When to Create a Federation Server
Active Directory フェデレーション サービス (AD FS) 2.0 でActive Directory 2. 0 フェデレーション サービスを作成することにより、以下を実行する手段を組織に提供できます。
別の組織 (少なくとも 1 つのActive Directory 2. 0 フェデレーション サービスを持つ)、および必要に応じて自組織内の従業員 (インターネット経由のアクセスを必要とする) との間で、Web シングル サインオン (SSO) ベースの通信を行う。
ID 委任を使用して、フロントエンド サービスがインフラストラクチャ サービスに対してユーザーを偽装できるようにする。詳細については、「ID 委任を使用する場合」を参照してください。
次のセクションでは、1 つまたは複数のActive Directory 2. 0 フェデレーション サービスを作成する時期と場所を決定するための主な要素について説明します。
フェデレーション サーバーの組織的役割を決定する
新しいActive Directory 2. 0 フェデレーション サービスを作成するタイミングを十分な情報に基づいて決定するためには、最初に、サーバーの配置先となる組織を決定する必要があります。組織内でActive Directory 2. 0 フェデレーション サービスが果たす役割は、Active Directory 2. 0 フェデレーション サービスをアカウント パートナー組織に配置するか、リソース パートナー組織に配置するかによって異なります。
Active Directory 2. 0 フェデレーション サービスがアカウント パートナーの企業ネットワークに配置されている場合、このサーバーの役割は、ブラウザー、Web サービス、または ID セレクター クライアントのユーザー資格情報を認証し、クライアントにセキュリティ トークンを送信することです。詳細については、「アカウント パートナーのフェデレーション サーバーの役割を確認する」を参照してください。
Active Directory 2. 0 フェデレーション サービスがリソース パートナーの企業ネットワークに配置される場合、このサーバーの役割は、リソース パートナー組織のActive Directory 2. 0 フェデレーション サービスによって発行されたセキュリティ トークンに基づいてユーザーを認証したり、構成された Web アプリケーションまたは Web サービスからのトークン要求をクライアントが属するアカウント パートナー組織にリダイレクトすることです。詳細については、「リソース パートナーのフェデレーション サーバーの役割を確認する」を参照してください。
展開する AD FS 2.0 設計を決定する
次のいずれかの AD FS 2.0 設計を展開する場合は、組織内にActive Directory 2. 0 フェデレーション サービスを作成します。
フェデレーション Web SSO 設計を展開する組織は、必要に応じて、1 台のActive Directory 2. 0 フェデレーション サービスがアカウント パートナーの役割とリソース パートナーの役割の両方を兼ねるように構成できます。この場合、Active Directory 2. 0 フェデレーション サービスは、自組織内のユーザー アカウントに基づいて SAML (Security Assertion Markup Language) トークンを生成したり、ユーザー アカウントの場所に基づいてトークン要求を組織に再ルーティングすることができます。
フェデレーション Web SSO 設計の場合、アカウント パートナーとリソース パートナーのそれぞれに、少なくとも 1 台のActive Directory 2. 0 フェデレーション サービスが必要です。
フェデレーション サーバーとフェデレーション サーバー プロキシの相違点
Active Directory 2. 0 フェデレーション サービスは、Active Directory 2. 0 フェデレーション サービスpと同じ方法で、サインイン、ポリシー、認証、および検出用の Web ページを提供できます。Active Directory 2. 0 フェデレーション サービスとActive Directory 2. 0 フェデレーション サービスpの主な違いとして、Active Directory 2. 0 フェデレーション サービスには実行できてもActive Directory 2. 0 フェデレーション サービスpには実行できない操作があります。
以下の操作は、Active Directory 2. 0 フェデレーション サービスのみが実行できます。
Active Directory 2. 0 フェデレーション サービスは、暗号化操作を実行してトークンを生成します。Active Directory 2. 0 フェデレーション サービス プロキシはトークンを生成できませんが、トークンをクライアントにルーティングまたはリダイレクトし、必要に応じてActive Directory 2. 0 フェデレーション サービスに戻すことができます。Active Directory 2. 0 フェデレーション サービスの使用に関する詳細については、「フェデレーション サーバー プロキシを作成する場合」を参照してください。
フェデレーション サーバーは、企業ネットワークのクライアントに対して Windows 統合認証の使用をサポートしますが、Active Directory 2. 0 フェデレーション サービス プロキシはサポートしません。Active Directory 2. 0 フェデレーション サービスで Windows 統合認証を使用する方法の詳細については、「フェデレーション サーバー ファームを作成する場合」を参照してください。
既定では、フェデレーション サーバーと SQL Server 構成データベース、SQL Server 属性ストア、ドメイン コントローラー、および AD LDS インスタンス間の通信の整合性または機密性は保護されません。これらの問題に対処するためには、IPSec を使用してこれらのサーバー間の通信チャネルを保護するか、これらのすべてのサーバー間で物理的に安全な接続を使用することを検討してください。フェデレーション サーバーと SQL Server の間の通信に対しては、接続文字列で SSL 保護を使用することを検討してください。フェデレーション サーバーとドメイン コントローラーの間の接続では、Kerberos 署名および暗号化を有効にすることを検討してください。LDAP の場合、AD LDS/AD DS で LDAP/S はサポートされません。
フェデレーション サーバーの作成方法
フェデレーション サーバーを作成するには、AD FS 2.0 フェデレーション サーバー プロキシ構成ウィザードか、Fsconfig.exe コマンドライン ツールを使用します。これらのツールのいずれかを使用する場合、以下のオプションのいずれかを選択してフェデレーション サーバーを作成できます。
スタンドアロンのフェデレーション サーバーを作成する
スタンドアロンのフェデレーション サーバーのセットアップ方法については、「スタンドアロンのフェデレーション サーバーを作成する」(英語) を参照してください。
フェデレーション サーバー ファームに最初のフェデレーション サーバーを作成する
ファームに最初のフェデレーション サーバーを設定する方法、またはフェデレーション サーバーを追加する方法の詳細については、「フェデレーション サーバー ファームに最初のフェデレーション サーバーを作成する」(英語) を参照してください。
フェデレーション サーバー ファームにフェデレーション サーバーを追加する
ファームにフェデレーション サーバーを追加する方法の詳細については、「フェデレーション サーバー ファームにフェデレーション サーバーを追加する」(英語) を参照してください。
これらの各オプションの機能方法に関する詳細については、「AD FS 構成データベースの役割」(英語) を参照してください。
フェデレーション サーバーを展開するために必要なすべての必要条件を設定する方法の詳細については、「チェックリスト: フェデレーション サーバーのセットアップ」(英語) を参照してください。