AD FS 2.0 を展開する前にキーとなる概念を理解する
Active Directory フェデレーション サービス (AD FS) 2.0 設計の計画を開始する前に、AD FS 2.0 の重要な概念と機能セットについて理解しておくことをお勧めします。「AD FS 2.0 設計ガイド」のこのセクションと次の用語一覧では、AD FS 2.0 インフラストラクチャの計画を開始するために必要な一般的な情報を提供します。
以下の用語は、このガイドを通じて頻繁に使用されます。この一覧では、これらの用語の基本的な意味について説明します。より広範な用語の一覧については、「AD FS 2.0 製品ヘルプ」(英語) の「AD FS 2.0 の用語」を参照してください。
このガイドで使用される AD FS 2.0 の用語
| AD FS 2.0 の用語 | 定義 |
| アカウント パートナー組織 | フェデレーション サービスにおいて、クレーム プロバイダーの信頼で表されるフェデレーション パートナー組織。アカウント パートナー組織には、リソース パートナーの Web ベースのアプリケーションにアクセスするユーザーが含まれます。 |
| アカウント フェデレーション サーバー | ア カウント パートナー組織のフェデレーション サーバー。アカウント フェデレーション サーバーは、ユーザー認証に基づいてユーザーにセキュリティ トークンを発行します。このサーバーは、ユーザーを認証し、関連する属性およびグループ メンバーシップ情報を属性ストアから抽出します。次に、この情報をクレームとしてパッケージ化し、セキュリティ トークン (クレームを含む) を生成し、署名してユーザーに返します。このトークンは、自組織で使用したり、パートナー組織に送信することができます。 |
| AD FS 構成データベース | 1 つの AD FS 2.0 インスタンスまたはフェデレーション サービスを表すすべての構成データを格納するために使用されるデータベース。この構成データは、SQL Server データベースに、または Windows Internal Database 機能 ( Windows Server 2008 および Windows Server 2008 R2 に付属) を使用して格納できます。AD FS 構成データベースは、SQL Server では Fsconfig.exe コマンドライン ツールを使用して、Windows Internal Database では AD FS 2.0 フェデレーション サーバー構成ウィザードを使用して作成できます。 |
| クレーム プロバイダー | クレームをユーザーに提供する組織。アカウント パートナー組織を参照してください。 |
| クレーム プロバイダーの信頼 | AD FS 2.0 管理スナップインにおけるクレーム プロバイダーの信頼とは、通常、リソース パートナー組織内のリソースにアクセスするアカウントを持つ信頼関係内の組織を表すためにリソース パートナー組織内で作成される信頼オブジェクトです。クレーム プロバイダーの信頼オブジェクトは、ローカルのフェデレーション サービスに対してこのパートナーを識別する各種の ID、名前、およびルールで構成されます。 |
| フェデレーション メタデータ | ク レーム プロバイダーの信頼および証明書利用者の信頼を正しく構成できるように、クレーム プロバイダーと証明書利用者の間で構成情報を通信するためのデータ形式。このデータ形式は、SAML (Security Assertion Markup Language) 2.0 で定義され、WS-Federation で拡張されています。 |
| フェデレーション サーバー | Windows Server 2008 または Windows Server 2008 R2 が実行されており、AD FS 2.0 フェデレーション サーバー構成ウィザードを使用してフェデレーション サーバーの役割で機能するように構成されたコンピューター。フェデレーション サーバーは、トークンを発行し、フェデレーション サービスの一部として機能します。 |
| フェデレーション サーバー プロキシ | Windows Server 2008 または Windows Server 2008 R2 が実行されており、AD FS 2.0 インターネット クライアントと企業ネットワークのファイアウォールの背後に配置されているフェデレーション サーバー間の仲介プロキシ サービスとして機能するように、フェデレーション サーバー プロキシの構成ウィザードを使用して構成されたコンピューター。 |
