このチェックリストには、Active Directory フェデレーション サービス (AD FS) のフェデレーション サーバーの役割のために Windows Server® 2012 を実行しているサーバーを準備するために必要な展開タスクが含まれています。
注
このチェックリストのタスクは順番に実行してください。 参照リンクがプロシージャに移動したら、その手順の手順を完了した後にこのトピックに戻り、このチェックリストの残りのタスクに進むことができます。
![[フェデレーション サーバーのセットアップ] チェック リストのアイコン。](media/2b05dce3-938f-4168-9b8f-1f4398cbdb9b.gif)
チェックリスト: フェデレーション サーバーの設定
| 課題 | リファレンス |
|---|---|
| AD FS フェデレーション サーバーの展開を開始する前に、次の内容を確認します。1.) AD FS 構成データベース 2 を格納するために Windows 内部データベース (WID) または SQL Server を選択する場合の長所と短所。 AD FS 展開トポロジの種類と、それに関連付けられているサーバー配置とネットワーク レイアウトの推奨事項。 |
AD FS 展開トポロジを決定する |
| AD FS の容量計画ガイダンスを確認して、運用環境で使用する必要があるフェデレーション サーバーの適切な数を決定します。 |
フェデレーション サーバーの容量の計画 |
| 組織内のフェデレーション サーバーを配置する場所に関する AD FS デザイン ガイドの情報を確認する |
フェデレーション サーバーの配置の計画 |
| スタンドアロンのフェデレーション サーバーとフェデレーション サーバー ファームのどちらを展開に適しているかを判断します。 |
フェデレーション サーバーを作成するタイミング |
| この新しいフェデレーション サーバーをアカウント パートナー組織とリソース パートナー組織のどちらで作成するかを決定します。 |
アカウント パートナーでのフェデレーション サーバーの役割を確認する |
| フェデレーション サーバーがサービス通信証明書とトークン署名証明書を使用して、クライアントとフェデレーション サーバーのプロキシ要求を安全に認証する方法に関する情報を確認します。 注意:https://myserverなどの修飾されていないホスト名を持つ証明書を使用することは長い間一般的でしたが、これらの証明書にはセキュリティ値がなく、攻撃者がエンタープライズ クライアントに AD FS フェデレーション サービスを偽装する可能性があります。 そのため、 https://myserver.contoso.com などの完全修飾ドメイン名 (FQDN) を使用し、フェデレーション サービスの FQDN に発行された SSL 証明書のみを使用することをお勧めします。 |
フェデレーション サーバーの証明書の要件 |
| フェデレーション サーバーへの名前解決が成功するように、企業ネットワーク ドメイン ネーム システム (DNS) を更新する方法に関する情報を確認します。 |
フェデレーション サーバーの名前解決の要件 |
| フェデレーション サーバーになるコンピューターを、アカウント パートナー フォレストまたはリソース パートナー フォレスト内のドメインに参加させます。このコンピューターは、そのフォレストのユーザーの認証またはフォレストの信頼に使用されます。 手記: アカウント パートナー組織でフェデレーション サーバーを設定する場合は、まず、そのフォレストまたは信頼するフォレストのユーザーを認証するためにフェデレーション サーバーを使用するフォレスト内の任意のドメインにコンピューターを参加させる必要があります。 |
![フェデレーション サーバーの設定を参照して使用できる [コンピューターをドメインに参加させる] リンクのアイコン。](media/15dd35b6-6cc6-421f-93f8-7109920e7144.gif)
コンピューターをドメインに参加させる |
| フェデレーション サーバーの DNS ホスト名をフェデレーション サーバーの IP アドレスにポイントする新しいリソース レコードを企業ネットワーク DNS に作成します。 |
フェデレーション サーバーの企業 DNS にホスト (A) リソース レコードを追加する |
