Active Directory フェデレーション サービス (AD FS) のアカウント パートナー組織の境界ネットワークにおけるフェデレーション サーバー プロキシの主な役割は、インターネット経由でログオンするクライアント コンピューターから認証資格情報を収集し、アカウント パートナー組織の企業ネットワーク内にあるフェデレーション サーバーにこれらの資格情報を渡すことです。 クライアント コンピューターのアカウントは、アカウント パートナーの属性ストアに格納されます。
フェデレーション サーバー プロキシは、アカウント パートナー組織のニーズを満たすように構成する方法に応じて、次の 1 つ以上の役割で機能することもできます。
リレー セキュリティ トークン- フェデレーション サーバーは、セキュリティ トークンをフェデレーション サーバー プロキシに発行し、そのトークンをクライアント コンピューターに中継します。 セキュリティ トークンは、そのクライアント コンピューターのアクセスを特定の証明書利用者に提供するために使用されます。
資格情報の収集- フェデレーション サーバー プロキシは、既定のクライアント ログオン Web フォーム (clientlogon.aspx) を使用して、フォーム ベースの認証を使用してパスワードベースの資格情報を収集します。 ただし、このフォームをカスタマイズして、Secure Sockets Layer (SSL) クライアント認証など、サポートされている他の種類の認証を受け入れることもできます。 このページをカスタマイズする方法の詳細については、「クライアント ログオンとホーム領域検出ページのカスタマイズ (http://go.microsoft.com/fwlink/?LinkId=104275)」を参照してください。 フェデレーション サーバー プロキシは、Windows 統合認証を使用して資格情報を受け入れません。
要約すると、アカウント パートナーのフェデレーション サーバー プロキシは、企業ネットワーク内にあるフェデレーション サーバーへのクライアント ログオンのプロキシとして機能します。 フェデレーション サーバー プロキシは、証明書利用者宛てのインターネット クライアントへのセキュリティ トークンの配布も容易にします。
注意事項
アカウント パートナーエクストラネットでフェデレーション サーバー プロキシを公開すると、インターネット にアクセスできるすべてのユーザーがアクセスできるクライアント ログオン Web フォームが表示されます。 これにより、会社の Active Directory Domain Services (AD DS) に格納されているユーザー アカウントのアカウント ロックアウトをトリガーできる辞書攻撃やブルート フォース攻撃など、一部のパスワードベースの攻撃に対して組織が脆弱になる可能性があります。