Share via

AD FS を配置するための要件を確認する

  • [アーティクル]

適用対象: Azure、Office 365、Power BI、Windows Intune

Azure AD で証明書利用者信頼を正常に作成するための新しい AD FS デプロイでは、まず、アカウント、名前解決、証明書の AD FS 要件をサポートするように企業ネットワーク インフラストラクチャが構成されていることを確認する必要があります。 AD FS には次の種類の要件があります。

  • ソフトウェア要件

  • 証明書の要件

  • ネットワークの要件

ソフトウェア要件

AD FS ソフトウェアを、フェデレーション サーバーまたはフェデレーション サーバー プロキシ ロール用に準備しているすべてのコンピューターにインストールする必要があります。 このソフトウェアをインストールするには、AD FS セットアップ ウィザードを使用するか、コマンド ラインで adfssetup.exe /quiet パラメーターを使用してサイレント インストールを実行します。

基本インストール プラットフォームの場合、AD FS には、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、または Windows Server 2012 R2 オペレーティング システムのいずれかが必要です。 AD FS には、Windows Server 2008、Windows Server 2008 R2 オペレーティング システム プラットフォーム (一般に AD FS 2.0 と呼ばれます) 用の個別のインストール パッケージがあります。または、フェデレーション サービス サーバーの役割を Windows Server 2012 または Windows Server 2012 R2 オペレーティング システムの一部として追加することでインストールできます。

Windows Server 2012 で AD FS 2.0 または AD FS を使用している場合、SSO ソリューションの実装の一部としてフェデレーション サーバー プロキシを展開および構成します。

Windows Server 2012 R2 で AD FS を使用している場合、エクストラネット アクセス用に AD FS 展開を構成するために、Web アプリケーション プロキシを展開します。 Windows Server 2012 R2 では、リモート アクセス サーバー ロールの新しいロール サービスである Web アプリケーション プロキシを使用して、企業ネットワークの外部からアクセスできるように AD FS を有効にします。 詳細については、「Web アプリケーション プロキシの概要」を参照してください。

前提条件

AD FS のインストール処理中、セットアップ ウィザードは自動的に、前提条件のアプリケーションとそれに依存する修正プログラムの両方をチェックし、必要に応じてインストールします。 ほとんどの場合、セットアップ ウィザードは、AD FS の動作とインストールに必要な前提条件のアプリケーションをすべてインストールします。

ただし、1 つの例外があります。Windows Server 2008 プラットフォームに AD FS をインストールする場合 (AD FS 2.0 と呼ばれる別のインストール パッケージとして)。 展開の状況でこのような場合は、AD FS 2.0 ソフトウェアをインストールする前に、Windows Server 2008 を実行しているサーバーに .NET 3.5 SP1 がインストールされていることを確認する必要があります。これは AD FS 2.0 の前提条件であり、このプラットフォームの AD FS 2.0 セットアップ ウィザードでは自動的にインストールされないためです。 .NET 3.5 SP1 がインストールされていない場合、AD FS 2.0 セットアップ ウィザードでは AD FS 2.0 ソフトウェアのインストールが禁止されます。

修正プログラム

AD FS 2.0 をインストールした後、AD FS 2.0 修正プログラムをインストールする必要があります。 詳細については、「Description of Update Rollup 2 for Active Directory Federation Services (AD FS) 2.0 (Active Directory フェデレーション サービス (AD FS) 2.0 の更新プログラムのロールアップ 2 の説明)」を参照してください。

仮想化

AD FS は、フェデレーション サーバー ロールとフェデレーション サーバー プロキシ ロール両方のソフトウェア仮想化をサポートしています。 冗長性を考慮するため、各 AD FS 仮想マシンを独立した物理仮想サーバー上に格納することを推奨します。

Microsoft 仮想化テクノロジを使用した仮想サーバー環境のセットアップの詳細については、「Hyper-V ファースト ステップ ガイド」を参照してください。

証明書の要件

証明書は、フェデレーション サーバー、Web アプリケーション プロキシ、フェデレーション サーバー プロキシ、クラウド サービス、および Web クライアント間の通信をセキュリティで保護する上で最も重要な役割を果たします。 次の表で説明するように、フェデレーション サーバー、Web アプリケーション プロキシ、またはフェデレーション サーバー プロキシ コンピューターのいずれをセットアップしているかに応じて、証明書の要件は異なります。

