フェデレーションについて

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2016-11-28

インフォメーション ワーカーは、ベンダー、パートナー、顧客などの外部の受信者との共同作業、および空き時間 (予定表の空き時間) や連絡先の情報の共有を頻繁に行う必要があります。Microsoft Exchange Server 2010 のフェデレーションは、このような共同作業の取り組みに役立ちます。フェデレーションとは、ユーザーが他の外部の受信者と予定表や連絡先情報の共有を容易に行うための方法であるフェデレーション委任をサポートする、基盤となる信頼インフラストラクチャを指します。フェデレーション委任の詳細については、「フェデレーション委任について」を参照してください。

フェデレーションに関連する管理タスクについては、「フェデレーションの管理」を参照してください。

目次

Microsoft Federation Gateway

フェデレーション信頼

フェデレーション組織識別子

フェデレーションの例

フェデレーションのための証明書の要件

新しい証明書への切り替え

Microsoft Federation Gateway

Microsoft が提供する無料のクラウドベース サービスである Microsoft Federation Gateway は、社内の Exchange 2010 組織とその他のフェデレーションされた Exchange 2010 組織の間で信頼ブローカーとして機能します。Exchange 組織でフェデレーションを構成するには、Microsoft Federation Gateway とのワンタイム フェデレーション信頼を確立し、Microsoft Federation Gateway がその組織のフェデレーション パートナーになれるようにする必要があります。この信頼の確立により、Active Directory (ID プロバイダー) により認証されたユーザーは、Microsoft Federation Gateway によって SAML (Security Assertion Markup Language) 委任トークンを発行されます。これらのトークンによって、特定のフェデレーション組織のユーザーは、別のフェデレーション組織によって信頼されることが可能になります。信頼ブローカーとして機能する Microsoft Federation Gateway を使用することで、組織は他の組織と複数の信頼関係を個別に確立する必要がなくなり、ユーザーはシングル サインオン (SSO) 操作によって外部のリソースにアクセスできます。詳細については、「Microsoft Federation Gateway について」を参照してください。

ページのトップへ

フェデレーション信頼

Exchange 2010 フェデレーション委任機能を使用するには、Exchange 2010 組織と Microsoft Federation Gateway の間でフェデレーション信頼を確立する必要があります。Microsoft Federation Gateway とのフェデレーション信頼を確立すると、組織のデジタル セキュリティ証明書が Microsoft Federation Gateway と交換され、Microsoft Federation Gateway 証明書とフェデレーション メタデータが取得されます。フェデレーション信頼を確立するには、Exchange 管理コンソール (EMC) でフェデレーション信頼の新規作成ウィザードを使用するか、Exchange 管理シェルで New-FederationTrust コマンドレットを実行します。自己署名証明書がフェデレーション信頼の新規作成ウィザードによって自動的に作成され、ユーザーが外部のフェデレーション組織によって信頼されるようにするための委任トークンの署名および暗号化に使用されます。証明書の要件の詳細については、後の「フェデレーションのための証明書の要件」を参照してください。

フェデレーション信頼の作成方法については、「フェデレーションの信頼の作成」を参照してください。

Microsoft Federation Gateway でフェデレーション信頼を作成すると、アプリケーション識別子 (AppID) が Exchange 組織に自動的に生成され、フェデレーション信頼の新規作成ウィザードまたは New-FederationTrust コマンドレットの出力に提供されます。AppID は、Microsoft Federation Gateway が Exchange 組織を一意に識別するために使用されます。また、Exchange 組織によって、Microsoft Federation Gateway で使用するドメインを組織が所有していることを証明するためにも使用されます。これは、各フェデレーション ドメインのドメイン ネーム システム (DNS) ゾーンにテキスト (TXT) レコードを作成することによって行われます。

TXT レコードの作成方法については、「フェデレーション用の TXT レコードを作成する」を参照してください。

ページのトップへ

フェデレーション組織識別子

フェデレーション組織識別子 (OrgID) は、組織内で構成された権限のある承認済みドメインの中で、どのドメインがフェデレーションを使用可能であるかを定義します。電子メール アドレスに OrgID で構成された承認済みドメインが含まれる受信者のみが、Microsoft Federation Gateway によって認識され、フェデレーション委任の機能を使用できます。フェデレーション信頼を新規作成すると、OrgID が Microsoft Federation Gateway で自動的に作成されます。この OrgID は、定義済みの文字列と、ウィザードでフェデレーション用に選択された最初の承認済みドメインの組み合わせです。たとえば、フェデレーションの管理ウィザードで、フェデレーション ドメイン contoso.com を組織のプライマリ SMTP ドメインとして指定すると、FYDIBOHF25SPDLT.contoso.com アカウントの名前空間がフェデレーション信頼の OrgID として自動的に作成されます。

このサブドメインは、Exchange 組織内の承認済みドメインにする必要はなく、ドメイン ネーム システム (DNS) の所有権を証明する TXT レコードを必要としません。唯一の要件は、フェデレーション対象として選択した承認済みドメインは、最長で 32 文字に制限されるということです。さらに、ハイブリッド構成の管理ウィザードを使用して、社内組織と Exchange Online 組織間にハイブリッド展開の構成に関連付けられたフェデレーション信頼を作成する場合、フェデレーション信頼の OrgID も自動生成された名前空間で自動的に構成されます。このサブドメインの唯一の目的は、Microsoft Federation Gateway 用のフェデレーション名前空間として機能し、SAML 委任トークンを要求する受信者の一意の識別子を維持することです。SAML トークンの詳細については、「SAML トークンとクレーム」を参照してください。

