クレームを認識しているアプリケーションとサービスにActive Directory ユーザー アクセスを提供する
Active Directory フェデレーション サービス (AD FS) 2.0 展開のアカウント パートナー組織の管理者として、企業ネットワーク上の従業員に、ホストされるリソースへのシングル サインオン (SSO) アクセスを提供するという展開目的を持っている場合は、以下を考慮してください。
企業ネットワークの Active Directory フォレストにログオンする従業員は、SSO を使用することにより、自組織の境界ネットワークで複数のアプリケーションやサービスにアクセスできます。これらのアプリケーションとサービスは、AD FS 2.0 でセキュリティ保護されます。
たとえば、Fabrikam が、企業ネットワークの従業員に対して、Fabrikam の境界ネットワークでホストされる Web ベースのアプリケーションへのフェデレーション アクセスを提供することが考えられます。
Active Directory ドメインにログオンするリモートの従業員は、自組織にも存在する AD FS でセキュリティ保護された Web ベースのアプリケーションまたはサービスへのフェデレーション アクセスを行うために、自組織のフェデレーション サーバーから AD FS トークンを取得します。
Active Directory の属性ストアの情報を従業員の AD FS トークンに設定できます。
この展開目的には、次のコンポーネントが必要です。
Active Directory ドメイン サービス (AD DS): AD DS は、AD FS トークンの生成に使用する従業員のユーザー アカウントを含みます。グループのメンバーシップや属性などの情報は、グループのクレームやカスタムのクレームとして AD FS トークンに設定されます。
LDAP (ライトウェイト ディレクトリ アクセス プロトコル) または SQL (構造化照会言語) を使用して、AD FS トークン生成用の ID を格納することもできます。
企業 DNS: ドメイン ネーム システム (DNS) のこの実装は、イントラネットのクライアントがアカウント Active Directory 2. 0 フェデレーション サービスを検出できるように、単純なホスト (A) のリソース レコードを含みます。DNS のこの実装は、企業ネットワークで必要とされる他の DNS レコードをホストする場合もあります。詳細については、「フェデレーション サーバーの証明書の要件」を参照してください。
アカウント パートナー Active Directory 2. 0 フェデレーション サービス: このActive Directory 2. 0 フェデレーション サービスは、アカウント パートナー フォレストのドメインに参加し、従業員のユーザー アカウントを認証して AD FS トークンを生成します。従業員のクライアント コンピューターは、このActive Directory 2. 0 フェデレーション サービスに対して Windows 統合認証を実行して、AD FS トークンを生成します。詳細については、「アカウント パートナーのフェデレーション サーバーの役割を確認する」を参照してください。
アカウント パートナーのActive Directory 2. 0 フェデレーション サービスは、次のユーザーを認証できます。
このドメインにユーザー アカウントを持つ従業員
このフォレストのどこかにユーザー アカウントを持つ従業員
このフォレストで (双方向の Windows 信頼によって) 信頼されるユーザー アカウントを他のフォレストのどこかに持つ従業員
従業員: 従業員は、企業ネットワークにログオンして、Web ベースのサービス (アプリケーション経由) または Web ベースのアプリケーション (サポートされる Web ブラウザー経由) にアクセスします。企業ネットワーク上の従業員のクライアント コンピューターは、認証のためにActive Directory 2. 0 フェデレーション サービスと直接通信します。
リンクされたトピックの情報を確認したら、「チェックリスト: フェデレーション Web SSO 設計を実装する」(英語) の手順に従って、この目標の展開を開始できます。
次の図は、この AD FS 2.0 の展開目的の各必須コンポーネントを示します。