現象
ADFSとOffice365のフェデレーションをセットアップしたところ、Microsoftの証明書利用者信頼「Microsoft Office 365 Identity Platform」の左側に「×」印が表示される。
どうやらフェデレーションメタデータの監視に失敗したようで(メタデータURLから自動更新する設定だった)、とりいそぎ確認のため「URLのテスト」を実行する。
すると今度は「フェデレーションメタデータの取得に失敗。プロキシサーバを確認してください」とのエラーメッセージ。
えっ?!プロキシ??
うーん。。。WAPも設定していないし、IEからメタデータのURLは叩けるんだけどなあ。。。
原因
WindowsServer2016の問題でした。
Windows Server 2016の10月リリース(ビルド:10.0.14393 N / Aビルド14393)を使用している場合、証明書利用者信頼を追加するか、メタデータファイルで証明書利用者信頼を更新しようとすると、奇妙なエラーメッセージが表示される場合があります。HTTPsソースからであっても、以前に保存したローカルXMLファイルであっても、次のメッセージが表示されます。
Microsoft公式ドキュメント
解決方法
PowerShellで直接ADFSの設定しちゃいましょう!
GUIからの操作のみこのエラーが発生するみたいです。
証明書利用者信頼の追加(オンラインメタデータ)
Add-AdfsRelyingPartyTrust -Name "追加する証明書利用者の表示名" -MetadataUrl "https://[証明書利用者信頼のドメイン]/app/federationmetadata/2007-06/federationmetadata.xml"
証明書利用者信頼の追加(ファイルメタデータ)
Add-AdfsRelyingPartyTrust -Name "追加する証明書利用者の表示名" -MetadataFile "C:\Temp\FederationMetadata.xml(メタデータの置き場所)"
証明書利用者信頼の更新
Update-AdfsRelyingPartyTrust -TargetName "更新する証明書利用者の表示名"
おわり
「プロキシサーバを確認してください」と出ているもんだから、プロキシ関連の設定をすみずみまで確認してしまい、大分足踏みさせられました。
ちなみに今回はすでにADFSに登録されている証明書利用者のメタデータ更新でエラーになりましたが、新しく証明書利用者を追加しようと[ADFSの管理]>[証明書利用者信頼の追加]ウィザードで操作しても、メタデータのインポート時に同様のエラーが発生するみたいです。