| (省略可能)フェデレーション サーバーをフェデレーション サーバー ファームに追加する場合は、他のフェデレーション サーバーが同じ証明書をインポートする必要があるときに証明書のファイル形式を準備できるように、既存のトークン署名証明書の秘密キーを (ファーム内の最初のフェデレーション サーバーで) 最初にエクスポートする必要がある場合があります。 発行されたサーバー認証証明書を複数のコンピューターで再利用できる (エクスポートする必要がない) 場合や、ファーム内の各フェデレーション サーバーの一意のサーバー認証証明書を取得する場合は、秘密キーのエクスポートは必要ありません。 手記: AD FS 管理スナップインは、フェデレーション サーバーのサーバー認証証明書をサービス通信証明書として参照します。 |
サーバー認証証明書の秘密キー部分をエクスポートする |
| 証明機関 (CA) からサーバー認証証明書 (または秘密キー) を取得した後、各フェデレーション サーバーの既定の Web サイトに証明書ファイルをインポートする必要があります。 手記: AD FS フェデレーション サーバー構成ウィザードを使用するには、この証明書を既定の Web サイトにインストールする必要があります。 |
サーバー認証証明書を既定の Web サイトにインポートする |
| (省略可能)CA からサーバー認証証明書を取得する代わりに、インターネット インフォメーション サービス (IIS) を使用してフェデレーション サーバーのサンプル証明書を作成できます。 注意: 自己署名サーバー認証証明書を使用して、運用環境にフェデレーション サーバーを展開することは、セキュリティ上のベスト プラクティスではありません。 |
IIS: Self-Signed サーバー証明書を作成し、「サーバー認証証明書を既定の Web サイトにインポートする」の手順を完了します |
| アカウント パートナー組織でフェデレーション サーバー ファーム環境を構成する場合は、ファームが存在する Active Directory Domain Services (AD DS) に専用のサービス アカウントを作成して構成し、このアカウントを使用するようにファーム内の各フェデレーション サーバーを構成する必要があります。 この手順を実行すると、企業ネットワーク上のクライアントが、Windows 統合認証を使用してファーム内の任意のフェデレーション サーバーに対して認証できるようになります。 |
フェデレーション サーバー ファームのサービス アカウントを手動で構成する |
| フェデレーション サーバーになるコンピューターにフェデレーション サービスの役割サービスをインストールします。 |
フェデレーション サービス役割サービスをインストールする |
| AD FS フェデレーション サーバー構成ウィザードを使用して、フェデレーション サーバーの役割で動作するように、コンピューター上の AD FS ソフトウェアを構成します。 スタンドアロンのフェデレーション サーバーを設定する場合、新しいファームに最初のフェデレーション サーバーを作成する場合、またはコンピューターを既存のフェデレーション サーバー ファームに参加させる場合は、次の手順に従います。 手記: フェデレーション Web シングル Sign-On (SSO) 設計では、アカウント パートナー組織に少なくとも 1 つのフェデレーション サーバーがあり、リソース パートナー組織に少なくとも 1 つのフェデレーション サーバーが必要です。 |
Stand-Alone フェデレーション サーバーを作成する |
| (省略可能)AD FS 管理スナップインを使用して、設計の展開に必要な AD FS 証明書を追加して構成します。 スナップインを使用して証明書を追加または変更するタイミングの詳細については、「 フェデレーション サーバーの証明書の要件」を参照してください。 |
![フェデレーション サーバーの設定を参照して使用できる [Token-Signing 証明書の追加] リンクのアイコン。](media/bc6cea1a-1c6c-4124-8c8f-1df5adfe8c88.gif)
Token-Signing 証明書を追加する |
| これが組織内で最初のフェデレーション サーバーである場合は、AD FS の設計に準拠するようにフェデレーション サービスを構成します。 |
チェックリスト: アカウント パートナー組織の構成 |
| クライアント コンピューターから、フェデレーション サーバーが動作していることを確認します。 |
が動作していることを確認する |