クレームを認識しているアプリケーションとサービスにActive Directory ユーザー アクセスを提供する

Active Directory フェデレーション サービス (AD FS) 2.0 展開のアカウント パートナー組織の管理者として、企業ネットワーク上の従業員に、ホストされるリソースへのシングル サインオン (SSO) アクセスを提供するという展開目的を持っている場合は、以下を考慮してください。

  • 企業ネットワークの Active Directory フォレストにログオンする従業員は、SSO を使用することにより、自組織の境界ネットワークで複数のアプリケーションやサービスにアクセスできます。これらのアプリケーションとサービスは、AD FS 2.0 でセキュリティ保護されます。

    たとえば、Fabrikam が、企業ネットワークの従業員に対して、Fabrikam の境界ネットワークでホストされる Web ベースのアプリケーションへのフェデレーション アクセスを提供することが考えられます。

  • Active Directory ドメインにログオンするリモートの従業員は、自組織にも存在する AD FS でセキュリティ保護された Web ベースのアプリケーションまたはサービスへのフェデレーション アクセスを行うために、自組織のフェデレーション サーバーから AD FS トークンを取得します。

  • Active Directory の属性ストアの情報を従業員の AD FS トークンに設定できます。

この展開目的には、次のコンポーネントが必要です。

  • Active Directory ドメイン サービス (AD DS): AD DS は、AD FS トークンの生成に使用する従業員のユーザー アカウントを含みます。グループのメンバーシップや属性などの情報は、グループのクレームやカスタムのクレームとして AD FS トークンに設定されます。

    LDAP (ライトウェイト ディレクトリ アクセス プロトコル) または SQL (構造化照会言語) を使用して、AD FS トークン生成用の ID を格納することもできます。

  • 企業 DNS: ドメイン ネーム システム (DNS) のこの実装は、イントラネットのクライアントがアカウント Active Directory 2. 0 フェデレーション サービスを検出できるように、単純なホスト (A) のリソース レコードを含みます。DNS のこの実装は、企業ネットワークで必要とされる他の DNS レコードをホストする場合もあります。詳細については、「フェデレーション サーバーの証明書の要件」を参照してください。

  • アカウント パートナー Active Directory 2. 0 フェデレーション サービス: このActive Directory 2. 0 フェデレーション サービスは、アカウント パートナー フォレストのドメインに参加し、従業員のユーザー アカウントを認証して AD FS トークンを生成します。従業員のクライアント コンピューターは、このActive Directory 2. 0 フェデレーション サービスに対して Windows 統合認証を実行して、AD FS トークンを生成します。詳細については、「アカウント パートナーのフェデレーション サーバーの役割を確認する」を参照してください。

    アカウント パートナーのActive Directory 2. 0 フェデレーション サービスは、次のユーザーを認証できます。

    • このドメインにユーザー アカウントを持つ従業員

    • このフォレストのどこかにユーザー アカウントを持つ従業員

    • このフォレストで (双方向の Windows 信頼によって) 信頼されるユーザー アカウントを他のフォレストのどこかに持つ従業員

  • 従業員: 従業員は、企業ネットワークにログオンして、Web ベースのサービス (アプリケーション経由) または Web ベースのアプリケーション (サポートされる Web ブラウザー経由) にアクセスします。企業ネットワーク上の従業員のクライアント コンピューターは、認証のためにActive Directory 2. 0 フェデレーション サービスと直接通信します。

リンクされたトピックの情報を確認したら、「チェックリスト: フェデレーション Web SSO 設計を実装する」(英語) の手順に従って、この目標の展開を開始できます。

次の図は、この AD FS 2.0 の展開目的の各必須コンポーネントを示します。