none
ADFSの証明書認証で403エラー RRS feed

  • 質問

  • やりたいことは、O365にログインする際に、WAP経由の場合は証明書認証必須の環境を構築することです。

    現状、以下の構成で環境を構築済みです。いずれもWindowsサーバー2012R2です。

     AD、ADFS3.0、WAP3.0

    ADFSの多要素認証の証明書認証を利用するために、ActiveDirectory証明書サービスをインストールし、

    クライアントPCにユーザー証明書をインストールして、O365にログインしようとしたところ、

    以下のようなエラーが表示されてしまいます。

     Web サイトによってこのページの表示を拒否されました
       HTTP 403  
     可能性のある原因:
     •この Web サイトを表示するにはログインが必要です。

    いろいろ調べてみたのですが、解決方法が分からない状況です。

    何かヒントとなるようなサイト情報等、わかる方がいらっしゃいましたら、ご教授の程、よろしくお願い致します。

    2016年11月21日 8:19

回答

すべての返信

  • チャブーンです。

    この件ですが、

    ActiveDirectory証明書サービスをインストールし、クライアントPCにユーザー証明書をインストールして、

    これだけではとくに認証に変化はないはずで(クライアント証明書を受け入れるかどうかはサーバ側の設定になりますので)、AD FSサーバあるいはWAPサーバに何らかの追加設定を行ったはずです。

    まずはそれら「ご自身で設定変更した内容のすべて」をお知らせいただかないと、話しは先に進まないと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2016年11月22日 3:39
    モデレータ
  • ご指摘いただきまして、ありがとうございます。

    説明足らずで申し訳ありません。

    クライアントPCに対しては、以下URLよりユーザー証明書をインストールしました。

    https://<証明書サービスをインストールしたサーバーのFQDN>/certsrv/

    その後、ユーザー証明書のルート証明書を「信頼されたルート証明機関」に入れました。

    WAPに対しては、ユーザー証明書のルート証明書を「信頼されたルート証明機関」に入れました。

    WAPの外部からのポートは443と49443のみ解放しています。

    ADFSに対しては、ADFSの管理から、多要素認証の設定で、場所の「エクストラネット」と「証明書認証」にチェックを入れました。

    この状態でログインしようとすると、証明書の選択のダイアログが表示され、「OK」を選択すれば

    「Web サイトによってこのページの表示を拒否されました」と表示されてしまいます。

    よろしくお願いいたします。


    • 編集済み dtsccm 2016年11月22日 5:33
    2016年11月22日 5:26
  • チャブーンです。

    Office 365で証明書認証を有効化するためには、単にAD FS側の設定だけではなく、Office 365 が直接参照する Azure Active Directory(透過的に設定されており、自動的に追加設定されています)に対して、クレーム要求の定義追加が必要です。

    詳細については、したのページが参考になると思いますので、最初の部分を含め、全工程を確認されてみてはいかがでしょうか?

    https://blogs.msdn.microsoft.com/samueld/2016/07/19/adfs-certauth-aad-o365/


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2016年11月22日 7:20
    モデレータ
  • 回答ありがとうございます。

    いただいた情報を参考に、環境を確認しようと思います。

    ひとまず、お礼まで。

    2016年11月22日 9:11
  • 何度もすみません。

    いろいろ見直してみたのですが、相変わらず HTTP403エラーが発生します。

    その時のURLは以下のような感じです。

    https://[WAPのFQDN]:49443/adfs/ls/?client-request-id=6c2e61f8-2f83-415f-b3bf-18171036397d&username=aduser01%40[フェデレーションドメイン]&wa=wsignin1.0&wtrealm=urn%3afederation%3aMicrosoftOnline&wctx=estsredirect%3d2%26estsrequest%3drQIIAY2PvU7CUABGLT-DJCo6qLviorRQSqEkxFR-DAoWKyCwNJf23tJQ2nrvVWBw4g14AqObcTC6sejs5Ozo5CM4GdHdxO3LSb6TnNBcZqNLqUcyHOe5mAKbdRGydMjqbp91sWkZPwuvhMKfgLXHnCY_Pq2vhUXp8pbZ-vPJ2cAxLMdkAfGGrwzzwTAPvmAlV9krvfmWFWyWjFNShAbEgFqu8-5bqBOIFcce1dwedCb-Rds1LUcjGGnIdgczMLN6QKcatfQepFP_JkIiSiMgRQUY46NCHIhRSejoUcEAQppPJTsolnoO3NdeA-HPAHMdnCWs3n6ZV0ut_GSyc4MrjbuXIKcci3I1JlXb9UajqJatPE_U7eqh3c2dDNUa6ZeTB4NCkewDZZAVMvHp_Jj5X_UuBdiENBvhkQEROLfpL44kEI0kjISVPsMmaRZy6kVT5Ee9ND0cFc5SciwO80JSTun1ltIdNVttsXlUl8FFy4kPoQqP20mTGKff0&popupui=

    どのあたりの設定が足らないか、分かりますでしょうか?

    難しそうでしたら有償サポートにお願いしようと思います。

    よろしくお願い致します。


    • 編集済み dtsccm 2016年11月24日 9:08
    2016年11月24日 9:05
  • チャブーンです。

    そうですか。そのようなエラーが出る状況はRP(ここではO365)とADFSの信頼についての「クレーム条件」が適切に「双方に」登録されていないからだと思います。

    もう一度「MFA」という条件で確認したところ、以下の資料がありましたので、お知らせしておきます。

    https://blog.auth360.net/2014/10/23/mfa-conditional-access-policies-in-ad-fs-2012-r2/

    ※グローバル条件にある設定項目であればGUIでできますが、そうでない項目の場合はPowerShellで明示的に指定する必要があります。

    また、これだけだと(ADFS側の設定変更が)RP側に伝わっていないため、ADFS側からRPに対してフェデレーション信頼の再設定(Update-MsolFederatedDomain)を行う必要があるようです。方法については、したのページを参考にしてください。

    http://jackstromberg.com/2013/06/office-365-cant-sign-in-error-80041317/


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2016年11月24日 11:31
    モデレータ