チェックリスト: フェデレーション サーバーのセットアップChecklist: Setting Up a Federation Server

このチェックリストには、 ® Active Directory フェデレーションサービス (AD FS) AD FS のフェデレーションサーバーの役割用に Windows server 2012 を実行しているサーバーを準備するために必要な展開タスクが含まれてい ( ) ます。This checklist includes the deployment tasks that are necessary to prepare a server running Windows Server® 2012 for the federation server role in Active Directory Federation Services (AD FS).

注意

このチェックリストのタスクは順番に実行してください。Complete the tasks in this checklist in order. 参照リンクによって手順に移動した場合は、このチェックリストの残りのタスクを進めることができるように、その手順の作業が完了したらこのトピックに戻ります。When a reference link takes you to a procedure, return to this topic after you complete the steps in that procedure so that you can proceed with the remaining tasks in this checklist.

[フェデレーションサーバーのセットアップ] チェックボックスのアイコン。チェックリスト: フェデレーションサーバーのセットアップIcon for the Setting up a federation server check list.Checklist: Setting up a federation server

タスクTask リファレンスReference
AD FS フェデレーションサーバーのデプロイを開始する前に、「」を確認してください。1. ) ( ) AD FS 構成データベース 2 ) を格納するために、Windows Internal Database WID または SQL Server を選択する利点と欠点。AD FS 展開トポロジの種類と、それに関連付けられているサーバーの配置とネットワークレイアウトに関する推奨事項。Before you begin deploying your AD FS federation servers, review the; 1.) advantages and disadvantages of choosing either Windows Internal Database (WID) or SQL Server to store the AD FS configuration database 2.) AD FS deployment topology types and their associated server placement and network layout recommendations. フェデレーションサーバーのセットアップに関するリファレンスで使用できる [AD FS の展開トポロジを決定する] リンクのアイコン。AD FS デプロイトポロジを決定するIcon for the Determine Your AD FS Deployment Topology link you can use in reference to setting up a federation server.Determine Your AD FS Deployment Topology

フェデレーションサーバーのセットアップのリファレンスで使用できる AD FS 展開トポロジに関する考慮事項のリンクのアイコンです。AD FS 展開トポロジに関する考慮事項Icon for the AD FS Deployment Topology Considerations link you can use in reference to setting up a federation server.AD FS Deployment Topology Considerations

AD FS 容量計画のガイダンスを確認して、運用環境で使用する必要があるフェデレーションサーバーの適切な数を決定します。Review AD FS capacity planning guidance to determine the proper number of federation servers you should use in your production environment. フェデレーションサーバーのセットアップに関するリファレンスで使用できる「フェデレーションサーバーの容量の計画」リンクのアイコン。フェデレーションサーバーの容量の計画Icon for the Planning for Federation Server Capacity link you can use in reference to setting up a federation server.Planning for Federation Server Capacity
組織内のフェデレーションサーバーを配置する場所について AD FS 設計ガイドの情報を確認するReview information in the AD FS Design Guide about where to place federation servers in your organization フェデレーションサーバーのセットアップに使用できる [フェデレーションサーバーの配置を計画する] リンクのアイコン。フェデレーションサーバーの配置の計画Icon for the Planning Federation Server Placement link you can use in reference to setting up a federation server.Planning Federation Server Placement

[フェデレーションサーバーの配置場所] リンクのアイコンを使用して、フェデレーションサーバーをセットアップすることができます。フェデレーションサーバーを配置する場所Icon for the Where to Place a Federation Server link you can use in reference to setting up a federation server.Where to Place a Federation Server

スタンド - アロンフェデレーションサーバーまたはフェデレーションサーバーファームが展開に適しているかどうかを判断します。Determine whether a stand-alone federation server or a federation server farm is better for your deployment. [フェデレーションサーバーの作成時] リンクのアイコンフェデレーションサーバーのセットアップについては、「」を参照してください。フェデレーションサーバーを作成する場合Icon for the When to Create a Federation Server link you can use in reference to setting up a federation server.When to Create a Federation Server

[フェデレーションサーバーファームを作成するとき] リンクのアイコンフェデレーションサーバーのセットアップについては、「」を参照してください。フェデレーションサーバーファームを作成する場合Icon for the When to Create a Federation Server Farm link you can use in reference to setting up a federation server.When to Create a Federation Server Farm

この新しいフェデレーションサーバーが、アカウントパートナー組織とリソースパートナー組織のどちらに作成されるかを決定します。Determine whether this new federation server will be created in the account partner organization or in the resource partner organization. [アカウントパートナー] リンクで、フェデレーションサーバーの役割を確認するためのアイコンが表示されます。フェデレーションサーバーのセットアップについては、「」を参照してください。アカウントパートナー内のフェデレーションサーバーの役割を確認するIcon for the Review the Role of the Federation Server in the Account Partner link you can use in reference to setting up a federation server.Review the Role of the Federation Server in the Account Partner

