他の組織に属するユーザーへクレームを認識しているアプリケーションとサービスにアクセスを提供する

Active Directory フェデレーション サービス (AD FS) 2.0 のリソース パートナー組織の管理者として、自組織 (リソース パートナー組織) に配置されたクレーム対応のアプリケーションまたは Web ベースのサービスへのフェデレーション アクセスを別の組織 (アカウント パートナー組織) のユーザーに提供するという展開目的をお持ちの場合は、以下を考慮してください。

• 自組織、および自組織へのフェデレーション信頼を構成している他の組織 (アカウント パートナー組織) のフェデレーション ユーザーは、AD FS でセキュリティ保護されたアプリケーションまたは自組織がホストするサービスにアクセスできます。詳細については、「フェデレーション Web SSO 設計」を参照してください。

  たとえば、Fabrikam が、その企業ネットワークの従業員に対して、Contoso でホストされる Web サービスへのフェデレーション アクセスを提供することが考えられます。

• 信頼する組織と直接の関係を持たないフェデレーション ユーザー (個々の顧客など)、つまり境界ネットワークでホストされる属性ストアにログオンするユーザーは、インターネットに配置されたクライアント コンピューターから一度ログオンするだけで、AD FS でセキュリティ保護された複数のアプリケーション (境界ネットワークでもホストされる) にアクセスできます。言い換えると、境界ネットワークでアプリケーションまたはサービスへのアクセスが可能になるように顧客アカウントをホストする場合、属性ストアでホストされた顧客は、一度ログオンするだけで、1 つ以上のアプリケーションまたはサービスにアクセスできます。詳細については、「Web SSO 設計」を参照してください。

  たとえば、Fabrikam が顧客に、境界ネットワークでホストされる複数のアプリケーションまたはサービスへのシングル サインオン (SSO) アクセスを提供することが考えられます。

この展開目的には、次のコンポーネントが必要です。

• Active Directory ドメイン サービス (AD DS): リソース パートナーのActive Directory 2. 0 フェデレーション サービスは、Active Directory ドメインに参加する必要があります。

• 境界 DNS: ドメイン ネーム システム (DNS) は、クライアント コンピューターがリソース パートナーのActive Directory 2. 0 フェデレーション サービスと Web サーバーを配置できるように、単純なホスト (A) のリソース レコードを含む必要があります。DNS サーバーは、境界ネットワークでも必要とされる他の DNS レコードをホストすることができます。詳細については、「フェデレーション サーバーの証明書の要件」を参照してください。

• リソース パートナーのActive Directory 2. 0 フェデレーション サービス: リソース パートナーのActive Directory 2. 0 フェデレーション サービスは、アカウント パートナーが送信する AD FS 2.0 トークンを検証します。このActive Directory 2. 0 フェデレーション サービス経由でアカウント パートナーの検出が実行されます。詳細については、「リソース パートナーのフェデレーション サーバーの役割を確認する」を参照してください。

• Web サーバー: Web サーバーは、Web アプリケーションまたは Web サービスのいずれかをホストできます。Web サーバーは、フェデレーション ユーザーから有効な AD FS トークンを受け取っているかどうかを確認してから、保護された Web アプリケーションまたは Web サービスへのアクセスを許可します。

  firstref_idfx を使用することにより、ユーザー名やパスワードなどの標準的なログオン方法で行われるフェデレーション ユーザーのログオン要求を受け付けるように Web アプリケーションまたは Web サービスを作成できます。

リンクされたトピックの情報を確認したら、「チェックリスト: フェデレーション Web SSO 設計を実装する」(英語) と「チェックリスト: Web SSO 設計を実装する [ADFS2]」(英語) の手順に従って、この目標の展開を開始できます。

次の図は、この AD FS 2.0 の展開目的の各必須コンポーネントを示します。