Active Directory フェデレーション サービス (AD FS) でフェデレーション サーバーを作成する場合は、組織で次のことができます。
Web シングル サインオン (SSO) を使用して、別の組織 (少なくとも 1 つのフェデレーション サーバーも含む) と、必要に応じて、自分の組織内の従業員 (インターネット経由でアクセスする必要があるユーザー) との通信を行います。
ID 委任を使用して、フロントエンド サービスがインフラストラクチャ サービスにユーザーを偽装できるようにします。 詳細については、「 ID 委任を使用するタイミング」を参照してください。
次のセクションでは、1 つ以上のフェデレーション サーバーを作成するタイミングと場所を決定するための重要な決定事項について説明します。
フェデレーション サーバーの組織の役割を決定する
新しいフェデレーション サーバーを作成するタイミングに関する情報に基づいた決定を行うには、まず、サーバーが存在する組織を決定する必要があります。 フェデレーション サーバーが組織内で果たす役割は、フェデレーション サーバーをアカウント パートナー組織に配置するか、リソース パートナー組織に配置するかによって異なります。
フェデレーション サーバーがアカウント パートナーの企業ネットワークに配置されている場合、その役割は、ブラウザー、Web サービス、または ID セレクター クライアントのユーザー資格情報を認証し、クライアントにセキュリティ トークンを送信することです。 詳細については、「 アカウント パートナーのフェデレーション サーバーの役割を確認する」を参照してください。
フェデレーション サーバーがリソース パートナーの企業ネットワークに配置されている場合、その役割は、リソース パートナー組織のフェデレーション サーバーによって発行されたセキュリティ トークンに基づいてユーザーを認証することです。または、その役割は、構成された Web アプリケーションまたは Web サービスからクライアントが属するアカウント パートナー組織にトークン要求をリダイレクトすることです。 詳細については、「 リソース パートナーのフェデレーション サーバーの役割を確認する」を参照してください。
デプロイする AD FS 設計を決定する
次のいずれかの AD FS 設計を展開する場合は常に、組織内にフェデレーション サーバーを作成します。
必要に応じて、フェデレーション Web SSO 設計を展開する組織は、アカウント パートナー ロールとリソース パートナー ロールの両方で機能するように、1 つのフェデレーション サーバーを構成できます。 この場合、フェデレーション サーバーは、独自の組織内のユーザー アカウントに基づいてセキュリティ アサーション マークアップ言語 (SAML) トークンを生成したり、ユーザーのアカウントが存在する場所に基づいてトークン要求を組織に再ルーティングしたりできます。
注
フェデレーション Web SSO 設計では、アカウント パートナーにフェデレーション サーバーが少なくとも 1 つ、リソース パートナーに少なくとも 1 つのフェデレーション サーバーが存在する必要があります。
フェデレーション サーバーとフェデレーション サーバー プロキシの違い
フェデレーション サーバーは、フェデレーション サーバー プロキシと同じ方法で、サインイン、ポリシー、認証、および検出用の Web ページを提供できます。 フェデレーション サーバーとフェデレーション サーバー プロキシの主な違いは、フェデレーション サーバー プロキシが実行できないフェデレーション サーバーで実行できる操作と関係があります。
フェデレーション サーバーのみが実行できる操作を次に示します。
フェデレーション サーバーは、トークンを生成する暗号化操作を実行します。 フェデレーション サーバー プロキシはトークンを生成できませんが、トークンをクライアントにルーティングまたはリダイレクトしたり、必要に応じてフェデレーション サーバーに戻したりするために使用できます。 フェデレーション サーバーの使用の詳細については、「 フェデレーション サーバー プロキシを作成するタイミング」を参照してください。
フェデレーション サーバーは、企業ネットワーク上のクライアントに対する Windows 統合認証の使用をサポートします。フェデレーション サーバー プロキシでは実行されません。 フェデレーション サーバーで Windows 統合認証を使用する方法の詳細については、「 フェデレーション サーバー ファームを作成するタイミング」を参照してください。
注意事項
フェデレーション サーバーと SQL Server 構成データベース、SQL Server 属性ストア、ドメイン コントローラー、および AD LDS インスタンス間の通信は、既定では整合性または機密性で保護されません。 これを軽減するには、IPSEC を使用するか、これらのすべてのサーバー間で物理的にセキュリティで保護された接続を使用して、これらのサーバー間の通信チャネルを保護することを検討してください。 フェデレーション サーバーと SQL サーバー間の通信については、接続文字列で SSL 保護を使用することを検討してください。 フェデレーション サーバーとドメイン コントローラー間の接続については、Kerberos の署名と暗号化を有効にすることを検討してください。 LDAP の場合、LDAP/S は AD LDS/AD DS ではサポートされていません。
フェデレーション サーバーを作成する方法
AD FS フェデレーション サーバー構成ウィザードまたは Fsconfig.exe コマンド ライン ツールを使用して、フェデレーション サーバーを作成できます。 これらのツールのいずれかを使用する場合は、次のいずれかのオプションを選択してフェデレーション サーバーを作成できます。
スタンドアロン フェデレーション サーバーを作成する
スタンドアロン フェデレーション サーバーを設定する方法の詳細については、「 Stand-Alone フェデレーション サーバーを作成する」を参照してください。
フェデレーション サーバー ファームに最初のフェデレーション サーバーを作成する
最初のフェデレーション サーバーを設定する方法、またはフェデレーション サーバーをファームに追加する方法の詳細については、「 フェデレーション サーバー ファームで最初のフェデレーション サーバーを作成する」を参照してください。
フェデレーション サーバー ファームにフェデレーション サーバーを追加する
ファームにフェデレーション サーバーを追加する方法の詳細については、「 フェデレーション サーバーをフェデレーション サーバー ファームに追加する」を参照してください。
これらの各オプションの動作の詳細については、「 AD FS 構成データベースの役割」を参照してください。
フェデレーション サーバーを展開するために必要なすべての前提条件を設定する方法の詳細については、「 チェックリスト: フェデレーション サーバーのセットアップ」を参照してください。