Active Directory フェデレーション サービス (AD FS) 展開のパートナー組織間で円滑な共同作業ができるようにするには、まず、AD FS のアカウント、名前解決、証明書に関する各要件をサポートするように、組織の社内ネットワーク インフラストラクチャを構成する必要があります。AD DS の要件には次の種類があります。
-
ハードウェア要件
-
ソフトウェア要件
-
ブラウザ要件
-
ネットワーク要件
-
アカウント ストア要件
-
認証の要件
以降の各セクションでは、これらの要件について説明します。
ハードウェア要件
フェデレーション サーバー、フェデレーション サーバー プロキシ、Web サーバーの各コンピュータについて、ハードウェアの最小要件と推奨要件を次に示します。
|
ハードウェア要件
|
最小要件
|
推奨要件
|
|
CPU 速度
|
133 MHz
|
550 MHz
|
|
RAM
|
128 MB
|
256 MB
|
|
ディスク領域
|
10 MB
|
100 MB
|
ソフトウェア要件
AD FS は、Windows Server 2008 オペレーティング システムに組み込まれているサーバー機能に依存しています。特定の AD FS の役割サービスをホストする個々のサーバーについて、ソフトウェア要件を次の表に示します。
|
フェデレーション サービス役割サービスをホストするサーバー
|
フェデレーション サービス プロキシ役割サービスをホストするサーバー
|
AD FS Web エージェント役割サービスをホストするサーバー
|
|
Windows Server 2008 Enterprise または Windows Server 2008 Datacenter
|
Windows Server 2008 Enterprise または Windows Server 2008 Datacenter
|
Windows Server 2008 Standard、Windows Server 2008 Enterprise または Windows Server 2008 Datacenter
|
|
インターネット インフォメーション サービス (IIS)
|
IIS
|
IIS
|
|
Microsoft ASP.NET 2.0
|
Microsoft ASP.NET 2.0
|
Microsoft ASP.NET 2.0
|
|
Microsoft .NET Framework 2.0
|
Microsoft .NET Framework 2.0
|
Microsoft .NET Framework 2.0
|
|
TLS/SSL (Transport Layer Security/Secure Sockets Layer) を使用して構成された既定の Web サイト
|
TLS/SSL を使用して構成された既定の Web サイト
|
IIS 内の少なくとも 1 つの Web サイトは、Web サーバーでホストされている Web ベースのアプリケーションにフェデレーション ユーザーがアクセスできるよう、TLS/SSL を使用して構成されている必要があります。
|
.gif) メモ |
|
フェデレーション サービスおよびフェデレーション サービス プロキシの両方のコンポーネントを同じコンピュータ上に共存させることはできません。 |
ブラウザ要件
JScript に対応しているすべての Web ブラウザは、AD FS クライアントとして使用できる可能性があります。ただし、Microsoft でテストを実施したブラウザは、Internet Explorer 6、Internet Explorer 5 または 5.5、Mozilla Firefox、および Apple Macintosh の Safari のみです。パフォーマンス上の理由により、JScript を有効にすることを強くお勧めします。アクセス対象となるフェデレーション サーバーおよび Web アプリケーションの Cookie を、有効にするか、少なくとも信頼する必要があります。
Microsoft の AD FS 製品チームによるテストに合格したブラウザおよびオペレーティング システム構成を次の表に示します。
|
ブラウザ
|
Windows Server 2008
|
Windows Server 2003
|
Windows XP
|
Windows 2000
|
Windows 98
|
Macintosh
OS X
|
|
Internet Explorer 7.0
|
○
|
該当なし
|
該当なし
|
該当なし
|
該当なし
|
該当なし
|
|
Internet Explorer 6.0
|
該当なし
|
○
|
○
|
○
|
○
|
該当なし
|
|
MSN 9.0
|
○
|
○
|
○
|
○
|
該当なし
|
該当なし
|
|
Netscape 8.0
|
○
|
○
|
○
|
○
|
○
|
○
|
|
Netscape 7.2
|
○
|
○
|
○
|
○
|
○
|
○
|
|
Netscape 4.8
|
○
|
○
|
○
|
○
|
○
|
該当なし
|
|
FireFox 1.0.7
|
○
|
○
|
○
|
○
|
○
|
該当なし
|
|
Safari
|
○
|
該当なし
|
該当なし
|
該当なし
|
該当なし
|
○
|
Cookie
AD FS は、シングル サインオン (SSO) 機能を提供するための認証 Cookie を作成します。この Cookie をクライアント コンピュータに格納する必要があるため、クライアント ブラウザは Cookie を受け入れるように構成されていなければなりません。認証 Cookie は常に、当該の送信元サーバー用に記述された Secure HTTP (HTTPS) セッション Cookie です。クライアント ブラウザがこの Cookie を受け入れるよう構成されていないと、AD FS は正常に機能しません。
