フェデレーション サーバー プロキシをどこに配置するべきか

Active Directory フェデレーション サービス (AD FS) 2.0 のActive Directory 2. 0 フェデレーション サービス プロキシを境界ネットワークに配置することにより、インターネットから侵入する可能性がある悪意のあるユーザーを防御する保護レイヤーを提供できます。フェデレーション サーバー プロキシは、トークンの作成に使用される秘密キーにアクセスできないため、境界ネットワーク環境に適しています。また、Active Directory 2. 0 フェデレーション サービス プロキシは、それらのトークンを生成することを承認されたActive Directory 2. 0 フェデレーション サービスに、受信方向の要求を効率よくルーティングできます。

Active Directory フェデレーション サービス (AD FS) 2.0 のActive Directory 2. 0 フェデレーション サービス プロキシを境界ネットワークに配置することにより、インターネットから侵入する可能性がある悪意のあるユーザーを防御する保護レイヤーを提供できます。フェデレーション サーバー プロキシは、トークンの作成に使用される秘密キーにアクセスできないため、境界ネットワーク環境に適しています。また、Active Directory 2. 0 フェデレーション サービス プロキシは、それらのトークンを生成することを承認されたActive Directory 2. 0 フェデレーション サービスに、受信方向の要求を効率よくルーティングできます。

一般的な境界ネットワークでは、イントラネットに接するファイアウォールが境界ネットワークと企業ネットワークの間に設定され、多くの場合、インターネットに接するファイアウォールが境界ネットワークとインターネットの間に設定されます。このシナリオでは、境界ネットワーク上のこれら両方のファイアウォールの間にActive Directory 2. 0 フェデレーション サービスpが設置されます。

フェデレーション サーバー プロキシのファイアウォール サーバーを構成する

Active Directory 2. 0 フェデレーション サービスpのリダイレクト処理を成功させるには、すべてのファイアウォール サーバーを、Secure HTTP (HTTPS) トラフィックを許可するように構成する必要があります。ファイアウォール サーバーは、Active Directory 2. 0 フェデレーション サービスp (ポート 443 を使用) を公開する必要があるため、HTTPS の使用は必須です。これにより、境界ネットワークのActive Directory 2. 0 フェデレーション サービスpは企業ネットワークのActive Directory 2. 0 フェデレーション サービスにアクセスできます。

クライアント コンピューターとの双方向の通信も、すべて HTTPS で行われます。

さらに、Microsoft Internet Security and Acceleration (ISA) Server を実行するコンピューターなど、インターネットに接するファイアウォール サーバーは、サーバー公開と呼ばれるプロセスを使用して、Active Directory 2. 0 フェデレーション サービス プロキシやActive Directory 2. 0 フェデレーション サービスなどの適切な境界サーバーや企業ネットワーク サーバーにインターネット クライアントの要求を分散させます。

サーバー公開ルールは、サーバー公開の動作のしくみを決定します。基本的には、ISA Server コンピューター経由の受信方向と送信方向のすべての要求をフィルター処理するしくみを決定します。サーバー公開ルールは、受信方向のクライアント要求を ISA Server コンピューターの背後にある適切なサーバーに割り当てます。サーバーを公開するように ISA Server を構成する方法については、「セキュリティ保護された Web 公開ルールを作成する」(英語) (https://go.microsoft.com/fwlink/?LinkId=75182) を参照してください。

AD FS 2.0 によるフェデレーションでは、これらのクライアント要求は通常、特定の URL、たとえば、Active Directory 2. 0 フェデレーション サービス識別子の URL (http://fs.fabrikam.com など) に対して行われます。これらのクライアント要求はインターネットから着信するため、インターネットに接するファイアウォール サーバーは、境界ネットワークに配置された各Active Directory 2. 0 フェデレーション サービスpにActive Directory 2. 0 フェデレーション サービス識別子の URL を公開するように構成される必要があります。

SSL を許可するように ISA Server を構成する
セキュリティ保護された AD FS 2.0 通信をサポートするには、以下の要素間での SSL (Secure Sockets Layer) 通信を許可するように ISA Server を構成する必要があります。

• フェデレーション サーバーとActive Directory 2. 0 フェデレーション サービス プロキシ。Active Directory 2. 0 フェデレーション サービスとActive Directory 2. 0 フェデレーション サービス プロキシの間のすべての通信に SSL チャネルが必要です。このため、企業ネットワークと境界ネットワークの間で SSL 接続を許可するように、ISA Server を構成する必要があります。
• クライアント コンピューターとActive Directory 2. 0 フェデレーション サービスおよびActive Directory 2. 0 フェデレーション サービス プロキシ。クライアント コンピューターとActive Directory 2. 0 フェデレーション サービスの間、またはクライアント コンピューターとActive Directory 2. 0 フェデレーション サービス プロキシの間で通信を行うために、Active Directory 2. 0 フェデレーション サービスまたはActive Directory 2. 0 フェデレーション サービスpの前面に ISA Server を実行するコンピューターを配置できます。

ISA Server を実行するコンピューターをActive Directory 2. 0 フェデレーション サービスまたはActive Directory 2. 0 フェデレーション サービスpの前面に配置すると、組織がActive Directory 2. 0 フェデレーション サービス上またはActive Directory 2. 0 フェデレーション サービスp上で SSL クライアント認証を実行する場合、ISA Server コンピューターに SSL 接続のパス スルーを構成する必要があります。Active Directory 2. 0 フェデレーション サービスまたはActive Directory 2. 0 フェデレーション サービスpが SSL 接続の終点になる必要があるためです。

組織がActive Directory 2. 0 フェデレーション サービス上またはActive Directory 2. 0 フェデレーション サービスp上で SSL クライアント認証を実行しない場合は、ISA Server を実行するコンピューターを SSL 接続の終点とし、そこからActive Directory 2. 0 フェデレーション サービスまたはActive Directory 2. 0 フェデレーション サービスpへの SSL 接続を再確立するという選択肢もあります。

セキュリティ トークンのコンテンツを保護するために、Active Directory 2. 0 フェデレーション サービスまたはActive Directory 2. 0 フェデレーション サービスpの接続は SSL でセキュリティ保護する必要があります。