Active Directory フェデレーション サービス (AD FS) では、 属性ストア という用語は、組織がユーザー アカウントとその属性値を格納するために使用するディレクトリまたはデータベースを指します。 ID プロバイダー組織で構成した後、AD FS はストアからこれらの属性値を取得します。 証明書利用者組織でホストされている Web アプリケーションまたはサービスが、フェデレーション ユーザー (ID プロバイダー組織にアカウントが格納されているユーザー) がアプリケーションまたはサービスにアクセスしようとしたときに適切な承認決定を行えるように、その情報に基づいて要求を作成します。
要求の生成方法の詳細については、「要求 の役割」を参照してください。
属性ストアが AD FS のデプロイ目標にどのように適合するか
ユーザー属性ストアの場所とユーザーの認証元の場所によって、ユーザー ID をサポートするように AD FS を設計する方法が決まります。 属性ストアが配置されている場所と、ユーザーが (イントラネットまたはインターネット上の) アプリケーションにアクセスする場所に応じて、次のいずれかの展開目標があります。
Active Directory ユーザーに、要求に対応するアプリケーションとサービスへのアクセス権を付与します。 このシナリオでは、組織内のユーザーは、ユーザーが会社のイントラネットで Active Directory にサインインしたときに、AD FS によってセキュリティ保護されたアプリケーションまたはサービスにアクセスします。 アプリケーションまたはサービスは、独自のものでもパートナーのものでもかまいません。
Active Directory ユーザーに、他の組織のアプリケーションとサービスへのアクセス権を付与します。 このシナリオでは、組織内のユーザーは、ユーザーが企業イントラネット内の属性ストアにサインインし、インターネットからリモートでサインインするときに、AD FS によってセキュリティ保護されたアプリケーションまたはサービスにアクセスします。 アプリケーションまたはサービスは、独自のものでもパートナーのものでもかまいません。
別の組織のユーザーに、要求に対応するアプリケーションとサービスへのアクセス権を付与します。 このシナリオでは、その組織の企業イントラネット上の属性ストアにある別の組織のユーザー アカウントは、組織内の AD FS によってセキュリティ保護されたアプリケーションにアクセスする必要があります。 このシナリオは、組織の境界ネットワーク内の属性ストアにあるコンシューマー ベースのユーザー アカウントに、組織内の AD FS によって保護されたアプリケーションへのアクセス権を付与する必要がある場合にも機能します。
属性ストアの配置と組織のその他の要件に応じて、これらの展開目標のいくつかを組み合わせて、AD FS 展開の設計を完了できます。
AD FS がサポートする属性ストア
AD FS では、さまざまなディレクトリストアとデータベース ストアがサポートされています。 これらを使用して、管理者が定義した属性値を抽出し、それらの値を要求に設定できます。 AD FS では、次のいずれかのディレクトリまたはデータベースが属性ストアとしてサポートされます。
Windows Server 2012 および 2012 R2 および Windows Server 2016 以降の Microsoft Entra Domain Services
SQL Server 2012、SQL Server 2014、SQL Server 2016 以降のすべてのエディション
カスタム属性ストア