認証 Cookie は署名されますが、暗号化はされません。このことは、AD FS で TLS/SSL の使用が必須である理由の 1 つです。
ネットワーク要件
実際の組織に展開した AD FS が有効に機能するには、次に示すネットワーク サービスを適切に構成することが不可欠です。
TCP/IP ネットワーク接続
AD FS が機能するには、クライアントとドメイン コントローラ間、および、フェデレーション サービス、フェデレーション サービス プロキシ (使用する場合)、AD FS Web エージェントの各コンポーネントをホストするコンピュータ間が、TCP/IP ネットワークで接続されている必要があります。
DNS
AD FS の運用に欠かせない、Active Directory ドメイン サービス (AD DS) と並ぶ最も重要なネットワーク サービスがドメイン ネーム システム (DNS) です。DNS を展開すると、ユーザーは、わかりやすく覚えやすいコンピュータ名を使用して、IP ネットワーク上にあるコンピュータやその他のリソースに接続できます。
Windows NT 4.0 ベースのネットワークにおける名前解決は Windows インターネット ネーム サービス (WINS) NetBIOS 名を使用して行われていましたが、Windows Server 2008 では、それに代わって DNS を名前解決に使用します。WINS を必要とするアプリケーションでは引き続き WINS を使用できますが、AD DS および AD FS には、DNS 名前解決の使用が必須です。
AD FS をサポートするための DNS 構成方法は、次に示す条件に応じて異なります。
-
組織に DNS インフラストラクチャが既に存在するかどうか。ほとんどの場合、社内ネットワークの Web ブラウザ クライアントがインターネットにアクセスできるよう、DNS はあらかじめネットワーク上に構成されています。インターネット アクセスおよび名前解決が AD FS の要件であるため、AD FS の展開にあたってはこのインフラストラクチャの存在が前提となります。
-
社内ネットワークにフェデレーション サーバーを追加する予定があるかどうか。社内ネットワーク上のユーザーを認証するために、社内ネットワーク フォレストの内部 DNS サーバーは、フェデレーション サービスを実行している内部サーバーの CNAME を返すように構成する必要があります。詳細については、「フェデレーション サーバーの名前解決の要件」を参照してください。
-
境界ネットワークにフェデレーション サーバー プロキシを追加する予定があるかどうか。アカウント パートナー組織の社内ネットワークにあるユーザー アカウントを認証する必要がある場合、自社ネットワーク フォレストの内部 DNSサーバーは、内部フェデレーション サーバー プロキシの CNAME を返すように構成する必要があります。フェデレーション サーバー プロキシの追加に対応するよう DNS を構成する方法については、「フェデレーション サーバー プロキシの名前解決の要件」を参照してください。
名前解決については、AD FS が有効な Web サーバーのための要件も存在します。詳細については、「AD FS が有効な Web サーバーの名前解決の要件」を参照してください。
-
テスト ラボ環境用に DNS をセットアップするかどうか。権限のあるルート DNS サーバーが 1 つもないテスト ラボ環境で AD FS を使用する場合は、名前のクエリが複数フォレスト間で適切に転送されるように DNS フォワーダをセットアップする必要が生じる可能性があります。AD FS テスト ラボ環境のセットアップ方法に関する一般的な情報については、「ステップ バイ ステップ ガイド - Windows Server 2008 の AD FS」(http://go.microsoft.com/fwlink/?LinkId=85685) を参照してください。
アカウント ストア要件
AD FS には、ユーザーを認証し、それらのユーザー用にセキュリティ要求を抽出するためのアカウント ストアが少なくとも 1 つ必要です。AD FS では、アカウント ストアとして Active Directory ドメイン サービス (AD DS) および Active Directory ライトウェイト ディレクトリ サービス (AD LDS) の 2 種類をサポートしています。
アカウント ストアの要件は、当該組織がアカウント パートナーとして機能する (フェデレーション ユーザーをホストする) か、リソース パートナーとして機能する (フェデレーション アプリケーションをホストする) かによって異なります。次の表により、組織が当該フェデレーション内のパートナーとして果たす役割に最も適したアカウント ストアの種類を判定できます。
|
アカウント ストアの種類
|
アカウント パートナーでこの種類を使用できる場合
|
リソース パートナーでこの種類が必須となる場合
|
|
AD DS
|
ローカルに格納された ID を使用して、リソース パートナーのフェデレーション アプリケーション (要求に対応するアプリケーションと Windows NT トークン ベース アプリケーションの両方) にアクセスする必要がある場合
|
Windows NT トークン ベース アプリケーションに対するアクセス許可を、アカウント パートナーのフェデレーション ユーザーに付与する必要がある場合。各フェデレーション ユーザーがそれぞれローカル Active Directory ドメインのリソース アカウントまたはリソース グループにマッピングされる必要があります。
|
メモ |
|
フェデレーション ユーザーのアクセス対象が、要求に対応するアプリケーションだけの場合、リソース パートナーに AD DS は必要ありません。 |
|
|
AD LDS
|
ローカルに格納された ID を使用して、リソース パートナーのフェデレーション アプリケーション (要求に対応するアプリケーションと Windows NT トークン ベース アプリケーションの両方) にアクセスする必要がある場合
