Active Directory フェデレーション サービスの概要
発行: 2012年2月
更新日: 2012年8月
適用対象: Windows Server 2012
このトピックでは、Windows Server® 2012 の Active Directory フェデレーション サービス (AD FS) の概要について説明します。
以下のリソースも参照してください。
-
Active Directory ドメイン サービス
-
Active Directory Rights Management サービス
-
Active Directory 証明書サービス
-
Active Directory ライトウェイト ディレクトリ サービス
AD FS サーバー役割は、簡素化されセキュリティで保護された ID フェデレーション機能と Web シングル サインオン (SSO) 機能を備えています。AD FS には、ブラウザーベースの Web SSO を有効にするフェデレーション サービス役割サービス、クライアント アクセス環境をカスタマイズし、内部リソースを保護するフェデレーション サービス プロキシ役割サービス、内部でホストされているアプリケーションへのアクセス権をフェデレーション ユーザーに付与するために使われる Web エージェント役割サービスが含まれています。
AD FS では、信頼性情報ベースのアクセス (CBA) 承認メカニズムを使用してエンド ユーザーによるシステムおよびアプリケーションへのアクセスを簡素化し、アプリケーションのセキュリティを保ちます。AD FS を展開すると、次のことが可能になります。
-
従業員または顧客が複数回ログオンすることなく、インターネット上のフェデレーション パートナー組織内の Web ベースのリソースにシームレスにアクセスできます。
-
他のサインオン プロバイダー (Windows Live ID、Liberty Alliance など) を利用することなく、従業員または顧客の ID を完全に制御できます。
-
従業員または顧客が内部でホストされている Web サイトや Web サービスにリモート アクセスする必要がある場合に、Web ベースの SSO でアクセスできます。
-
従業員または顧客が組織を越えた Web サイトや Web サービスにネットワークのファイアウォール内からアクセスする場合に、Web ベースの SSO でアクセスできます。
Windows Server 2012 の AD FS サーバー役割には、AD FS 2.0 で使用できる機能および機能セットと同じ機能および機能セットが含まれています。さらに、AD FS 2.0 では提供されない次の新機能が含まれています。
-
ダイナミック アクセス制御シナリオとの統合: AD FS は、さまざまなダイナミック アクセス制御シナリオで Windows Server 2012 の Active Directory ドメイン サービス (AD DS) を使用して発行されたユーザーおよびデバイスの信頼性情報と共に使用できます。この統合により、AD FS は、Kerberos チケットに含まれている AD DS 信頼性情報をドメイン認証の結果として使用できます。Kerberos チケットの信頼性情報の使用方法の詳細については、「Using AD DS Claims with AD FS」を参照してください。
-
サーバー マネージャーによるインストール エクスペリエンスの向上: AD FS 2.0 では、AD FS サーバー インフラストラクチャを展開するために AD FS 2.0 をダウンロードしてインストールする必要がありました。一方、Windows Server 2012 では、サーバー マネージャーを使用して AD FS サーバー役割をインストールします。サーバー マネージャーには、機能が強化された AD FS 構成ウィザード ページが含まれます。このウィザードにより、AD FS サーバー役割のインストールを続行する前にサーバーの有効性の検証が実行され、AD FS サーバー役割のインストール中に AD FS が依存するすべてのサービスが自動的にリストアップされ、インストールされます。このようなサービスには、Microsoft ASP.NET や Web サーバー (IIS) サーバー役割の一部であるその他のサービスが含まれます。
-
その他の Windows PowerShell コマンドレット ツール: AD FS 2.0 で提供される Windows PowerShell ベースの管理機能に加え、Windows Server 2012 の AD FS には、AD FS サーバー役割のインストールとフェデレーション サーバーおよびフェデレーション サーバー プロキシの初期構成を行うための新しいコマンドレットが含まれます。
AD FS 役割サービスは、サーバー マネージャーを使用してインストールできます。組織のビジネス ニーズに基づき、次のいずれかの AD FS 役割サービスをインストールできます。
| 役割サービス | 説明 |
|---|---|
|
フェデレーション サービス |
リソースへのアクセス要求に応答してセキュリティ トークンをクライアント アプリケーションに提供します。 |
|
フェデレーション サービス プロキシ |
ブラウザー クライアントおよび Web アプリケーションからユーザーの資格情報を収集し、ユーザーに代わってフェデレーション サービスにその資格情報を転送します。 |
|
信頼性情報に対応するエージェント |
信頼性情報を認証のために直接使用するアプリケーションにフェデレーション アクセス制御を提供します。 |
|
Windows トークン ベースのエージェント |
従来の Windows トークン ベースの認証を使用する Windows アプリケーションにフェデレーション アクセス制御を提供します。 |
AD FS のインストール後、AD FS の管理スナップインを使用して、フェデレーション サービス役割サービスとフェデレーション サービス プロキシ役割サービスの両方を管理できます。AD FS Windows トークン ベースのエージェント役割サービスを管理するには、(Sites\Default Web Site\adfs にある) インターネット インフォメーション サービス (IIS) マネージャー スナップインを使用できます。
