この Active Directory フェデレーション サービス (AD FS) の展開目標は、「 要求に対応したアプリケーションとサービスへの Active Directory ユーザーのアクセスを提供する」の目標に基づいています。
アカウント パートナー組織の管理者であり、別の組織でホストされているリソースへのフェデレーション アクセスを従業員に提供する展開目標がある場合:
企業ネットワークの Active Directory ドメインにログオンしている従業員は、シングル サインオン (SSO) 機能を使用して、アプリケーションまたはサービスが別の組織にある場合に、AD FS によって保護されている複数の Web ベースのアプリケーションまたはサービスにアクセスできます。 詳細については、「 フェデレーション Web SSO デザイン」を参照してください。
たとえば、Fabrikam では、企業ネットワークの従業員が Contoso でホストされている Web サービスにフェデレーション アクセスできるようにする場合があります。
Active Directory ドメインにログオンしているリモート従業員は、組織内のフェデレーション サーバーから AD FS トークンを取得して、別の組織でホストされている AD FS で保護された Web ベースのアプリケーションまたはサービスへのフェデレーション アクセスを取得できます。
たとえば、Fabrikam のリモート従業員は、Fabrikam の従業員を Fabrikam 企業ネットワーク上に置かなくても、Contoso でホストされている AD FS で保護されたサービスにフェデレーション アクセスできるようにする場合があります。
要求に対応するアプリケーションとサービスへの Active Directory ユーザー アクセスの提供に関する記事で説明されている基盤となるコンポーネントに加え、以下の図で網掛けされているコンポーネントと共に、この展開の目標を達成するために以下の追加コンポーネントが必要です。
アカウント パートナーフェデレーション サーバー プロキシ: インターネットからフェデレーション サービスまたはアプリケーションにアクセスする従業員は、この AD FS コンポーネントを使用して認証を実行できます。 既定では、このコンポーネントはフォーム認証を実行しますが、基本認証を実行することもできます。 また、組織の従業員が提示する証明書がある場合は、Secure Sockets Layer (SSL) クライアント認証を実行するようにこのコンポーネントを構成することもできます。 詳細については、「フェデレーション サーバー プロキシを配置する場所」を参照してください。
境界 DNS: ドメイン ネーム システム (DNS) のこの実装は、境界ネットワークのホスト名を提供します。 フェデレーション サーバー プロキシの境界 DNS を構成する方法の詳細については、「フェデレーション サーバー プロキシの名前解決要件」を参照してください。
リモート従業員: リモート従業員は、会社のネットワークから有効な資格情報を使用して (サポートされている Web ブラウザーを介して) Web ベースのアプリケーションまたは Web ベースのサービスにアクセスしますが、従業員はインターネットを使用してオフサイトです。 リモートの場所にある従業員のクライアント コンピューターは、フェデレーション サーバー プロキシと直接通信してトークンを生成し、アプリケーションまたはサービスに対して認証します。
リンクされたトピックの情報を確認したら、「 チェックリスト: Federated Web SSO Design の実装」の手順に従って、この目標のデプロイを開始できます。
次の図は、この AD FS の展開目標に必要な各コンポーネントを示しています。
