このトピックでは、運用環境で使用する Active Directory フェデレーション サービス (AD FS) 展開トポロジの計画と設計に役立つ重要な考慮事項について説明します。 このトピックは、AD FS の展開後に使用できる機能に影響を与える考慮事項を確認および評価するための開始点です。 たとえば、AD FS 構成データベースを格納するデータベースの種類によっては、最終的に、SQL Server を必要とする特定のセキュリティ アサーション マークアップ言語 (SAML) 機能を実装できるかどうかが決まります。
使用する AD FS 構成データベースの種類の決定
AD FS は、データベースを使用して構成を格納し、場合によってはフェデレーション サービスに関連するトランザクション データを格納します。 AD FS ソフトウェアを使用して、組み込みの Windows 内部データベース (WID) または Microsoft SQL Server 2005 以降を選択して、フェデレーション サービスにデータを格納できます。
ほとんどの場合、2 つのデータベースの種類は比較的同等です。 ただし、AD FS で使用できるさまざまな展開トポロジの詳細を読み始める前に、注意すべきいくつかの違いがあります。 次の表では、WID データベースと SQL Server データベースの間でサポートされている機能の違いについて説明します。
AD FS の機能
| 特徴 | WID でサポートされていますか? | SQL Server でサポートされていますか? | この機能の詳細 |
|---|---|---|---|
| フェデレーション サーバー ファームの展開 | はい。各ファームのフェデレーション サーバーは 30 台に制限されています | はい。 1 つのファームに展開できるフェデレーション サーバーの数に対して適用される制限はありません | AD FS 展開トポロジを決定する |
| SAML アーティファクト解決 注: この機能は、Microsoft Online Services、Microsoft Office 365、Microsoft Exchange、または Microsoft Office SharePoint のシナリオでは必要ありません。 | いいえ | イエス | AD FS 構成データベースの役割 |
| SAML/WS-Federation トークンリプレイ検出 | いいえ | イエス | AD FS 構成データベースの役割 |
データベース機能
| 特徴 | WID でサポートされていますか? | SQL Server でサポートされていますか? | この機能の詳細 |
|---|---|---|---|
| プルレプリケーションを用いた基本的なデータベースの冗長化では、読み取り専用コピーをホストする1つ以上のサーバーが、データベースの読み取り/書き込みコピーをホストするソースサーバーで行われた変更を要求します。 | イエス | いいえ | AD FS 構成データベースの役割 |
| フェールオーバー クラスタリングやミラーリングなどの高可用性ソリューションを使用したデータベースの冗長性 (データベース レイヤーのみ) 注: すべての AD FS 展開トポロジでは、AD FS サービス レイヤーでのクラスタリングがサポートされます。 | いいえ | イエス | AD FS 構成データベースの役割 |
SQL Server に関する考慮事項
AD FS 展開の構成データベースとして SQL Server を選択する場合は、次のデプロイの事実を考慮する必要があります。
SAML 機能とそのデータベース サイズと増加への影響。 SAML アーティファクト解決または SAML トークンリプレイ検出機能が有効になっている場合、AD FS は発行された各 AD FS トークンの情報を SQL Server 構成データベースに格納します。 このアクティビティの結果としての SQL Server データベースの増加は重要とは見なされず、構成されたトークンリプレイリテンション期間によって異なります。 各成果物レコードのサイズは約 30 KB です。
デプロイに必要なサーバーの数。 SQL Server インスタンスの専用ホストとして機能するサーバーを少なくとも 1 つ追加する必要があります (AD FS インフラストラクチャのデプロイに必要なサーバーの合計数)。 フェールオーバー クラスタリングまたはミラーリングを使用して SQL Server 構成データベースのフォールト トレランスとスケーラビリティを提供する予定の場合は、少なくとも 2 つの SQL サーバーが必要です。
選択した構成データベースの種類がハードウェア リソースに与える影響
SQL Server データベースを使用してファームに展開されるフェデレーション サーバーとは対照的に、WID を使用してファームに展開されているフェデレーション サーバー上のハードウェア リソースへの影響は重要ではありません。 ただし、ファームに WID を使用する場合、そのファーム内の各フェデレーション サーバーは、AD FS 構成データベースのローカル コピーのレプリケーションの変更を格納、管理、および維持する必要があり、フェデレーション サービスで必要な通常の操作を引き続き提供する必要があることを考慮することが重要です。
これに対し、SQL Server データベースを使用するファームに展開されるフェデレーション サーバーには、必ずしも AD FS 構成データベースのローカル インスタンスが含まれているとは限りません。 そのため、ハードウェア リソースに対する要求が若干少なくなる可能性があります。
運用環境で AD FS の展開をサポートできることを確認する
展開するフェデレーション サーバーに加えて、既存の運用環境のセットアップ方法によっては、新しい AD FS 展開をサポートするために必要なインフラストラクチャを提供するために、次の追加サーバーが必要になる場合があります。
Active Directory ドメイン コントローラ
証明機関 (CA)
フェデレーション メタデータをホストする Web サーバー
ネットワーク負荷分散 (NLB)