#はじめに
Windows ServerのADFSサービスですが、セキュリティ攻撃のターゲットになることが多く、セキュリティを管理している部門から各種設定を追加するようにといった要求が来ることがあります。
ここでは、Contents-Security-Policy(CSP)ヘッタ(以下 CSPヘッタ)の設定方法を記載します。
#事前確認
実行前に、ADFSサーバーアクセスした際にCSPヘッタが設定されていないことを確認します。
ブラウザ(chromeなど)を開き、F12キーをクリック、ネットワークのタブを選択します。続いて、ADFSのURLを開きます。
https:///adfs/ls/IdpInitiatedSignon.aspx
Response Headers に 「Contents-Security-Policy」が無いことを確認します。
#設定
ADFSサーバー(複数台ある場合プライマリサーバー)にログインします。サーバー上で、PowerShellを管理者モードで起動します。
下記のコマンドを実行します。
Set-AdfsResponseHeaders -SetHeaderName "Content-Security-Policy" -SetHeaderValue "default-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self';"
Set-AdfsResponseHeaders -EnableResponseHeaders $true
設定後下記コマンドで設定内容を確認できます。
PS C:\windows\system32> Get-AdfsResponseHeaders | fl
ResponseHeaders : {[X-Frame-Options, DENY], [Content-Security-Policy, default-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self';]}
ResponseHeadersEnabled : True
#確認
設定が正しく反映しているか確認します。確認の項目と同様にブラウザ(chromeなど)を開き、F12キーをクリック、ネットワークのタブを選択します。続いて、ADFSのURLを開きます。
Response Headersに「Content-Security-Policy」が増えて設定が追加されていることを確認します。
##参考資料
[AD FS 2019 で HTTP セキュリティ応答ヘッダーをカスタマイズする][link-1]
[link-1]:https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/operations/customize-http-security-headers-ad-fs