フェデレーション サーバーをどこに配置するべきか

セキュリティのベスト プラクティスとして、Active Directory フェデレーション サービス (AD FS) 2.0 のadfs2_fsをファイアウォールの前に配置し、それらのサーバーを企業ネットワークに接続して、インターネットに接しないよう保護します。この対策が重要なのは、adfs2_fsがセキュリティ トークンを発行するすべての権限を持っているためです。このため、フェデレーション サーバーにはドメイン コントローラーと同じ保護機能が必要です。adfs2_fsのセキュリティが侵害されると、悪意のあるユーザーが、すべてのリソース パートナー組織内の Active Directory フェデレーション サービス (AD FS) 2.0 で保護されているすべての Web アプリケーションとadfs2_fsに対する完全なアクセス トークンを発行できるようになります。

セキュリティのベスト プラクティスとして、adfs2_fsをインターネットから直接アクセスできるようにすることは避けてください。adfs2_fsにインターネットへの直接アクセスを許可することを検討するのは、テスト ラボ環境を設定する場合か、組織に境界ネットワークがない場合に限定してください。

一般的な企業ネットワークの場合、イントラネットに接するファイアウォールが企業ネットワークと境界ネットワークの間に設定され、インターネットに接するファイアウォールが、通常、境界ネットワークとインターネットの間に設定されます。その場合は、adfs2_fsを企業ネットワーク内に設置して、インターネットのクライアントから直接アクセスできないようにします。

企業ネットワークに接続されたクライアント コンピューターは、Windows 統合認証を経由してadfs2_fsと直接通信できます。

ファイアウォール サーバーを AD FS 2.0 で使用するように構成する前に、adfs2_fspを境界ネットワークに配置する必要があります。詳細については、「フェデレーション サーバー プロキシを配置する場所」を参照してください。

フェデレーション サーバーのファイアウォール サーバーを構成する

adfs2_fsがadfs2_fs プロキシと直接通信するためには、adfs2_fspからadfs2_fsへの Secure HTTP (HTTPS) トラフィックを許可するようにイントラネット ファイアウォール サーバーを構成する必要があります。イントラネット ファイアウォール サーバーが、ポート 443 を使用してadfs2_fsを公開する必要があるためです。これにより、境界ネットワークのadfs2_fspはadfs2_fsにアクセスすることができます。

さらに、Internet Security and Acceleration (ISA) Server を実行するサーバーなど、イントラネットに接するファイアウォール サーバーは、サーバー公開と呼ばれるプロセスを使用して、適切な企業のadfs2_fsにインターネット クライアントの要求を分散させます。したがって、クラスター化されたadfs2_fs URL (http://fs.fabrikam.com など) を公開する ISA Server を実行するイントラネット サーバー上に、サーバー公開ルールを手動で作成する必要があります。

境界ネットワークでサーバー公開を構成する方法の詳細については、「フェデレーション サーバー プロキシを配置する場所」を参照してください。サーバーを公開するように ISA Server を構成する方法については、「セキュリティ保護された Web 公開ルールを作成する」(英語) (https://go.microsoft.com/fwlink/?LinkId=75182https://go.microsoft.com/fwlink/?LinkId=75182) を参照してください。