フェデレーション サーバー プロキシをいつ作るべきか

組織内でadfs2_fspを作成すると、Active Directory フェデレーション サービス (AD FS) 2.0 の展開にセキュリティ レイヤーが追加されます。以下の場合は、組織の境界ネットワーク内にadfs2_fspを展開することを検討してください。

• 外部クライアント コンピューターがadfs2_fsに直接アクセスできないようにする場合。境界ネットワーク内にadfs2_fspを展開することで、adfs2_fsを効果的に分離できます。外部クライアント コンピューターの代わりとして機能するadfs2_fs プロキシ経由で企業ネットワークにログインしたクライアント コンピューターのみがフェデレーション サーバーにアクセスできるようになります。フェデレーション サーバー プロキシは、トークンを生成するために使用される秘密キーにはアクセスしません。詳細については、「フェデレーション サーバー プロキシを配置する場所」を参照してください。

• インターネット経由でアクセスするユーザーと、Windows 統合認証を使用して企業ネットワーク経由でアクセスするユーザーのサインイン エクスペリエンスを簡単に区別できるようにする場合。adfs2_fspは、adfs2_fspに格納されているログオン (clientlogon.aspx)、ログアウト (signout.aspx)、および ID プロバイダー検出 (discoverclientrealm.aspx) の各ページを使用して、インターネット クライアント コンピューターから資格情報またはホーム領域の詳細を収集します。

  一方、企業ネットワークからアクセスするクライアント コンピューターは、adfs2_fsの構成によって動作条件が異なります。多くの場合、企業ネットワークのadfs2_fsは、Windows 統合認証用に構成されており、企業ネットワークのユーザーにシームレスなサインイン エクスペリエンスを提供します。

組織内でadfs2_fspが果たす役割は、adfs2_fspをアカウント パートナー組織に配置するか、リソース パートナー組織に配置するかによって異なります。たとえば、adfs2_fspがアカウント パートナーの境界ネットワーク内に配置されている場合、このサーバー プロキシの役割は、ブラウザー クライアントからユーザー資格情報を収集することです。adfs2_fspがリソース パートナーの境界ネットワーク内に配置されている場合、このサーバー プロキシは、セキュリティ トークン要求をリソース adfs2_fsに中継し、アカウント パートナーによって提供されたセキュリティ トークンに応じて、組織のセキュリティ トークンを生成します。

詳細については、「アカウント パートナーのフェデレーション サーバー プロキシの役割を確認する」 および「 リソース パートナーのフェデレーション サーバー プロキシの役割を確認する」を参照してください。

フェデレーション サーバー プロキシの作成方法

フェデレーション サーバー プロキシを作成するには、AD FS 2.0 フェデレーション サーバー プロキシ構成ウィザードか、Fsconfig.exe コマンドライン ツールを使用します。作成方法の詳細については、「コンピューターをフェデレーション サーバー プロキシの役割用に構成する」(英語) を参照してください。

フェデレーション サーバー プロキシを展開するために必要なすべての必要条件を設定する一般的な情報については、「チェックリスト: フェデレーション サーバー プロキシのセットアップ」(英語) を参照してください。