Active Directory フェデレーション サービスの重要な概念について学習し、その機能セットについて理解しておくことをお勧めします。
ヒント
その他の AD FS リソース リンクについては、 AD FS の主要概念についてを参照してください。
このガイドで使用される AD FS の用語
| AD FS の用語 | 定義 |
|---|---|
| 取引先組織 | フェデレーション サービスにおいて、要求プロバイダー信頼で表されるフェデレーション パートナー組織。 アカウント パートナー組織には、リソース パートナーの Web ベースのアプリケーションにアクセスするユーザーが含まれています。 |
| アカウント フェデレーション サーバー | アカウント パートナー組織のフェデレーション サーバー。 アカウント フェデレーション サーバーは、ユーザー認証に基づいてユーザーにセキュリティ トークンを発行します。 サーバーはユーザーを認証し、属性ストアから関連する属性とグループ メンバーシップ情報を抽出し、この情報をクレームにパッケージ化し、ユーザーに返すセキュリティ トークン (クレームを含む) を生成して署名します。これは、独自の組織で使用されるか、パートナー組織に送信されます。 |
| AD FS 構成データベース | 1 つの AD FS インスタンスまたはフェデレーション サービスを表すすべての構成データを格納するために使用されるデータベース。 この構成データは、SQL Server データベースに格納することも、Windows Server 2016、Windows Server 2012、2012 R2、および Windows Server 2008 および 2008 R2 に含まれる Windows 内部データベース機能を使用して格納することもできます。 Fsconfig.exe コマンド ライン ツールを使用して SQL Server 用の AD FS 構成データベースを作成し、AD FS フェデレーション サーバー構成ウィザードを使用して Windows 内部データベース用に作成できます。 |
| 請求プロバイダー | ユーザーにクレームを提供する組織。 アカウント パートナー組織を参照してください。 |
| 請求プロバイダーの信頼 | AD FS 管理スナップインでは、クレーム プロバイダーの信頼は、通常、リソース パートナー組織で作成される信頼オブジェクトであり、そのアカウントがリソース パートナー組織のリソースにアクセスする信頼関係の組織を表します。 クレーム プロバイダー信頼オブジェクトは、このパートナーをローカルフェデレーション サービスに識別するさまざまな識別子、名前、および規則で構成されます。 |
| ローカルの要求プロバイダー信頼 | AD FS ファーム内の AD LDS またはサード パーティの LDAP ベースのディレクトリを表す信頼オブジェクト。 ローカルクレームプロバイダー信頼オブジェクトは、この LDAP ベースのディレクトリをローカルフェデレーションサービスに識別するさまざまな識別子、名前、およびルールで構成されます。 |
| フェデレーション メタデータ | クレーム プロバイダー信頼と証明書利用者信頼の適切な構成を容易にするために、クレーム プロバイダーと証明書利用者の間で構成情報を通信するためのデータ形式。 データ形式は、Security Assertion Markup Language (SAML) 2.0 で定義され、WS-Federation で拡張されます。 |
| フェデレーション サーバー | フェデレーション サーバーの役割で動作するように AD FS フェデレーション サーバー構成ウィザードを使用して構成された Windows Server。 フェデレーション サーバーはトークンを発行し、フェデレーション サービスの一部として機能します。 |
| フェデレーション サーバー プロキシ | AD FS フェデレーション サーバー プロキシ構成ウィザードを使用して、企業ネットワーク上のファイアウォールの背後にあるインターネット クライアントとフェデレーション サービスの間の中間プロキシ サービスとして機能するように構成されている Windows Server。 |
| プライマリ フェデレーション サーバー | AD FS フェデレーション サーバー構成ウィザードを使用してフェデレーション サーバーの役割で構成され、AD FS 構成データベースの読み取り/書き込みコピーを持つ Windows Server。 AD FS フェデレーション サーバー構成ウィザードを使用し、新しいフェデレーション サービスを作成し、そのコンピューターをファーム内の最初のフェデレーション サーバーにするオプションを選択すると、プライマリ フェデレーション サーバーが作成されます。 このファーム内の他のすべてのフェデレーション サーバーは、プライマリ フェデレーション サーバーで行われた変更を、ローカルに格納されている AD FS 構成データベースの読み取り専用コピーにレプリケートする必要があります。 AD FS 構成データベースが SQL データベースに格納されている場合、すべてのフェデレーション サーバーが SQL Server に格納されている構成データベースに対して均等に読み取りと書き込みを行うことができるので、"プライマリ フェデレーション サーバー" という用語は適用されません。 |
| 証明書利用者 | 要求を受信して処理する組織。 リソース パートナー組織を参照してください。 |
| 証明書利用者信頼 | AD FS 管理スナップインにおける証明書利用者信頼とは、一般的に次の組織で作成される信頼オブジェクトです。 - アカウント パートナー組織は、そのアカウントがリソース パートナー組織のリソースにアクセスする信頼関係の組織を表します。 証明書利用者信頼オブジェクトは、このパートナーまたは Web アプリケーションをローカルフェデレーション サービスに識別するさまざまな識別子、名前、および規則で構成されます。 |
| リソース フェデレーション サーバー | リソース パートナー組織のフェデレーション サーバー。 通常、リソース フェデレーション サーバーは、アカウント フェデレーション サーバーによって発行されたセキュリティ トークンに基づいて、ユーザーにセキュリティ トークンを発行します。 サーバーはセキュリティ トークンを受け取り、署名を検証し、パッケージ化されていない要求に要求規則ロジックを適用して目的の送信要求を生成し、受信セキュリティ トークンの情報に基づいて新しいセキュリティ トークン (送信要求を含む) を生成し、新しいトークンに署名してユーザーに返し、最終的には Web アプリケーションに署名します。 |
| リソース パートナー組織 | フェデレーション サービスにおいて、証明書利用者信頼で表されるフェデレーション パートナー。 リソース パートナーは、アカウント パートナーのユーザーがアクセスできる発行済みの Web ベースのアプリケーションを含むクレーム ベースのセキュリティ トークンを発行します。 |
AD FS の概要
AD FS は、ユーザー アカウントとアプリケーションがまったく異なるネットワークまたは組織に配置されている場合でも、保護されたインターネットに接続するアプリケーションまたはサービスへのシームレスな SSO アクセスをクライアント コンピューター (ネットワークの内部または外部) に提供する ID アクセス ソリューションです。
アプリケーションまたはサービスがあるネットワーク内にあり、ユーザー アカウントが別のネットワークにある場合、通常、ユーザーはアプリケーションまたはサービスにアクセスしようとしたときに、セカンダリ資格情報の入力を求められます。 これらのセカンダリ資格情報は、アプリケーションまたはサービスが存在する領域でのユーザーの ID を表します。 通常は、アプリケーションまたはサービスをホストする Web サーバーが、最も適切な承認決定を行えるようにする必要があります。
AD FS を使用すると、組織は、ユーザーのデジタル ID とアクセス権を信頼されたパートナーに投影するために使用できる信頼関係 (フェデレーション信頼) を提供することで、セカンダリ資格情報の要求をバイパスできます。 このフェデレーション環境では、各組織は引き続き独自の ID を管理しますが、各組織は、他の組織の ID を安全に投影して受け入れることもできます。