次の方法で共有

Stand-Alone フェデレーション サーバーを作成する

フェデレーション サービスの役割サービスをインストールし、コンピューターに必要な証明書を構成したら、フェデレーション サーバーになるようにコンピューターを構成する準備が整います。 次の手順を使用して、コンピューターをスタンドアロン フェデレーション サーバーに設定できます。 スタンドアロン フェデレーション サーバーを作成する操作では、新しいフェデレーション サービスも作成されます。 AD FS フェデレーション サーバー構成ウィザードを使用してフェデレーション サーバーを作成します。

フェデレーション Web シングルSign-On (SSO) 設計では、アカウント パートナー組織に少なくとも 1 つのフェデレーション サーバーがあり、リソース パートナー組織に少なくとも 1 つのフェデレーション サーバーが必要です。 詳細については、「 フェデレーション サーバーを配置する場所」を参照してください。

この手順を完了するには、ローカル コンピューター上の Administrators または同等のメンバーシップが最低限必要です。 適切なアカウントとグループメンバーシップの使用に関する詳細については、ローカルグループとドメインの既定のグループ (http://go.microsoft.com/fwlink/?LinkId=83477).) を参照してください。

スタンドアロン フェデレーション サーバーを作成するには

  1. AD FS フェデレーション サーバー構成ウィザードを開始するには、2 つの方法があります。 ウィザードを開始するには、次のいずれかの操作を行います。

    • フェデレーション サービス役割サービスのインストールが完了したら、AD FS 管理スナップインを開き、[概要] ページまたは [操作] ウィンドウの [AD FS フェデレーション サーバー構成ウィザード] リンクをクリックします。

    • セットアップ ウィザードが完了したら、いつでも Windows エクスプローラーを開き、 C:\Windows\ADFS フォルダーに移動し、 FsConfigWizard.exeダブルクリックします。

  2. [ ようこそ ] ページで、[ 新しいフェデレーション サービスの作成 ] が選択されていることを確認し、[ 次へ] をクリックします。

  3. [ Stand-Alone またはファーム展開の選択 ] ページで、[ スタンドアロン フェデレーション サーバー] をクリックし、[ 次へ] をクリックします。

    重要

    AD FS フェデレーション サーバー構成ウィザードで [スタンドアロン フェデレーション サーバー] オプションを選択すると、このフェデレーション サービスに関連付けられているサービス アカウントが NETWORK SERVICE アカウントに自動的に割り当てられます。 NETWORK SERVICE をサービス アカウントとして使用することは、テスト ラボ環境で AD FS を評価する場合にのみ推奨されます。 スタンドアロン フェデレーション サーバー オプションを使用して、運用環境にフェデレーション サーバーを展開する場合は、この新しいフェデレーション サービスの要求を処理するために専用のより適切なサービス アカウントにこのサービス アカウントを変更することが重要です。 サービス アカウントを NETWORK SERVICE 以外のアカウントに変更すると、フェデレーション サーバーが悪意のある攻撃に対して脆弱になる可能性のある攻撃ベクトルが軽減されます。

  4. [ フェデレーション サービス名の指定] ページで、表示されている SSL 証明書 が正しいことを確認します。 そうでない場合は、SSL 証明書の一覧から適切な 証明書 を選択します。

    この証明書は、既定の Web サイトの Secure Sockets Layer (SSL) 設定から生成されます。 既定の Web サイトに SSL 証明書が 1 つだけ構成されている場合、その証明書が表示され、使用するために自動的に選択されます。 既定の Web サイトに対して複数の SSL 証明書が構成されている場合は、これらの証明書がすべてここに一覧表示され、その中から選択する必要があります。 既定の Web サイト用に構成された SSL 設定がない場合は、ローカル コンピューターの個人用証明書ストアで使用できる証明書から一覧が生成されます。

    SSL 証明書が IIS 用に構成されている場合、ウィザードでは証明書をオーバーライドできません。 これにより、SSL 証明書に対して意図された以前の IIS 構成が保持されます。 この制限を回避するには、IIS 管理コンソールを使用して証明書を削除するか、手動で再構成します。

  5. 選択した AD FS データベースが既に存在する場合は、[ 既存の AD FS 構成データベースが検出 されました] ページが表示されます。 その場合は、[データベースの 削除] をクリックし、[ 次へ] をクリックします。

    注意事項

    このオプションは、この AD FS データベース内のデータが重要でないか、運用フェデレーション サーバー ファームで使用されていないことが確実な場合にのみ選択します。

  6. [ 設定の適用準備完了] ページで、詳細を確認します。 設定が正しいと思われる場合は、[ 次へ ] をクリックして、これらの設定で AD FS の構成を開始します。

  7. [ 構成結果 ] ページで、結果を確認します。 すべての構成手順が完了したら、[ 閉じる ] をクリックしてウィザードを終了します。

その他の参照情報

チェックリスト:フェデレーション サーバーのセットアップ