他の組織に属するアプリケーションやサービスにActive Directory ユーザー アクセスを提供する

この Active Directory フェデレーション サービス (AD FS) 2.0 の展開目的は、「クレーム対応のアプリケーションおよびサービスへのアクセスを Active Directory ユーザーに提供する」の目的を基にして構築されます。

アカウント パートナー組織の管理者として、別の組織でホストされるリソースへのフェデレーション アクセスを従業員に提供するという展開目的をお持ちの場合は、以下を考慮してください。

• アプリケーションまたはサービスが別の組織にあるとき、企業ネットワークの Active Directory ドメインにログオンする従業員は、シングル サインオン (SSO) 機能を使用して、AD FS 2.0 でセキュリティ保護された複数の Web ベースのアプリケーションまたはサービスにアクセスできます。詳細については、「フェデレーション Web SSO 設計 [ADFS2]」を参照してください。

  たとえば、Fabrikam が企業ネットワークの従業員に対して、Contoso でホストされる Web サービスへのフェデレーション アクセスを提供することが考えられます。

• Active Directory ドメインにログオンするリモートの従業員は、別の組織でホストされる AD FS 2.0 でセキュリティ保護された Web ベースのアプリケーションまたはサービスへのフェデレーション アクセスを行うために、自組織のadfs2_fsから AD FS 2.0 トークンを取得できます。

  たとえば、Fabrikam が自社の企業ネットワーク上にいないリモートの従業員に対して、Contoso でホストされる AD FS 2.0 でセキュリティ保護されたサービスへのフェデレーション アクセスを提供することが考えられます。

「クレーム対応のアプリケーションおよびサービスへのアクセスを Active Directory ユーザーに提供する」で説明している基本的なコンポーネント (次の図の色が濃い部分) に加えて、この展開目的には次のコンポーネントも必要です。

• アカウント パートナー Active Directory 2.0 フェデレーション サービス プロキシ: インターネットからフェデレーション サービスまたはアプリケーションにアクセスする従業員は、この AD FS 2.0 コンポーネントを使用して認証を実行できます。このコンポーネントは既定でフォーム認証を実行しますが、基本的な認証も実行できます。自組織の従業員が証明書を持ち、提示できる場合は、SSL (Secure Sockets Layer) クライアント認証を実行するようにこのコンポーネントを構成することもできます。詳細については、「フェデレーション サーバー プロキシを配置する場所」を参照してください。

• 境界 DNS: ドメイン ネーム システム (DNS) のこの実装により、境界ネットワークにホスト名が提供されます。Active Directory 2.0 フェデレーション サービス プロキシの追加に対応するように DNS を構成する方法については、「フェデレーション サーバー プロキシの名前解決の要件」を参照してください。

• リモートの従業員: リモートの従業員は、オフサイトでインターネットを使用しながら、企業ネットワークの有効な資格情報を使用して、Web ベースのアプリケーション (サポートされる Web ブラウザー経由) または Web ベースのサービス (アプリケーション経由) にアクセスします。リモートの場所にある従業員のクライアント コンピューターがActive Directory 2.0 フェデレーション サービス プロキシと直接通信してトークンを生成し、アプリケーションまたはサービスへの認証を行います。

リンクされたトピックの情報を確認したら、「チェックリスト: フェデレーション Web SSO 設計を実装する」(英語) の手順に従って、この目標の展開を開始できます。

次の図は、この AD FS 2.0 の展開目的の各必須コンポーネントを示します。