|
必須となる場合はありません。フェデレーション ユーザーからリソース グループのローカル リソース アカウントへのマッピングに、AD LDS を使用することはできません。
|
AD LDS
AD FS が適切に機能するには、AD LDS アカウント ストアをホストするコンピュータが、Windows 2000 Server Service Pack 4 (SP4) (重要な更新プログラム適用済み)、Windows Server 2003 Service Pack 1 (SP1)、Windows Server 2003 R2、または Windows Server 2008 のいずれかで動作している必要があります。
AD DS
AD FS が適切に機能するには、アカウント パートナー組織またはリソース パートナー組織のドメイン コントローラが、Windows 2000 Server SP4 (重要な更新プログラム適用済み)、Windows Server 2003 SP1、Windows Server 2003 R2、または Windows Server 2008 のいずれかで動作している必要があります。
.gif) 重要 |
|
AD FS にはインターネット インフォメーション サービス (IIS) のインストールが必要となるため、セキュリティ上の理由から、運用環境のドメイン コントローラ上には、AD FS の役割サービスをいっさいインストールしないことをお勧めします。 |
スキーマ要件
AD FS では、AD DS の機能レベルの変更やスキーマの変更は必要ありません。AD LDS を AD FS と確実に連動させるために、 に付属しているバージョンの AD LDS をインストールしてください。
機能レベル要件
AD FS を動作させるために AD DS の機能レベルを変更する必要はありません。ただし、Windows NT トークン ベースのアプリケーションを使用する場合、Kerberos S4U (Service-for-User) によってトークンを生成する必要があれば、ドメインの機能レベルは Windows 2000 ネイティブ、Windows Server 2003、または Windows Server 2008 のいずれかである必要があります。
Windows NT トークン ベースのアプリケーションに関する要件
前の表に示したとおり、Windows NT トークン ベースのアプリケーションには Active Directory ローカル ユーザー ストアが必要です。入力方向の AD FS トークンは、ユーザー アカウントまたはグループのいずれにマッピングすることもでき、アプリケーションではマッピング後のユーザー アカウントまたはグループを認証に使用します。
認証の要件
AD FS は、既存の Windows 認証 (Kerberos 認証、NTLM、スマート カード、X.509 v3 クライアント側証明書など) とスムーズに統合できます。フェデレーション サーバーでは、ドメインに対するユーザー認証に標準の Kerberos 認証を使用します。クライアントでは、認証方法の構成に応じて、フォーム ベース、スマート カード、および Windows 統合認証を使用できます。
AD FS で、アカウント フェデレーション サーバー プロキシの SSL クライアント認証を必須とすることができます。社内ネットワークに接続されたアカウント フェデレーション サーバーについては、SSL クライアント認証を必須とする構成も可能ですが、社内ネットワーク ユーザーにシームレスな Web シングル サインオン (SSO) の利便性を提供するために Windows 統合認証を使用する構成での展開が一般的です。その場合、ユーザーが Windows デスクトップ ログオンでどのような資格情報を使用するかについて AD FS はまったく関知しません。
スマート カードによるログオン
AD FS では、自身が認証に使用する資格情報の種類 (パスワード、SSL クライアント認証、または Windows 統合認証) を強制的に指定することはできますが、スマート カードを使用する認証の強制は直接的に行いません。したがって、スマート カードの暗証番号 (PIN) 資格情報を取得するためのクライアント側ユーザー インターフェイス (UI) も AD FS では提供しません。これは、Windows ベースのクライアントが、フェデレーション サーバーや AD FS で保護された Web サーバーに対してユーザー資格情報の詳細を提供することを意図的に避けるようになっているためです。
スマート カード認証
スマート カード認証では、Kerberos プロトコルを使用してアカウント フェデレーション サーバーへの認証を行います。AD FS の機能を拡張して新しい認証方式を追加することはできません。スマート カード上の証明書は、クライアント コンピュータ上で信頼されたルートにチェーンできるものでなくてもかまいません。スマート カード ベースの証明書を AD FS で使用するには、次の条件を満たす必要があります。
-
使用するスマート カードのリーダーおよび暗号化サ-ビス プロバイダ (CSP) が、当該ブラウザのコンピュータ上で機能すること。
-
スマート カードの証明書が、アカウント フェデレーション サーバー上およびアカウント フェデレーション サーバー プロキシ上で信頼されたルートに、チェーンできるものであること。
-
証明書が、次のいずれかの方法で AD DS のユーザー アカウントにマッピングされていること。
-
証明書のサブジェクト名が、AD DS にあるユーザー アカウントのライトウェイト ディレクトリ アクセス プロトコル (LDAP) 識別名に対応している。
-
証明書のサブジェクト別名拡張に、AD DS にあるユーザー アカウントのユーザー プリンシパル名 (UPN) が含まれていること。