Active Directory フェデレーション サービス (AD FS) のリソース パートナー組織の管理者であり、別の組織 (アカウント パートナー組織) のユーザーに対して、要求対応アプリケーションまたは組織内の Web ベースのサービス (リソース パートナー組織) へのフェデレーション アクセスを提供する展開目標がある場合:
組織と組織 (アカウント パートナー組織) へのフェデレーション信頼を構成した組織の両方のフェデレーション ユーザーは、組織によってホストされている AD FS で保護されたアプリケーションまたはサービスにアクセスできます。 詳細については、「 フェデレーション Web SSO デザイン」を参照してください。
たとえば、Fabrikam では、企業ネットワークの従業員が Contoso でホストされている Web サービスにフェデレーション アクセスできるようにする場合があります。
境界ネットワークでホストされている属性ストアにログオンしている信頼された組織 (個々の顧客など) との直接の関連付けがないフェデレーション ユーザーは、インターネット上にあるクライアント コンピューターから 1 回ログオンすることで、境界ネットワークでもホストされている複数の AD FS で保護されたアプリケーションにアクセスできます。 つまり、顧客アカウントをホストして境界ネットワーク内のアプリケーションまたはサービスへのアクセスを有効にすると、属性ストアでホストする顧客は、1 回ログオンするだけで境界ネットワーク内の 1 つ以上のアプリケーションまたはサービスにアクセスできます。 詳細については、「 Web SSO Design」を参照してください。
たとえば、Fabrikam では、顧客が境界ネットワークでホストされている複数のアプリケーションまたはサービスにシングル サインオン (SSO) アクセスできるようにする場合があります。
このデプロイの目標には、次のコンポーネントが必要です。
Active Directory Domain Services (AD DS): リソース パートナーフェデレーション サーバーは、Active Directory ドメインに参加している必要があります。
境界 DNS: クライアント コンピューターがリソース パートナーのフェデレーション サーバーと Web サーバーを検索できるように、ドメイン ネーム システム (DNS) には単純なホスト (A) リソース レコードが含まれている必要があります。 DNS サーバーは、境界ネットワークにも必要な他の DNS レコードをホストする場合があります。 詳細については、「 フェデレーション サーバーの名前解決要件」を参照してください。
リソース パートナー フェデレーション サーバー: リソース パートナー フェデレーション サーバーは、アカウント パートナーが送信する AD FS トークンを検証します。 アカウント パートナーの検出は、このフェデレーション サーバーを介して実行されます。 詳細については、「 リソース パートナーのフェデレーション サーバーの役割を確認する」を参照してください。
ウェブサーバー: Web サーバーは、Web アプリケーションまたは Web サービスをホストできます。 Web サーバーは、保護された Web アプリケーションまたは Web サービスへのアクセスを許可する前に、フェデレーション ユーザーから有効な AD FS トークンを受信することを確認します。
Windows Identity Foundation (WIF) を使用すると、Web アプリケーションまたはサービスを開発して、ユーザー名やパスワードなどの標準的なログオン方法で行われたフェデレーション ユーザー ログオン要求を受け入れるようにすることができます。
リンクされたトピックの情報を確認したら、「 チェックリスト: フェデレーション Web SSO デザインの実装とチェックリスト: Web SSO デザインの実装 」の手順に従って、この目標のデプロイ を開始できます。
次の図は、この AD FS の展開目標に必要な各コンポーネントを示しています。
