AD FS 設計プロジェクトを成功させるには、Active Directory フェデレーション サービス (AD FS) の展開目標を正しく特定することが不可欠です。 反復的なアプローチを使用して AD FS を設計および展開できるように、デプロイの目標を優先し、場合によっては組み合わせます。 AD FS の設計に関連する既存の、文書化された定義済みの AD FS 展開目標を活用し、状況に合った作業ソリューションを開発できます。
以前のバージョンの AD FS は、次の目的で最も一般的にデプロイされていました。
企業内のクレーム ベースのアプリケーションにアクセスするときに、従業員または顧客に Web ベースの SSO エクスペリエンスを提供します。
任意のフェデレーション パートナー組織のリソースにアクセスするための Web ベースの SSO エクスペリエンスを従業員または顧客に提供します。
社内でホストされている Web サイトまたはサービスにリモート アクセスするときに、従業員または顧客に Web ベースの SSO エクスペリエンスを提供します。
クラウド内のリソースやサービスにアクセスするときに、従業員または顧客に Web ベースの SSO エクスペリエンスを提供する。
これらに加えて、Windows Server® 2012 R2 の AD FS には、次の実現に役立つ機能が追加されています。
SSO およびシームレスな 2 要素認証のためのデバイス社内参加。 これにより、組織はユーザーの個人デバイスからのアクセスを許可し、このアクセスを提供する際のリスクを管理できます。
多要素アクセス制御によるリスクの管理。 AD FS は、どのアプリケーションにアクセスできるかを制御する豊富なレベルの承認を提供します。 これは、ユーザー属性 (UPN、電子メール、セキュリティ グループ メンバーシップ、認証強度など)、デバイス属性 (デバイスが職場に参加しているかどうか) または要求属性 (ネットワークの場所、IP アドレス、またはユーザー エージェント) に基づいて行うことができます。
機密性の高いアプリケーションに対する追加の多要素認証によるリスクの管理。 AD FS を使用すると、多要素認証をグローバルに、またはアプリケーションごとに要求する可能性のあるポリシーを制御できます。 さらに、AD FS は、エンド ユーザー向けのセキュリティで保護されたシームレスな多要素エクスペリエンスのために、多要素ベンダーが深く統合するための拡張ポイントを提供します。
Web アプリケーション プロキシによって保護されているエクストラネットから Web リソースにアクセスするための認証および承認機能を提供します。
要約すると、Windows Server 2012 R2 の AD FS を展開して、組織内で次の目標を達成できます。
ユーザーがどこからでも個人のデバイス上のリソースにアクセスできるようにする
ユーザーが個人のデバイスを企業の Active Directory に参加させる「ワークプレース ジョイン」により、これらのデバイスから企業リソースにアクセスする際、シームレスな体験を得ることができます。
Web アプリケーション プロキシによって保護され、インターネットからアクセスされる企業ネットワーク内のリソースの事前認証。
パスワードの変更により、ユーザーは、パスワードの有効期限が切れたときに、職場に参加しているデバイスからパスワードを変更して、リソースに引き続きアクセスできるようにします。
アクセス制御のリスク管理ツールを強化する
リスクの管理は、すべての IT 組織におけるガバナンスとコンプライアンスの重要な側面です。 Windows Server® 2012 R2 の AD FS には、次のような多数のアクセス制御リスク管理の機能強化があります。
ユーザーが AD FS でセキュリティで保護されたアプリケーションにアクセスするための認証方法を制御する、ネットワークの場所に基づく柔軟な制御。
ユーザーのデータ、デバイス データ、ネットワークの場所に基づいて多要素認証を実行する必要があるかどうかを判断する柔軟なポリシー。
SSO を無視し、機密性の高いアプリケーションにアクセスするたびにユーザーに資格情報を提供するように強制するアプリケーションごとの制御。
ユーザー データ、デバイス データ、またはネットワークの場所に基づく柔軟なアプリケーションごとのアクセス ポリシー。
AD FS エクストラネット ロックアウト。これにより、管理者はインターネットからのブルート フォース攻撃から Active Directory アカウントを保護できます。
Active Directory で無効または削除された、職場に参加しているすべてのデバイスのアクセス失効。
AD FS を使用してサインイン エクスペリエンスを強化する
管理者がサインイン エクスペリエンスをカスタマイズして強化できるようにする、Windows Server® 2012 R2 の新しい AD FS 機能を次に示します。
AD FS サービスの統合されたカスタマイズ。変更は 1 回行われ、その後、特定のファーム内の他の AD FS フェデレーション サーバーに自動的に反映されます。
モダンに見え、さまざまなフォーム ファクターに自動的に対応する、更新されたサインイン ページ。
企業ドメインに参加していないが、引き続き使用されているデバイスのフォーム ベース認証への自動フォールバックのサポートにより、企業ネットワーク (イントラネット) 内からアクセス要求が生成されます。
会社のロゴ、イラスト画像、IT サポートの標準リンク、ホーム ページ、プライバシーなどをカスタマイズするための簡単なコントロール。
サインイン ページでの説明メッセージのカスタマイズ。
Web テーマのカスタマイズ。
会社のパートナーのプライバシーを強化するため、ユーザーの組織サフィックスに基づいたホームレルムディスカバリー (HRD)。
アプリケーションごとに HRD フィルター処理を行い、アプリケーションに基づいて領域を自動的に選択します。
IT のトラブルシューティングを容易にするワンクリック エラーレポート。
カスタマイズ可能なエラー メッセージ。
複数の認証プロバイダーが使用可能な場合のユーザー認証の選択。