[リソースパートナー] リンクで、フェデレーションサーバーの役割を確認するためのアイコンが表示されます。フェデレーションサーバーのセットアップについては、「」を参照してください。リソースパートナー内のフェデレーションサーバーの役割を確認するIcon for the Review the Role of the Federation Server in the Resource Partner link you can use in reference to setting up a federation server.Review the Role of the Federation Server in the Resource Partner

フェデレーションサーバーがサービス通信証明書とトークン署名証明書を使用して - 、クライアントとフェデレーションサーバーのプロキシ要求を安全に認証する方法に関する情報を確認します。Review information about how federation servers use service communication certificates and token-signing certificates to securely authenticate client and federation server proxy requests. 注意: Https: myserver など、修飾されていないホスト名を持つ証明書を使用することは、一般的には時間がかかりますが / / 、これらの証明書にはセキュリティ値がないため、攻撃者は AD FS フェデレーションサービスをエンタープライズクライアントに偽装できます。Caution: Though it has long been common practice to use certificates with unqualified host names such as https://myserver, these certificates have no security value and can enable an attacker to impersonate the AD FS Federation Service to enterprise clients. このため、https: myserver.contoso.com のような完全修飾ドメイン名の fqdn を使用 ( ) し、 / / フェデレーションサービスの fqdn に発行された SSL 証明書のみを使用することをお勧めします。Therefore, it is recommended that you use a fully qualified domain name (FQDN) such as https://myserver.contoso.com and only use SSL certificates issued to the FQDN of your Federation Service. [フェデレーションサーバーの証明書の要件] リンクのアイコンフェデレーションサーバーのセットアップに関するリファレンスで使用できます。フェデレーションサーバーの証明書の要件Icon for the Certificate Requirements for Federation Servers link you can use in reference to setting up a federation server.Certificate Requirements for Federation Servers
( ) フェデレーションサーバーへの名前解決が正常に行われるように、企業ネットワークのドメインネームシステムの DNS を更新する方法に関する情報を確認します。Review information about how to update the corporate network Domain Name System (DNS) so that successful name resolution to federation servers can occur. フェデレーションサーバーをセットアップするために使用できるフェデレーションサーバーリンクの名前解決の要件のアイコン。フェデレーションサーバーの名前解決の要件Icon for the Name Resolution Requirements for Federation Servers link you can use in reference to setting up a federation server.Name Resolution Requirements for Federation Servers
フェデレーションサーバーにするコンピューターを、アカウントパートナーフォレストまたはリソースパートナーフォレスト内のドメインに参加させます。このドメインは、そのフォレストのユーザーの認証に使用されるか、または信頼する側のフォレストによって認証されます。Join the computer that will become the federation server to a domain in the account partner forest or resource partner forest where it will be used to authenticate the users of that forest or from trusting forests. 注: アカウントパートナー組織でフェデレーションサーバーをセットアップする場合は、まず、そのコンピューターをフォレスト内の任意のドメインに参加させる必要があります。この場合、フェデレーションサーバーを使用して、そのフォレストのユーザーや信頼する側のフォレストからユーザーを認証します。Note: If you want to set up a federation server in the account partner organization, the computer must first be joined to any domain in the forest where your federation server will be used to authenticate users from that forest or from trusting forests. 「コンピューターをドメインに参加する」リンクのアイコンフェデレーションサーバーのセットアップについては、「」を参照してください。コンピューターをドメインに参加させるIcon for the Join a Computer to a Domain link you can use in reference to setting up a federation server.Join a Computer to a Domain
フェデレーションサーバーの DNS ホスト名をフェデレーションサーバーの IP アドレスに指す、企業ネットワークの DNS に新しいリソースレコードを作成します。Create a new resource record in the corporate network DNS that points the DNS host name of the federation server to the IP address of the federation server. [フェデレーションサーバーへのホスト (A) リソースレコードの追加] リンクのアイコンフェデレーションサーバーのセットアップについては、「」を参照してください。フェデレーションサーバーの企業 DNS に) リソースレコード (ホストを追加するIcon for the Add a Host (A) Resource Record to Corporate DNS for a Federation Server link you can use in reference to setting up a federation server.Add a Host (A) Resource Record to Corporate DNS for a Federation Server
(省略可能フェデレーションサーバーを ) フェデレーションサーバーファームに追加する場合は、最初にファーム内の最初のフェデレーションサーバーにある既存のトークン署名証明書の秘密キーをエクスポートして、 - ( ) 他のフェデレーションサーバーが同じ証明書をインポートする必要があるときに証明書のファイル形式を使用できるようにすることが必要になる場合があります。(Optional) If you will be adding a federation server to a federation server farm, you might have to first export the private key of the existing token-signing certificate (on the first federation server in the farm) so that you have a file format of the certificate ready when other federation servers must import the same certificate.