いつでも承認済みドメインを追加または削除できます。OrgID を有効または無効にするだけで、組織のすべてのフェデレーション機能を有効または無効にできます。

フェデレーション OrgID の詳細については、以下のトピックを参照してください。

• フェデレーションの管理

• フェデレーション共有を構成する

ページのトップへ

フェデレーションの例

Contoso, Ltd. と Fabrikam, Inc. という 2 つの Exchange 組織では、ユーザーが互いに空き時間情報を共有できるようにしようとしています。それぞれの組織で Microsoft Federation Gateway とのフェデレーション信頼を作成し、そのアカウント名前空間を、ユーザーの電子メール アドレス ドメインに使用するドメインを含むように構成します。

Contoso の従業員は、contoso.com、contoso.co.uk、contoso.ca のいずれかの電子メール アドレス ドメインを使用します。Fabrikam の従業員は、fabrikam.com、fabrikam.org、fabrikam.net のいずれかの電子メール アドレス ドメインを使用します。いずれの組織も、それぞれの Microsoft Federation Gateway とのフェデレーション信頼のアカウント名前空間に、すべての承認済み電子メール ドメインを含めるようにします。2 つの組織間で複雑な Active Directory フォレストまたはドメイン信頼構成を必要とはせずに、両方の組織が互いの組織の関係を構成して、空き時間情報の共有を可能にします。

次の図は、Contoso, Ltd. と Fabrikam, Inc. の間のフェデレーション構成を示します。

フェデレーション委任の例

フェデレーションのための証明書の要件

Microsoft Federation Gateway とのフェデレーション信頼を確立するには、自己署名証明書、または証明機関 (CA) によって署名された X.509 証明書を作成し、信頼の作成に使用する Exchange 2010 サーバーにインストールする必要があります。EMC でフェデレーション信頼の新規作成ウィザードを使用して自動的に作成およびインストールできる、自己署名証明書の使用をお勧めします。証明書は、フェデレーション委任に使用する委任トークンを、署名および暗号化するためにのみ使用されます。フェデレーション信頼に必要な証明書は 1 つだけです。この証明書は、Exchange 2010 によって自動的に組織内の他の Exchange 2010 サーバーに配布されます。

外部 CA によって署名された X.509 証明書を使用する場合は、証明書が以下の要件を満たしている必要があります。

• 信頼済み証明機関   可能であれば、X.509 SSL (Secure Sockets Layer) 証明書は Windows Live により、信頼済み証明機関から発行する必要があります。現在、Microsoft が認定していない証明機関が発行した証明書も使用できます。信頼済み証明機関の一覧については、「フェデレーション信頼のための信頼されたルート証明機関」を参照してください。

• サブジェクトのキー識別子   証明書にはサブジェクト キー識別子フィールドが必要です。商用 CA によって発行された X.509 証明書のほとんどには、この識別子が含まれています。

• CryptoAPI 暗号化サービス プロバイダー (CSP) 証明書は CryptoAPI CSP を使用する必要があります。Cryptography API:Next Generation (CNG) プロバイダーを使用する証明書は、フェデレーションではサポートされません。Exchange を使用して証明書要求を作成する場合は、CryptoAPI プロバイダーを使用します。詳細については、「Cryptography API:Next Generation」を参照してください (このサイトは英語の場合があります)。

• RSA 署名アルゴリズム   証明書は署名アルゴリズムとして RSA を使用する必要があります。

• エクスポート可能な秘密キー   証明書を生成するために使用される秘密キーは、エクスポート可能である必要があります。EMC で Exchange 証明書の新規作成ウィザードを使用するか、シェルで New-ExchangeCertificate コマンドレットを実行することで証明書要求を作成する場合に、秘密キーをエクスポート可能に指定します。

• 現在の証明書   証明書は現在のものにする必要があります。有効期限が切れた証明書や失効した証明書を使用して、フェデレーション信頼を作成することはできません。

• 拡張キー使用法   証明書には、拡張キー使用法 (EKU) タイプ クライアント認証 (1.3.6.1.5.5.7.3.2) を含める必要があります。この使用法タイプは、リモート コンピューターに自分の ID を提供するために使用されます。EMC またはシェルを使用して証明書要求を生成する場合に、既定でこの使用法タイプが含まれます。

ページのトップへ

新しい証明書への切り替え

フェデレーション信頼を作成するために使用する証明書は、現在の証明書として指定されます。ただし、定期的にフェデレーション信頼の新しい証明書をインストールして使用しなければならない場合があります。たとえば、現在の証明書の期限が切れた場合、組織のビジネスやセキュリティの要件を満たす必要がある場合などに、新しい証明書を使用する必要があります。新しい証明書への移行をシームレスに実行するには、Exchange 2010 サーバー上に新しい証明書をインストールし、その証明書を次の証明書として指定するようにフェデレーション信頼を構成する必要があります。Exchange 2010 によって、次の証明書は組織内の他の Exchange 2010 サーバーに自動的に配布されます。Active Directory トポロジによっては、証明書の配布に時間がかかる場合があります。証明書の状態を確認するには、EMC でフェデレーションの管理ウィザードを使用するか、シェルで Test-FederationTrustCertificate コマンドレットを実行します。

証明書の配布状態を確認したら、次の証明書を使用するように信頼を構成します。証明書の切り替えを実行すると、現在の証明書は以前の証明書として指定され、次の証明書が現在の証明書として指定されます。新しい証明書は Microsoft Federation Gateway に公開され、Microsoft Federation Gateway と交換されたすべての新しいトークンが新しい証明書を使用して暗号化されます。次の図は、フェデレーションの管理ウィザードを使用して上記の移行を構成する方法を示します。

証明書の切り替え

新しい証明書への切り替え方法の詳細については、「フェデレーションの管理」を参照してください。

ページのトップへ

 © 2010 Microsoft Corporation.All rights reserved.