フェデレーション Web SSO デザイン

Active Directory フェデレーション サービス (AD FS) 2.0 のフェデレーション Web シングル サインオン (SSO) 設計では、インターネット ルーティング インフラストラクチャ全体だけでなく、複数のファイアウォール、境界ネットワーク、名前解決サーバーを対象に、セキュリティで保護された通信を行います。

この設計が使用される一般的な状況では、フェデレーション信頼関係を結ぶことに 2 つの組織が同意し、片方の組織 (アカウント パートナー組織) のユーザーが、もう片方の組織 (リソース パートナー組織) の AD FS 2.0 で保護された Web ベースのアプリケーションやサービスにアクセスできるようにします。

言い換えると、フェデレーション信頼関係は、2 つの組織間のビジネスレベルの契約またはパートナーシップを具体化したものです。次の図に示すように、2 つの組織間でフェデレーション信頼関係を結ぶことで、エンドツーエンドのフェデレーション シナリオを作成できます。

図の一方向の矢印はフェデレーション信頼の方向を示し、Windows 信頼の方向と同様に、常にフォレストのアカウント側に向けられています。すなわち、認証はアカウント パートナー組織からリソース パートナー組織の方向に流れるということです。

このフェデレーション Web SSO 設計では、2 つのadfs2_fs (Fabrikam のサーバーと Contoso のサーバー) により、Fabrikam のユーザー アカウントから Contoso の Web ベースのアプリケーションまたはサービスへ認証要求がルーティングされます。

セキュリティを強化したい場合にはadfs2_fs プロキシを使用すると、インターネットから直接アクセスできないadfs2_fsに要求を中継できます。

この例で、Fabrikam は ID、つまりアカウントのプロバイダーです。フェデレーション Web SSO 設計の Fabrikam の部分には、以下に示す AD FS 2.0 の展開目的が設定されます。

• 他の組織のアプリケーションおよびサービスへのアクセスを Active Directory ユーザーに提供する

Contoso はリソース プロバイダーです。フェデレーション Web SSO 設計の Contoso の部分には、以下に示す AD FS 2.0 の展開目的が設定されます。

• クレーム対応のアプリケーションとサービスへのアクセスを別の組織のユーザーに提供する

• クレーム対応のアプリケーションおよびサービスへのアクセスを Active Directory ユーザーに提供する

フェデレーション Web SSO 設計を計画および展開するために使用できる詳細なタスクの一覧については、「チェックリスト: Web SSO 設計を実装する」(英語) を参照してください。