Active Directory フェデレーション サービス (AD FS) 展開のアカウント パートナー組織の管理者であり、企業ネットワーク上の従業員にホストされているリソースへのシングル サインオン (SSO) アクセスを提供する展開目標がある場合:
企業ネットワークの Active Directory フォレストにログオンしている従業員は、SSO を使用して、組織内の境界ネットワーク内の複数のアプリケーションまたはサービスにアクセスできます。 これらのアプリケーションとサービスは、AD FS によって保護されます。
たとえば、Fabrikam では、企業ネットワークの従業員が Fabrikam の境界ネットワークでホストされている Web ベースのアプリケーションにフェデレーション アクセスできるようにする場合があります。
Active Directory ドメインにログオンしているリモート従業員は、組織内のフェデレーション サーバーから AD FS トークンを取得して、組織内に存在する AD FS で保護された Web ベースのアプリケーションまたはサービスへのフェデレーション アクセスを取得できます。
Active Directory 属性ストアの情報は、従業員の AD FS トークンに入力できます。
このデプロイの目標には、次のコンポーネントが必要です。
Active Directory Domain Services (AD DS): AD DS には、AD FS トークンの生成に使用される従業員のユーザー アカウントが含まれています。 グループ メンバーシップや属性などの情報は、グループ要求とカスタム要求として AD FS トークンに入力されます。
注
ライトウェイト ディレクトリ アクセス プロトコル (LDAP) または構造化クエリ言語 (SQL) を使用して、AD FS トークン生成の ID を含めることもできます。
企業 DNS: このドメイン ネーム システム (DNS) の実装には、イントラネット クライアントがアカウントフェデレーション サーバーを見つけられるように、単純なホスト (A) リソース レコードが含まれています。 この DNS の実装では、企業ネットワークで必要な他の DNS レコードをホストすることもできます。 詳細については、「 フェデレーション サーバーの名前解決要件」を参照してください。
アカウント パートナー フェデレーション サーバー: このフェデレーション サーバーは、アカウント パートナー フォレスト内のドメインに参加しています。 従業員のユーザー アカウントを認証し、AD FS トークンを生成します。 従業員のクライアント コンピューターは、このフェデレーション サーバーに対して Windows 統合認証を実行して AD FS トークンを生成します。 詳細については、「 アカウント パートナーのフェデレーション サーバーの役割を確認する」を参照してください。
アカウント パートナー フェデレーション サーバーは、次のユーザーを認証できます。
このドメインにユーザー アカウントを持つ従業員
このフォレスト内の任意の場所にユーザー アカウントを持つ従業員
(双方向の Windows の信頼を通じて) このフォレストによって信頼されているフォレスト内のどこかにユーザー アカウントを持つ従業員
使用人: 従業員が企業ネットワークにログオンしている間、(アプリケーションを介して) Web ベースのサービスまたは Web ベースのアプリケーション (サポートされている Web ブラウザーを介して) にアクセスします。 企業ネットワーク上の従業員のクライアント コンピューターは、認証のためにフェデレーション サーバーと直接通信します。
リンクされたトピックの情報を確認したら、「 チェックリスト: Federated Web SSO Design の実装」の手順に従って、この目標のデプロイを開始できます。
次の図は、この AD FS の展開目標に必要な各コンポーネントを示しています。
