アップロードする証明書を選択します。
[コンソールルート] および [個人] フォルダーに対してこのプロセスを繰り返します。

証明書を利用するように Orchestrator および Identity Server を設定する

アップロードが完了すると、コンソールに照明書が表示されます。
これをダブルクリックします。[証明書] ダイアログボックスが表示されます。
[詳細] タブで、フィールドのリストをスクロールし、[拇印] をクリックします。
ボックスから 16 進数の文字をコピーします。
文字間のスペースを削除します。たとえば、拇印「a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b」は、Identity Server の [外部プロバイダー] ページの [SAML] 設定では「a909502dd82ae41433e6f83886b00d4277a32a7b」と指定します。

注: [証明書] ウィンドウからコピーされた拇印は、ANSI エンコードでのみ読み取ることができる特殊文字をいくつか含んでいます。Notepad++ などの適切なアプリケーションを使用してこれらの文字を必ず削除してください。

以下のビデオで、Identity Server の [外部プロバイダー] ページで [Saml2] の設定に使用する拇印の取得方法の例を示します。
ホスト管理ポータルにシステム管理者としてログインします。
[ユーザー] ページの [認証設定] タブを選択します。
[外部プロバイダー] セクションの [SAML 2.0] の [設定] をクリックします。

[SAML 2.0 を構成] パネルがウィンドウの右側に表示されます。
[署名証明書] セクションで、以下を設定します。
- ストア名 - My を選択します。
- [ストアの場所] - LocalMachine を選択します。
- [拇印] - あらかじめ用意しておいた拇印の値を入力します。
下部の [保存] をクリックして変更を保存し、パネルを閉じます。
IIS サーバーを再起動します。外部プロバイダーに変更を加えたら必ず再起動する必要があります。