Table of contents
TOC
目次を折りたたむ
目次を展開する

フェデレーション サーバーを作成する場合

Bill Mathers|最終更新日: 2017/03/10
|
1 投稿者

適用対象: Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

フェデレーションしたserverin Active Directoryフェデレーション サービスを作成するとき(AD FS)、組織は手段を提供します。

  • Webシングルにエンゲージメント-記号-に(SSO)– 別の組織との通信に基づく(も少なくとも1つのフェデレーション サーバーを持つ)し、必要に応じて、組織の従業員で(インターネット経由でアクセスする必要は)します。

  • インフラストラクチャ サービスidの委任を使用するユーザーを偽装するフロント エンド サービスを有効にします。 詳しくは、次を参照してください。Idの委任を使用するタイミングします。

次のセクションでは、1つまたは複数のフェデレーション サーバーを作成する場所とタイミングを決定するための重要な決定事項について説明します。

組織フェデレーション サーバーの役割を決定します。

新しいフェデレーション サーバーを作成する場合について、情報に基づいて決定を作成するには、まず、サーバーが存在する組織でを決定する必要があります。 フェデレーション サーバーが、組織で果たす役割は、パートナーの組織のアカウントまたはパートナーの組織のリソースにフェデレーション サーバーを配置するかどうかによって異なります。

フェデレーション サーバーが、アカウントのパートナーの企業ネットワークに配置されると、その役割は、ブラウザー、Webサービス、またはのidセレクターのクライアントのユーザーの資格情報を認証し、セキュリティ トークンをクライアントに送信することです。 詳しくは、次を参照してください。アカウント パートナーでフェデレーション サーバーの役割を確認します。

フェデレーション サーバーがリソース パートナーの企業ネットワークに配置されると、その役割は、リソースのパートナーの組織でフェデレーション サーバーによって発行されたセキュリティ トークンに基づき、ユーザーを認証するか、その役割は、構成済みのWebアプリケーションやWebサービスからクライアントが含まれているアカウント パートナー組織のトークンの要求をリダイレクトします。 詳しくは、次を参照してください。リソース パートナーでフェデレーション サーバーの役割を確認します。

AD FSは、展開する設計を決定します。

AD FSのデザインを次のいずれかを展開するときに、組織でフェデレーション サーバーを作成します。

必要に応じて、フェデレーションWeb SSOデザインを展開する組織は、リソース パートナーの役割とアカウントの両方のパートナー役割で機能するために単一のフェデレーション サーバーを構成できます。 セキュリティ アサーション マークアップ言語するフェデレーション サーバーがこの場合、生じる(SAML)独自の組織、または組織にとっての経路を変更トークン要求内のユーザー アカウントに基づいて、トークンがユーザーのアカウントが存在するに基づいています。

メモ

フェデレーションWeb SSOデザイン用に、アカウント パートナー内の1つ以上のフェデレーション サーバーとリソース パートナー内の少なくとも1つのフェデレーション サーバーが必要があります。

フェデレーション サーバーとフェデレーション サーバー プロキシの違い

フェデレーション サーバーが、署名のWebページを使うことができます-で、ポリシー、認証、およびフェデレーション サーバー プロキシは同じ方法で検出できます。 フェデレーション サーバーとフェデレーション サーバー プロキシの主な違いがあるフェデレーションをどのような操作を行うサーバーがフェデレーション プロキシ サーバーが実行できないことを実行することができます。

フェデレーション サーバーのみを実行できる操作を次に示します。

  • フェデレーション サーバーでは、トークンを生成するため、暗号化操作を実行します。 フェデレーション サーバー プロキシは、トークンを生成できませんは、ルーティングまたはトークンをクライアントとリダイレクト、必要に応じて、フェデレーション サーバーに戻すときに使用できます。 フェデレーション サーバーの使用について詳しくは、次を参照してください。フェデレーション サーバー プロキシを作成する場合します。

  • フェデレーション サーバーが、企業ネットワーク上のクライアントのWindows統合認証の使用をサポートします。フェデレーション サーバー プロキシは必要ありません。 フェデレーション サーバーとの統合Windows認証の使用について詳しくは、次を参照してください。フェデレーション サーバー ファームを作成するときします。

注意

フェデレーション サーバーと構成データベースをSQL Server、SQL Server属性ストア、ドメイン コント ローラー、およびAD LDSインスタンス間の通信は、整合性や機密性の既定の保護ではありません。 この問題を軽減するには、IPSECを使って、またはこれらのサーバーのすべての間に物理的に安全な接続を使用して、これらのサーバー間の通信チャネルを保護することを検討してください。 フェデレーション サーバーおよびSQL server間の通信、SSLの保護を使用して、接続文字列で検討してください。 フェデレーション サーバーとドメイン コント ローラー間の接続、Kerberosの署名と暗号化を有効にすることを検討してください。 LDAP、LDAP用\/AD LDS Sはサポートされません\/AD DSします。

フェデレーション サーバーを作成する方法

AD FSフェデレーション サーバーの構成ウィザードまたはFsconfig.exeコマンドを使ってフェデレーション サーバーを作成することができます-ライン ツールです。 これらのツールのいずれかを使用する場合、フェデレーション サーバーを作成するのには、次のオプションのいずれかを選択できます。

これらの各オプション作業の方法については詳しくは、参照AD FS構成データベースの「役割します。

フェデレーション サーバーの展開に必要なすべての前提条件を設定する方法について詳しくは、次を参照してください。チェックリスト: フェデレーション サーバーの設定します。

ご覧ください。

Windows server 2012のAD FSの設計ガイドします。

© 2017 Microsoft