属性ストアの役割

Active Directory フェデレーション サービス (AD FS) 2.0 では、ユーザー アカウントおよびそれに関連付けられている属性値を保存するために組織が使用するディレクトリまたはデータベースを指す語として、"属性ストア" を使用します。ID プロバイダー組織の中で属性ストアが構成されると、AD FS 2.0 は、ストアから属性値を取得し、その情報に基づいてクレームを生成します。これにより、証明書利用者組織でホストされている Web アプリケーションまたはサービスは、フェデレーション ユーザー (アカウントが ID プロバイダー組織に保存されているユーザー) がアプリケーションまたはサービスにアクセスしようとするたびに、適切な承認判断を下すことができます。

クレームがどのように生成されるかの詳細については、「クレームの役割」を参照してください。

属性ストアと AD FS 2.0 展開目的の適合

ユーザー属性ストアの場所およびユーザーが認証を行う場所により、ユーザー ID をサポートするために AD FS 2.0 をどのように設計するかが決まります。属性ストアが配置される場所とユーザーがアプリケーションにアクセスする場所 (イントラネットかインターネットか) に応じて、次のいずれかの展開目的を選択できます。

• クレーム対応のアプリケーションおよびサービスへのアクセスを Active Directory ユーザーに提供する: この展開目的では、組織のユーザーは、企業イントラネット内の Active Directory にログオンすると、AD FS 2.0 で保護されたアプリケーションまたはサービス (自組織またはパートナーのアプリケーション/サービス) にアクセスできます。

• 他の組織のアプリケーションおよびサービスへのアクセスを Active Directory ユーザーに提供する: この展開目的では、組織のユーザーは、企業イントラネット内の属性ストアにログオンするか、インターネット経由でリモートからログオンすると、AD FS 2.0 で保護されたアプリケーションまたはサービス (自組織またはパートナーのアプリケーション/サービス) にアクセスできます。

• クレーム対応のアプリケーションとサービスへのアクセスを別の組織のユーザーに提供する: この展開目的では、組織の企業イントラネットの属性ストアにある別の組織のユーザー アカウントが、組織の AD FS 2.0 で保護されたアプリケーションにアクセスする必要があります。この目的は、組織の境界ネットワーク内の属性ストアにあるコンシューマー ベースのユーザー アカウントに、組織内の AD FS 2.0 で保護されたアプリケーションへのアクセスを提供する必要がある場合にも機能します。

属性ストアの配置や組織のその他の要件によっては、これらの展開目的をいくつか組み合わせて、独自の AD FS 2.0 展開を設計することもできます。

AD FS 2.0 がサポートする属性ストア

AD FS 2.0 では、管理者定義の属性値を抽出し、クレームにそれらの値を挿入するために使用できる広範なディレクトリ ストアおよびデータベース ストアがサポートされています。AD FS 2.0 で属性ストアとしてサポートされているディレクトリまたはデータベースは、次のとおりです。

• Windows Server 2003 の Active Directory、および Windows Server 2008 の Active Directory ドメイン サービス (AD DS)

• Microsoft SQL Server 2005 および SQL Server 2008 のすべてのエディション

• カスタム属性ストア