Active Directory フェデレーション サービス (AD FS) のこの展開トポロジは、Windows 内部データベース (WID) トポロジを持つフェデレーション サーバー ファームと同じですが、外部ユーザーをサポートするためにフェデレーション サーバー プロキシを境界ネットワークに追加します。 フェデレーション サーバー プロキシは、企業ネットワークの外部から送信されたクライアント認証要求をフェデレーション サーバー ファームにリダイレクトします。
デプロイに関する考慮事項
このセクションでは、この展開トポロジに関連する対象ユーザー、利点、制限事項に関するさまざまな考慮事項について説明します。
誰がこのトポロジを使用するべきですか?
内部ユーザーと外部ユーザー (企業ネットワークの外部にあるコンピューターにログオンしているユーザー) の両方にフェデレーション アプリケーションまたはサービスへのシングル サインオン (SSO) アクセスを提供する必要がある、構成済みの信頼関係が 100 以下の組織
内部ユーザーと外部ユーザーの両方に Microsoft Office 365 への SSO アクセスを提供する必要がある組織
外部ユーザーが存在し、冗長でスケーラブルなサービスを必要とする小規模な組織
このトポロジを使用する利点は何ですか?
- WID トポロジを使用するフェデレーション サーバー ファームの一覧と同じ利点と、外部ユーザーに追加のアクセスを提供する利点
このトポロジを使用する場合の制限事項は何ですか?
- WID トポロジを使用するフェデレーション サーバー ファームの一覧と同じ制限事項
サーバーの配置とネットワーク レイアウトに関する推奨事項
このトポロジを展開するには、2 つのフェデレーション サーバー プロキシを追加するだけでなく、境界ネットワークがドメイン ネーム システム (DNS) サーバーと 2 つ目のネットワーク負荷分散 (NLB) ホストへのアクセスも提供できることを確認する必要があります。 2 番目の NLB ホストは、インターネットにアクセス可能なクラスター IP アドレスを使用する NLB クラスターで構成する必要があります。また、企業ネットワーク (fs.fabrikam.com) で構成した以前の NLB クラスターと同じクラスター DNS 名設定を使用する必要があります。 フェデレーション サーバー プロキシも、インターネットからアクセス可能な IP アドレスで構成する必要があります。
次の図は、前述の WID トポロジを持つ既存のフェデレーション サーバー ファームと、架空の Fabrikam, Inc. 社が境界 DNS サーバーへのアクセスを提供し、同じクラスター DNS 名 (fs.fabrikam.com) を持つ 2 つ目の NLB ホストを追加し、2 つのフェデレーション サーバー プロキシ (fsp1 と fsp2) を境界ネットワークに追加する方法を示しています。
WID を使用するサーバーファーム
フェデレーション サーバーまたはフェデレーション サーバー プロキシで使用するネットワーク環境を構成する方法の詳細については、「フェデレーション サーバー の 名前解決要件」または「フェデレーション サーバー プロキシ の名前解決要件参照してください。