発行されたサーバー認証証明書を ( エクスポートし ) たり、ファーム内の各フェデレーションサーバーに対して一意のサーバー認証証明書を取得したりする必要がない場合、発行されたサーバー認証証明書を複数のコンピューターで再利用する場合は、秘密キーをエクスポートする必要はありません。Exporting the private key is not required when your issued server authentication certificate can be reused by multiple computers (without the need to export) or when you will be obtaining unique server authentication certificates for each federation server in the farm. 注: AD FS 管理スナップインは、 - サービス通信証明書としてのフェデレーションサーバーのサーバー認証証明書を参照します。Note: The AD FS Management snap-in refers to server authentication certificates for federation servers as service communication certificates.

[サーバー認証証明書の秘密キーの部分をエクスポートする] リンクのアイコンフェデレーションサーバーのセットアップについては、「」を参照してください。サーバー認証証明書の秘密キーの部分をエクスポートするIcon for the Export the Private Key Portion of a Server Authentication Certificate link you can use in reference to setting up a federation server.Export the Private Key Portion of a Server Authentication Certificate
証明機関の CA からサーバー認証証明書または秘密キーを取得した後 ( ) ( ) 、各フェデレーションサーバーの既定の Web サイトに証明書ファイルをインポートする必要があります。After you obtain a server authentication certificate (or private key) from a certification authority (CA), you must then import the certificate file to the default Web site for each federation server. 注: AD FS フェデレーションサーバー構成ウィザードを使用するには、この証明書を既定の Web サイトにインストールする必要があります。Note: Installing this certificate on the default Web site is a requirement before you can use the AD FS Federation Server Configuration Wizard. [サーバー認証証明書を既定の Web サイトにインポートする] リンクのアイコン。フェデレーションサーバーのセットアップについては、「」を参照してください。サーバー認証証明書を既定の Web サイトにインポートするIcon for the Import a Server Authentication Certificate to the Default Web Site link you can use in reference to setting up a federation server.Import a Server Authentication Certificate to the Default Web Site
(省略可能 ) 。 CA からサーバー認証証明書を取得する代わりに、インターネットインフォメーションサービス IIS を使用して、 ( ) フェデレーションサーバーのサンプル証明書を作成できます。(Optional) As an alternative to obtaining a server authentication certificate from a CA, you can use Internet Information Services (IIS) to create a sample certificate for your federation server. 注意: 自己 - 署名サーバー認証証明書を使用して運用環境にフェデレーションサーバーを展開することは、セキュリティのベストプラクティスではありません。Caution: It is not a security best practice to deploy a federation server in a production environment by using a self-signed server authentication certificate. [IIS のアイコン]: [自己 - 署名入りサーバー証明書を作成する] リンクを使用して、フェデレーションサーバーのセットアップに使用することができます。IIS: 自己 - 署名サーバー証明書を作成し、 「サーバー認証証明書を既定の Web サイトにインポートする」の手順を完了します。Icon for the IIS: Create a Self-Signed Server Certificate link you can use in reference to setting up a federation server.IIS: Create a Self-Signed Server Certificate and then complete the procedure Import a Server Authentication Certificate to the Default Web Site
アカウントパートナー組織でフェデレーションサーバーファーム環境を構成する場合は、ファームが存在する AD DS Active Directory Domain Services で専用のサービスアカウントを作成して構成し、 ( ) このアカウントを使用するようにファーム内の各フェデレーションサーバーを構成する必要があります。If you will be configuring a federation server farm environment in an account partner organization, you must create and configure a dedicated service account in Active Directory Domain Services (AD DS) where the farm will reside and configure each federation server in the farm to use this account. この手順を実行すると、企業ネットワーク上のクライアントは、Windows 統合認証を使用して、ファーム内の任意のフェデレーションサーバーに対して認証を行うことができます。By performing this procedure, you will allow clients on the corporate network to authenticate to any of the federation servers in the farm using Windows Integrated Authentication. [フェデレーションサーバーファームのサービスアカウントを手動で構成する] リンクのアイコンフェデレーションサーバーのセットアップについては、「」を参照してください。フェデレーションサーバーファームのサービスアカウントを手動で構成するIcon for the Manually Configure a Service Account for a Federation Server Farm link you can use in reference to setting up a federation server.Manually Configure a Service Account for a Federation Server Farm
フェデレーションサーバーとなるコンピューターにフェデレーションサービスの役割サービスをインストールします。Install the Federation Service role service on the computer that will become the federation server. [フェデレーションサービスの役割サービスをインストールする] リンクのアイコンを使用して、フェデレーションサーバーをセットアップすることができます。フェデレーションサービスの役割サービスをインストールするIcon for the Install the Federation Service Role Service link you can use in reference to setting up a federation server.Install the Federation Service Role Service
AD FS フェデレーションサーバー構成ウィザードを使用して、フェデレーションサーバーの役割で動作するようにコンピューターの AD FS ソフトウェアを構成します。Configure the AD FS software on the computer to act in the federation server role by using the AD FS Federation Server Configuration Wizard.

