Active Directory フェデレーション サービス (AD FS) フェデレーション サーバー プロキシを境界ネットワークに配置して、インターネットから送信される可能性のある悪意のあるユーザーに対する保護レイヤーを提供できます。 フェデレーション サーバー プロキシは、トークンの作成に使用される秘密キーにアクセスできないため、境界ネットワーク環境に最適です。 ただし、フェデレーション サーバー プロキシは、これらのトークンの生成が承認されているフェデレーション サーバーに受信要求を効率的にルーティングできます。
企業ネットワークに接続されているクライアント コンピューターはフェデレーション サーバーと直接通信できるため、アカウント パートナーまたはリソース パートナーの企業ネットワーク内にフェデレーション サーバー プロキシを配置する必要はありません。 このシナリオでは、フェデレーション サーバーは、企業ネットワークから送信されるクライアント コンピューターのフェデレーション サーバー プロキシ機能も提供します。
通常、境界ネットワークの場合と同様に、境界ネットワークと企業ネットワークの間にイントラネットに接続するファイアウォールが確立され、多くの場合、境界ネットワークとインターネットの間にインターネットに接続するファイアウォールが確立されます。 このシナリオでは、フェデレーション サーバー プロキシは境界ネットワーク上の両方のファイアウォールの間に配置されます。
フェデレーション サーバー プロキシ用のファイアウォール サーバーの構成
フェデレーション サーバー プロキシのリダイレクト プロセスを成功させるには、セキュリティで保護されたハイパーテキスト転送プロトコル (HTTPS) トラフィックを許可するようにすべてのファイアウォール サーバーを構成する必要があります。 HTTPS の使用は、境界ネットワーク内のフェデレーション サーバー プロキシが企業ネットワーク内のフェデレーション サーバーにアクセスできるように、ファイアウォール サーバーがポート 443 を使用してフェデレーション サーバー プロキシを発行する必要があるために必要です。
注
クライアント コンピューターとの間のすべての通信も HTTPS 経由で行われます。
さらに、インターネットに接続するファイアウォール サーバー (Microsoft Internet Security and Acceleration (ISA) Server を実行しているコンピューターなど) は、サーバー発行と呼ばれるプロセスを使用して、インターネット クライアント要求を適切な境界サーバーや企業ネットワーク サーバー (フェデレーション サーバー プロキシやフェデレーション サーバーなど) に配布します。
サーバー公開規則は、サーバーの発行のしくみを決定します。基本的には、ISA サーバー コンピューターを介してすべての受信要求と送信要求をフィルター処理します。 サーバー発行規則は、受信クライアント要求を ISA サーバー コンピューターの背後にある適切なサーバーにマップします。 サーバーを発行するように ISA サーバーを構成する方法については、「セキュリティで保護された Web 公開規則を作成する」を参照してください。
AD FS のフェデレーション環境では、通常、これらのクライアント要求は特定の URL (たとえば、http://fs.fabrikam.com. などのフェデレーション サーバー識別子 URL) に対して行われます。 これらのクライアント要求はインターネットから送信されるため、境界ネットワークに展開されている各フェデレーション サーバー プロキシのフェデレーション サーバー識別子 URL を発行するように、インターネットに接続するファイアウォール サーバーを構成する必要があります。
SSL を許可するように ISA サーバーを構成する
セキュリティで保護された AD FS 通信を容易にするには、次の間で Secure Sockets Layer (SSL) 通信を許可するように ISA サーバーを構成する必要があります。
フェデレーション サーバーとフェデレーション サーバー プロキシ。 フェデレーション サーバーとフェデレーション サーバー プロキシ間のすべての通信には、SSL チャネルが必要です。 そのため、企業ネットワークと境界ネットワークの間の SSL 接続を許可するように ISA サーバーを構成する必要があります。
クライアント コンピューター、フェデレーション サーバー、およびフェデレーション サーバー プロキシ。 クライアント コンピューターとフェデレーション サーバー間、またはクライアント コンピューターとフェデレーション サーバー プロキシ間で通信を行うことができるように、ISA Server を実行しているコンピューターをフェデレーション サーバーまたはフェデレーション サーバー プロキシの前に配置できます。
組織がフェデレーション サーバーまたはフェデレーション サーバー プロキシで SSL クライアント認証を実行する場合、ISA サーバーを実行しているコンピューターをフェデレーション サーバーまたはフェデレーション サーバー プロキシの前に配置する場合、SSL 接続はフェデレーション サーバーまたはフェデレーション サーバー プロキシで終了する必要があるため、SSL 接続のパススルー用にサーバーを構成する必要があります。
組織がフェデレーション サーバーまたはフェデレーション サーバー プロキシで SSL クライアント認証を実行しない場合は、ISA サーバーを実行しているコンピューターで SSL 接続を終了してから、フェデレーション サーバーまたはフェデレーション サーバー プロキシへの SSL 接続を再確立することもできます。
注
フェデレーション サーバーまたはフェデレーション サーバー プロキシでは、セキュリティ トークンの内容を保護するために、接続を SSL で保護する必要があります。