フェデレーション サーバーの証明書

フェデレーション サーバーには、次の表に示す証明書が必要です。

証明書の種類 説明 展開前の注意事項

Windows Server 2012 R2 の AD FS 用の SSL 証明書 (別名、サーバー認証証明書)

これは標準的な SSL (Secure Sockets Layer) 証明書で、フェデレーション サーバー、クライアント、Web アプリケーション プロキシ、およびフェデレーション サーバー プロキシ コンピューター間の通信のセキュリティ保護に使用されます。

AD FS には、フェデレーション サーバー ファーム内の各フェデレーション サーバー上の SSL サーバー認証用の証明書が必要です。 ファーム内の各フェデレーション サーバーで同じ証明書を使用する必要があります。 証明書と秘密キーが両方とも利用可能であることが必要です。 たとえば、証明書とその秘密キーを .pfx ファイルにしている場合、そのファイルを Active Directory フェデレーション サービス構成ウィザードに直接インポートすることができます。 この SSL 証明書には、以下が含まれている必要があります。

  1. サブジェクト名とサブジェクト代替名には、fs.contoso.com などのフェデレーション サービス名が含まれる必要がある

  2. サブジェクト代替名には、組織の UPN サフィックスが後に続く、値 enterpriseregistration が含まれる必要がある (たとえば、enterpriseregistration.corp.contoso.com のようになる)。

従来のバージョンの AD FS 用の SSL 証明書 (別名、サーバー認証証明書)

これは標準的な Secure Sockets Layer 証明書で、フェデレーション サーバー、クライアント、Web アプリケーション プロキシ、およびフェデレーション サーバー プロキシ コンピューター間の通信のセキュリティ保護に使用されます。

フェデレーション サーバーの設定を構成する際に、AD FS では SSL 証明書が必要です。 既定では、AD FS は、インターネット インフォメーション サービス (IIS) の既定の Web サイト用に構成されている SSL 証明書を使用します。

この SSL 証明書のサブジェクト名は、展開した AD FS の各インスタンスのフェデレーション サービス名を決定するために使用されます。 このため、クラウド サービスに対する会社または組織の名前を最もよく表す新しい証明機関 (CA) が発行した証明書でサブジェクト名を選択することを検討してください。この名前はインターネットでルーティング可能である必要があります。 たとえば、この記事の前述の図 (「フェーズ 2」を参照) では、証明書のサブジェクト名は fs.fabrikam.com です。

重要

AD FS では、この SSL 証明書はドットのない (短縮名の) サブジェクト名である必要があります。

必須: この証明書は AD FS と Microsoft クラウド サービスのクライアントによって信頼される必要があるため、パブリック (サード パーティ) CA または公的に信頼されたルートに従属する CA によって発行される SSL 証明書を使用します。たとえば、VeriSign や Thawte などです。

トークン署名証明書

これは、フェデレーション サーバーが発行し、クラウド サービスが受け入れて検証するすべてのトークンに安全に署名するために使用される標準の X.509 証明書です。

トークン署名証明書には秘密キーが格納されている必要があります。また、フェデレーション サービスにおいて信頼されたルートまでチェーンでつながっている必要があります。 既定の設定では、AD FS によって自己署名証明書が作成されます。 ただし、組織のニーズに応じて、AD FS 管理スナップインを作成することで、後でこれを CA によって発行された証明書に変更できます。

推薦: AD FS によって生成された自己署名トークン署名証明書を使用します。 このようにすると、既定で AD FS がこの証明書を管理します。 たとえば、この証明書が間もなく期限切れになる場合、前もって AD FS は使用する新しい自己署名証明書を生成します。

警告

フェデレーション サービスの安定性を保つためにはトークン署名証明書が非常に重要です。 変更された場合は、この変更についてクラウド サービスに通知する必要があります。 そうしないと、クラウド サービスへの要求は失敗します。 AD FS フェデレーション サーバー ファームとクラウド サービス全体の証明書の管理の詳細については、「 信頼プロパティの更新」を参照してください。

プロキシ コンピューターの証明書

フェデレーション サーバー プロキシでは以下の表の証明書が必要です。

証明書の種類 説明 展開前の注意事項

SSL 証明書

これは標準的な SSL 証明書で、フェデレーション サーバー、フェデレーション サーバー プロキシまたは Web アプリケーション プロキシ、およびインターネット クライアント コンピューター間の通信のセキュリティ保護に使用されます。

これは、企業ネットワークのフェデレーション サーバーにより使用される証明書と同じサーバー認証証明書です。 この証明書には、会社のネットワークにあるフェデレーション サーバーに構成された SSL 証明書と同じサブジェクト名を使用する必要があります。