スタンドアロンフェデレーションサーバーをセットアップする場合 - 、新しいファームに最初のフェデレーションサーバーを作成する場合、または既存のフェデレーションサーバーファームにコンピューターを参加させる場合は、次の手順に従います。Follow this procedure when you want to set up a stand-alone federation server, create the first federation server in a new farm or join a computer to an existing federation server farm. 注: フェデレーション Web シングルサイン - オン SSO 設計では、 ( ) アカウントパートナー組織に少なくとも1つのフェデレーションサーバーがあり、リソースパートナー組織に少なくとも1つのフェデレーションサーバーが必要です。Note: For the Federated Web Single Sign-On (SSO) design, you must have at least one federation server in the account partner organization and at least one federation server in the resource partner organization.

フェデレーションサーバーのセットアップのリファレンスで使用できる Stand-Alone フェデレーションサーバーの作成リンクのアイコン。Stand-Alone フェデレーションサーバーを作成するIcon for the Create a Stand-Alone Federation Server link you can use in reference to setting up a federation server.Create a Stand-Alone Federation Server

[フェデレーションサーバーファームに最初のフェデレーションサーバーを作成する] リンクのアイコンフェデレーションサーバーのセットアップについては、「」を参照してください。フェデレーションサーバーファームに最初のフェデレーションサーバーを作成するIcon for the Create the First Federation Server in a Federation Server Farm link you can use in reference to setting up a federation server.Create the First Federation Server in a Federation Server Farm

[フェデレーションサーバーをフェデレーションサーバーファームに追加する] リンクのアイコンフェデレーションサーバーのセットアップについては、「」を参照してください。フェデレーションサーバーファームへのフェデレーションサーバーの追加Icon for the Add a Federation Server to a Federation Server Farm link you can use in reference to setting up a federation server.Add a Federation Server to a Federation Server Farm

(省略可能 ) AD FS 管理スナップインを使用して、 - 設計を展開するために必要な AD FS 証明書を追加して構成します。(Optional) Use the AD FS Management snap-in to add and configure the necessary AD FS certificates required to deploy your design. スナップインを使用して証明書を追加または変更する場合の詳細については - 、「 フェデレーションサーバーの証明書の要件」を参照してください。For more information about when to add or change certificates using the snap-in, see Certificate Requirements for Federation Servers. [Token-Signing 証明書の追加] リンクのアイコンを使用して、フェデレーションサーバーをセットアップすることができます。Token-Signing 証明書の追加Icon for the Add a Token-Signing Certificate link you can use in reference to setting up a federation server.Add a Token-Signing Certificate

[Token-Decrypting 証明書の追加] リンクのアイコンを使用して、フェデレーションサーバーをセットアップすることができます。Token-Decrypting 証明書の追加Icon for the Add a Token-Decrypting Certificate link you can use in reference to setting up a federation server.Add a Token-Decrypting Certificate

フェデレーションサーバーのセットアップのリファレンスで使用できる [サービス通信証明書の設定] リンクのアイコン。サービス通信証明書の設定Icon for the Set a Service Communications Certificate link you can use in reference to setting up a federation server.Set a Service Communications Certificate

これが組織内の最初のフェデレーションサーバーである場合は、AD FS の設計に準拠するようにフェデレーションサービスを構成します。If this is the first federation server in your organization, configure the Federation Service so that it conforms to your AD FS design. チェックリストのアイコン: アカウントパートナー組織のリンクを構成するには、「」を参照してください。チェックリスト: アカウントパートナー組織の構成Icon for the Checklist: Configuring the Account Partner Organization link you can use in reference to setting up a federation server.Checklist: Configuring the Account Partner Organization

チェックリストのアイコン: リソースパートナー組織のリンクを構成する方法については、「」を参照してください。チェックリスト: リソースパートナー組織の構成Icon for the Checklist: Configuring the Resource Partner Organization link you can use in reference to setting up a federation server.Checklist: Configuring the Resource Partner Organization

クライアントコンピューターから、フェデレーションサーバーが動作可能であることを確認します。From a client computer, verify that the federation server is operational. フェデレーションサーバーのセットアップフェデレーションサーバーが動作していることを確認するsetting up a federated serverVerify That a Federation Server Is Operational