アカウント パートナーでフェデレーション サーバー プロキシの役割をレビューする

Active Directory フェデレーション サービス (AD FS) 2.0 において、アカウント パートナー組織の境界ネットワーク内でActive Directory 2. 0 フェデレーション サービスpが果たす主な役割は、インターネット経由でログオンするクライアント コンピューターから認証資格情報を収集し、その資格情報をアカウント パートナー組織の企業ネットワーク内にあるActive Directory 2. 0 フェデレーション サービスに渡すことです。クライアント コンピューターのアカウントは、アカウント パートナーの属性ストアに保存されます。

Active Directory 2. 0 フェデレーション サービスpは、アカウント パートナー組織のニーズに応じてプロキシをどのように構成したかにより、次に示す役割の 1 つまたは複数を果たすこともできます。

• セキュリティ トークンの中継: Active Directory 2. 0 フェデレーション サービスがセキュリティ トークンをActive Directory 2. 0 フェデレーション サービスpに発行し、次に、プロキシがトークンをクライアント コンピューターに中継します。セキュリティ トークンは、そのクライアント コンピューターに特定の証明書利用者へのアクセスを提供するために使用されます。

• 資格情報の収集: Active Directory 2. 0 フェデレーション サービスpは、デフォルトのクライアント ログオン Web フォーム (clientlogon.aspx) を使用し、フォーム ベースの認証を通じてパスワード ベースの資格情報を収集します。ただし、このフォームは、SSL (Secure Sockets Layer) クライアント認証など、サポートされている他の種類の認証を受け付けるようにカスタマイズできます。このフォームのカスタマイズ方法の詳細については、「クライアント ログオンおよびホーム領域検出ページのカスタマイズ」(英語) (https://go.microsoft.com/fwlink/?LinkId=104275) を参照してください。Active Directory 2. 0 フェデレーション サービスpは、Windows 統合認証による資格情報の受け付けは行いません。

要約すると、アカウント パートナーのActive Directory 2. 0 フェデレーション サービスpは、企業ネットワーク内にあるActive Directory 2. 0 フェデレーション サービスへのクライアントのログオン用のプロキシとして機能します。また、Active Directory 2. 0 フェデレーション サービスpを使用すると、証明書利用者向けのインターネット クライアントにセキュリティ トークンを簡単に配布できます。

アカウント パートナーのエクストラネット上でActive Directory 2. 0 フェデレーション サービスpを公開すると、インターネットにアクセスできる人なら誰でも、クライアント ログオン Web フォームにアクセスできるようになります。これにより、組織は、辞書攻撃、ブルート フォース攻撃などのパスワード ベースの攻撃を受けやすくなり、企業の Active Directory ドメイン サービス (AD DS) に保存されているユーザー アカウントのアカウント ロックアウトが発生する可能性があります。