| プライマリ フェデレーション サーバー | Windows Server 2008 または Windows Server 2008 R2 を実行し、AD FS 2.0 フェデレーション サーバー構成ウィザードを使用してフェデレーション サーバーの役割を果たすように構成されたコンピューター。AD FS 構成データベースの読み書き可能なコピーが格納されています。プライマリ フェデレーション サーバーを作成するには、AD FS 2.0 フェデレーション サーバー構成ウィザードを使用して、新しいフェデレーション サービスを作成するオプションを選択し、コンピューターをファーム内の最初のフェデレーション サーバーにします。そのファーム内の他のすべてのフェデレーション サーバーは、プライマリ フェデレーション サーバーに対して行われた変更を、ローカルに保存されている AD FS 構成データベースの読み取り専用コピーに複製する必要があります。AD FS 構成データベースが SQL データベースに格納されている場合には、すべてのフェデレーション サーバーが SQL Server に格納されている構成データベースを読み書きできるため、プライマリ フェデレーション サーバーという用語は使用されません。 |
| 証明書利用者 | クレームを取得および処理する組織。リソース パートナー組織を参照してください。 |
| 証明書利用者の信頼 | AD FS 2.0 管理スナップインにおける証明書利用者の信頼とは、一般的に次の組織で作成される信頼オブジェクトです。
証明書利用者の信頼オブジェクトは、ローカルのフェデレーション サービスに対して上記のパートナーまたは Web アプリケーションを識別する各種の ID、名前、およびルールで構成されます。 |
| リソース フェデレーション サーバー | リ ソース パートナー組織のフェデレーション サーバー。通常、リソース フェデレーション サーバーは、アカウント フェデレーション サーバーによって発行されたセキュリティ トークンに基づいて、ユーザーにセキュリティ トークンを発行します。このサーバーは、セキュリティ トークンを取得し、署名を検証し、パッケージ化されていないクレームにクレーム ルール ロジックを適用し、目的の送信クレームを生成します。次に、受信セキュリティ トークンの情報に基づいて新しいセキュリティ トークン (送信クレームを含む) を生成し、新しいトークンに署名してユーザーおよび Web アプリケーションに返します。 |
| リソース パートナー組織 | フェ デレーション サービスにおいて、証明書利用者の信頼で表されるフェデレーション パートナー。リソース パートナーはクレーム ベースのセキュリティ トークンを発行します。このトークンには、アカウント パートナーのユーザーがアクセスできる、公開された Web ベースのアプリケーションが含まれています。 |
AD FS 2.0 の概要
AD FS 2.0 は、ユーザー アカウントとアプリケーションが完全に別のネットワークや組織に配置されている場合でも、クライアント コンピューター (ネットワークの内部または外部) にシームレスな SSO アクセスを提供し、インターネット対応アプリケーションまたはサービスを保護する ID アクセス ソリューションです。
アプリケーションまたはサービスとユーザー アカウントが別のネットワークに存在する場合、ユーザーがそのアプリケーションまたはサービスにアクセスしようとすると、通常は、2 次的な資格情報を入力するように指示されます。この 2 次的な資格情報は、アプリケーションまたはサービスが存在する領域内でユーザー情報を表します。通常、そのアプリケーションまたはサービスをホストする Web サーバーが最適な承認判断を下すために、これらの情報を要求します。
AD FS 2.0 では、ユーザーのデジタル ID、および信頼されたパートナーへのアクセス権を提示するための信頼関係 (フェデレーション信頼) を組織が提供することで、2 次的な資格情報の要求を省略できます。このフェデレーション環境で、各組織は引き続き自組織の ID を管理できます。また、他の組織からの ID を安全に提示したり、受け入れたりすることもできます。
AD FS 2.0 に関する一般的な情報については、「AD FS 2.0 の製品ヘルプ」(https://go.microsoft.com/fwlink/?LinkId=148504) (英語) を参照してください。