Windows Server 2008 または Windows Server 2012 で AD FS を使用している場合、フェデレーション サーバー プロキシ コンピューターの既定の Web サイトに、この証明書をインストールする必要があります。

Windows Server 2012 R2 で AD FS を使用している場合、Web アプリケーション プロキシとして機能するコンピューターの個人証明書ストアに、この証明書をインポートする必要があります。

推薦:このフェデレーション サーバー プロキシまたは Web アプリケーション プロキシが接続するフェデレーション サーバーで構成されているのと同じサーバー認証証明書を使用します。

フェデレーション サーバーとフェデレーション サーバー プロキシで使用される証明書の詳細については、「AD FS 2.0 設計ガイド」または「AD FS 設計ガイドWindows Server 2012」を参照してください。

ネットワークの要件

組織で AD FS を正常に展開するには、以下のネットワーク サービスを適切に構成することが非常に重要です。

TCP/IP ネットワーク接続

AD FS が機能するには、クライアント、ドメイン コントローラー、フェデレーション サーバー、およびフェデレーション サーバー プロキシ間に TCP/IP ネットワーク接続が存在する必要があります。

DNS

Active Directory 以外の AD FS の操作に不可欠なプライマリ ネットワーク サービスは、ドメイン ネーム システム (DNS) です。 DNS が展開されているときは、ユーザーは覚えやすいフレンドリ コンピューター名を使用して IP ネットワーク上のコンピューターなどのリソースに接続することができます。

AD FS をサポートするように DNS を更新する処理では、次のサーバーを構成します。

  • クラスター DNS 名を会社のネットワークの NLB ホストで構成した NLB クラスターのクラスター IP アドレスに変換するための、会社のネットワークにある内部 DNS サーバー。 たとえば、fs.fabrikam.com を 172.16.1.3 に変換します。

  • クラスター DNS 名を境界の NLB ホストで構成した NLB クラスターのクラスター IP アドレスに変換するための、境界ネットワークにある DNS サーバー。 たとえば、fs.fabrikam.com を 192.0.2.3 に変換します。

NLB の要件

NLB には、耐障害性、高可用性、および複数ノード間の負荷分散を提供する必要があります。 NLB は、ハードウェア、ソフトウェア、またはその両方の組み合わせに実装することができます。 NLB クラスターのフェデレーション サービス名に基づいて DNS リソース レコードを構成する必要があります。これは、クラスターの完全修飾ドメイン名 (FQDN) (この記事の別名ではクラスター DNS 名) が、クラスター IP アドレスに解決されるようにするためです。

NLB クラスター IP アドレスまたはクラスター FQDN の一般情報については、「Specifying the Cluster Parameters (クラスター パラメーターの指定)」を参照してください。

認証の拡張保護を利用する

コンピューターに認証用の拡張保護があり、Firefox、Chrome、Safari を使用している場合は、企業ネットワーク内から統合Windows 認証を使用してクラウド サービスにサインインできない可能性があります。 このような場合、ユーザーに定期的にログオン プロンプトが表示される場合があります。 これは、AD FS と認証用の拡張保護の既定の構成 (Windows 7 および修正プログラムが適用されたクライアント オペレーティング システム) が原因です。

Firefox、Chrome、Safari で認証のための拡張保護がサポートされるまで、クラウド サービスにアクセスするすべてのクライアントが Internet Explorer 8 Windowsインストールして使用することをお勧めします。 Firefox、Chrome、Safari でクラウド サービスにシングル サインオンを使用する場合は、他に 2 つの解決策を検討してください。 ただし、これらのいずれかのアプローチを使用する場合は、セキュリティ上の懸念がある場合があります。 詳細については、「マイクロソフト セキュリティ アドバイザリ: 認証に対する保護の強化」を参照してください。 この解決策には以下の手順が含まれます。

  • 認証の拡張保護の修正プログラムをコンピューターからアンインストールします。

  • AD FS サーバー上で認証の拡張保護の設定を変更する。 詳細については、 AD FS 2.0 の高度なオプションの構成に関するページを参照してください。

  • 各フェデレーション サーバー上の AD FS Web ページの認証設定を、Windows 統合認証から、フォームベース認証の使用に再構成する。

次のステップ

AD FS を展開するための要件を確認したら、次の手順として、 フェデレーション サーバー用のネットワーク インフラストラクチャを準備します

参照

概念

チェックリスト: AD FS を使用してシングル サインオンを実装および管理する