【IDM】AD FS で既存のクレームルールセットをバックアップするには

前回以下の投稿をしました。 【IDM】AD FS で Event ID 323、364 が発生して認可されない場合の対処 この投稿に関連し、既存のクレームルールセットをバックアップする方法についても紹介しておきます。クレームルールは大切なリソースですから、変更の前には必ずバックアップするようにしましょう。 AD FS には PowerShell 用コマンドレットが大量に用意されており、それらを使えばバックアップなんて簡単です。 AD FS 2.0 Cmdlets in Windows PowerShell クレームルールセットを取得できるのは、以下の2つです。 Get-ADFSClaimsProviderTrust :要求プロバイダー信頼に関する情報の取得 Get-ADFSRelyingPartyTrust :証明書利用者信頼(RP)に関する情報の取得 いずれのコマンドレットも、出力のフォーマットは同様です。今回は、Get-ADFSClaimsProviderTrust を使用してみます。 PowerShell コンソールを開き、 以下のコマンドレットで AD FS スナップインを読み込んでください。 PS C:\>Add-PSSnapin Microsoft.Adfs.Powershell 要求プロバイダー名が "Active Directory" であれば、以下のようにして要求プロバイダーの情報を取得することができます。 PS C:\> Get-ADFSClaimsProviderTrust -Name "Active Directory" 出力結果の中に AcceptanceTransformRules というプロパティが用意されていますが、これがクレームルールセットです。 そこで、以下のように入力すると、以下のように、クレームルールセットのみを取得することができます。 PS C:\> $cp =…

1

【IDM】AD FS で Event ID 323、364 が発生して認可されない場合の対処

みなさん、AD FS 使ってますか~? とかるーいノリで…。 たったいま、ハマった現象について覚書程度に記しておきます。 AD FSをインストールすると、規定の要求プロバイダーとして Active Directory が登録されます。 でもって、この要求プロバイダー"Active Directory"には、既定のクレームルールセットが登録されています。 この規定のクレームルールを削除してしまうと、認証方式や認証のタイムスタンプ等をRP(Relying Party)側に伝えることができなくなり、RP 側の STS からセキュリティトークン発行を拒否されてしまうことがあります(RP 側 STS の実装によります)。 拒否されると、イベントログには以下のようなイベントが出力されます。 フェデレーション サービスは、発信者 ” から証明書利用者 ‘https://tfazureforitpro.accesscontrol.windows.net/’ へのサブジェクト ‘Administrator’ の代理としてのトークンの発行を承認できませんでした。 発信者 ID については、同じインスタンス ID を持つイベント 501 を参照してください。 OnBehalfOf ID (存在する場合) については、同じインスタンス ID を持つイベント 502 を参照してください。 インスタンス ID: d3c3c678-6bce-4fb5-90ee-f86810c4c53c 例外の詳細: Microsoft.IdentityServer.Service.IssuancePipeline.OnBehalfOfAuthorizationException: MSIS5009: 証明書利用者信頼 https://tfazureforitpro.accesscontrol.windows.net/ の発信者 ID および委任…