リソース パートナーでフェデレーション サーバー プロキシの役割をレビューする

Active Directory フェデレーション サービス (AD FS) 2.0 のadfs2_fspは、リソース パートナー組織のニーズに応じてサーバーをどのように構成したかによって、次に示す役割の 1 つまたは複数を果たすことができます。

• アカウント パートナーの検出: インターネット クライアント コンピューターは、自身を認証するアカウント パートナーを特定する必要があります。クライアントは、リソース パートナーのadfs2_fspに保存されているアカウント パートナー検出 Web フォーム (discoverclientrealm.aspx) を使用して、アカウント パートナーを見つけます。AD FS 2.0 管理スナップインに複数のアカウント パートナーが設定されている場合は、クライアントに表示されるドロップダウン メニューに、アカウント パートナー検出 Web フォームにアクセスするインターネット クライアント コンピューターで利用可能なすべてのアカウント パートナーが表示されます。アカウント パートナー検出 Web フォームがクライアント コンピューターに表示される方法は、discoverclientrealm.aspx ファイルをカスタマイズすることによって変更できます。

• セキュリティ トークンのリダイレクト: アカウント パートナーのadfs2_fspは、セキュリティ トークンをリソース パートナーに送信します。リソース adfs2_fspは、送信されたトークンを受け入れ、リソース パートナーのadfs2_fsに渡します。次に、リソース adfs2_fsは、特定のリソース Web サーバーにバインドされたセキュリティ トークンを発行します。リソース adfs2_fspは、このトークンをクライアントにリダイレクトします。

要約すると、リソース adfs2_fspは、クライアントを認証できるadfs2_fsにクライアント コンピューターをリダイレクトすることにより、フェデレーション ログオン処理を容易にします。リソース adfs2_fspは、リソース adfs2_fsに対するクライアント セキュリティ トークンのプロキシとしても機能します。

ハードウェアおよび必要な証明の数を削減する必要がある場合は、adfs2_fspを Web サーバーと同じコンピューターに配置することもできます。