他の組織に属するアプリケーションやサービスにActive Directory ユーザー アクセスを提供する
この Active Directory フェデレーション サービス (AD FS) 2.0 の展開目的は、「クレーム対応のアプリケーションおよびサービスへのアクセスを Active Directory ユーザーに提供する」の目的を基にして構築されます。
アカウント パートナー組織の管理者として、別の組織でホストされるリソースへのフェデレーション アクセスを従業員に提供するという展開目的をお持ちの場合は、以下を考慮してください。
アプリケーションまたはサービスが別の組織にあるとき、企業ネットワークの Active Directory ドメインにログオンする従業員は、シングル サインオン (SSO) 機能を使用して、AD FS 2.0 でセキュリティ保護された複数の Web ベースのアプリケーションまたはサービスにアクセスできます。詳細については、「フェデレーション Web SSO 設計 [ADFS2]」を参照してください。
たとえば、Fabrikam が企業ネットワークの従業員に対して、Contoso でホストされる Web サービスへのフェデレーション アクセスを提供することが考えられます。
Active Directory ドメインにログオンするリモートの従業員は、別の組織でホストされる AD FS 2.0 でセキュリティ保護された Web ベースのアプリケーションまたはサービスへのフェデレーション アクセスを行うために、自組織のadfs2_fsから AD FS 2.0 トークンを取得できます。
たとえば、Fabrikam が自社の企業ネットワーク上にいないリモートの従業員に対して、Contoso でホストされる AD FS 2.0 でセキュリティ保護されたサービスへのフェデレーション アクセスを提供することが考えられます。
「クレーム対応のアプリケーションおよびサービスへのアクセスを Active Directory ユーザーに提供する」で説明している基本的なコンポーネント (次の図の色が濃い部分) に加えて、この展開目的には次のコンポーネントも必要です。
アカウント パートナー Active Directory 2.0 フェデレーション サービス プロキシ: インターネットからフェデレーション サービスまたはアプリケーションにアクセスする従業員は、この AD FS 2.0 コンポーネントを使用して認証を実行できます。このコンポーネントは既定でフォーム認証を実行しますが、基本的な認証も実行できます。自組織の従業員が証明書を持ち、提示できる場合は、SSL (Secure Sockets Layer) クライアント認証を実行するようにこのコンポーネントを構成することもできます。詳細については、「フェデレーション サーバー プロキシを配置する場所」を参照してください。
境界 DNS: ドメイン ネーム システム (DNS) のこの実装により、境界ネットワークにホスト名が提供されます。Active Directory 2.0 フェデレーション サービス プロキシの追加に対応するように DNS を構成する方法については、「フェデレーション サーバー プロキシの名前解決の要件」を参照してください。
リモートの従業員: リモートの従業員は、オフサイトでインターネットを使用しながら、企業ネットワークの有効な資格情報を使用して、Web ベースのアプリケーション (サポートされる Web ブラウザー経由) または Web ベースのサービス (アプリケーション経由) にアクセスします。リモートの場所にある従業員のクライアント コンピューターがActive Directory 2.0 フェデレーション サービス プロキシと直接通信してトークンを生成し、アプリケーションまたはサービスへの認証を行います。
リンクされたトピックの情報を確認したら、「チェックリスト: フェデレーション Web SSO 設計を実装する」(英語) の手順に従って、この目標の展開を開始できます。
次の図は、この AD FS 2.0 の展開目的の各必須コンポーネントを示します。