要求に対応するアプリは、セキュリティ トークン サービス (STS) へのリダイレクトを実行します。 STS は、トークンと引き換えにユーザーの資格情報を要求し、アプリケーションにユーザーをリダイレクトします。 アプリケーション プロキシがこれらのリダイレクトを操作できるようにするには、いくつかの方法があります。 この記事の手順に従って、要求に対応するアプリのデプロイを構成します。
[前提条件]
クレーム対応アプリがリダイレクトする STS は、オンプレミス ネットワークの外部で使用できる必要があります。 プロキシを介して、または外部接続を許可して公開します。
アプリケーションを公開する
- アプリケーション プロキシを使用したアプリケーションの発行に関するページで説明されている手順に従って 、アプリケーションを発行します。
- ポータルのアプリケーション ページに移動し、 [シングル サインオン] を選択します。
- [事前認証方法] として [Microsoft Entra ID] を選択した場合は、[内部認証方法] として [Microsoft Entra シングル サインオンが無効] を選択してください。 [事前認証方法] として [パススルー] を選択した場合は、何も変更する必要はありません。
Active Directory フェデレーション サービス (AD FS)の構成
要求に対応するアプリの Active Directory フェデレーション サービスは、2 つの方法のいずれかで構成できます。 1 つはカスタム ドメインを使用する方法で、 もう 1 つは WS-Federation を使用する方法です。
方法 1: カスタム ドメイン
アプリケーションのすべての内部 URL が完全修飾ドメイン名 (FQDN) になっている場合は、アプリケーションのカスタム ドメインを構成することができます。 このカスタム ドメインを使用して、内部 URL と同じ外部 URL を作成できます。 外部 URL が内部 URL と一致すると、ユーザーがオンプレミスかリモートかに関わらず、STS リダイレクト機能が作動します。
方法 2: WS-Federation
Active Directory フェデレーション サービスの管理コンソールを開きます。
信頼できるパーティに移動し、アプリケーション プロキシを用いて公開するアプリを右クリックして、[プロパティ] を選択します。
![[証明書利用者信頼] でアプリ名を右クリックしているスクリーンショット](media/application-proxy-configure-for-claims-aware-applications/appproxyrelyingpartytrust.png)
[エンドポイント] タブの [エンドポイントの種類] で、 [WS-Federation] を選択します。
[ 信頼できる URL] で、アプリケーション プロキシに入力した URL を [外部 URL ] に入力し、[ OK] を選択します。
