AD FS 展開トポロジに関する考慮事項
このトピックでは、運用環境で使用する Active Directory フェデレーション サービス (AD FS) 展開トポロジの計画立案と設計に役立つ、重要な考慮事項について説明します。 AD FS の展開後にどのような機能が使用できるかについては、さまざまな事項が影響するので、このトピックを開始点としてそのような事項を検討し事前評価を行ってください。 たとえば、AD FS 構成データベースを格納するためにどのデータベース タイプを選ぶかによって、最終的には、SAML (Security Assertion Markup Language) の機能を利用できるかどうかが決まります。この機能の中には、SQL Server を必要とするものがあるからです。
どのタイプの AD FS 構成データベースを使用するかを決定する
AD FS でデータベースを使用する目的は、フェデレーション サービスに関連する構成データを保存することであり、場合によってはトランザクション データもこのデータベースに保存されます。 AD FS ソフトウェアでは、フェデレーション サービスのデータを保存するためのデータベースとして、内蔵の Windows Internal Database (WID) または Microsoft SQL Server 2005 以降を選択できるようになっています。
ほとんどの場合は、この 2 つのデータベース タイプはほぼ等価です。 ただし、いくつかの違いがあるので、AD FS に使用できるさまざまな展開トポロジの検討を始める前に、そのような違いを認識しておく必要があります。 次の表は、WID データベースと SQL Server データベースでサポートされる機能の違いの説明をまとめたものです。
AD FS 機能
| 機能 | WID でのサポート | SQL Server でのサポート | この機能についての詳しい情報 |
|---|---|---|---|
| フェデレーション サーバー ファーム展開 | サポートされますが、1 ファーム当たりのフェデレーション サーバーは 30 までという制限があります。 | はい。 1 つのファーム内に展開できるフェデレーション サーバーの数について制限はありません。 | AD FS 展開トポロジの決定 |
| SAML 成果物の解決 注: この機能は、Microsoft Online Services、Microsoft Office 365、Microsoft Exchange、Microsoft Office SharePoint のシナリオには不要です。 | いいえ | はい | AD FS 構成データベースの役割 |
| SAML/WS-Federation トークン リプレイ検出 | いいえ | はい | AD FS 構成データベースの役割 |
Database の機能
| 機能 | WID でのサポート | SQL Server でのサポート | この機能についての詳しい情報 |
|---|---|---|---|
| プル レプリケーションを使用する基本的なデータベース冗長化 (データベースの読み取り専用コピーをホストする 1 つ以上のサーバーが、データベースの読み取り/書き込みコピーをホストするソース サーバーに変更内容を要求する) | はい | いいえ | AD FS 構成データベースの役割 |
| フェールオーバー クラスタリングやミラーリング (データベース層のみ) などの高可用性ソリューションを使用するデータベース冗長化: 注: すべての AD FS 展開トポロジで AD FS サービス層のクラスタリングがサポートされます。 | いいえ | はい | AD FS 構成データベースの役割 |
SQL Server に関する考慮事項
SQL Server を AD FS 展開の構成データベースとして選ぶ場合は、次の事項を考慮してください。
SAML の機能と、その機能がデータベース サイズやデータ量増大に及ぼす影響。 SAML アーティファクト解決や SAML トークン リプレイ検出の機能が有効化されているときは、発行された AD FS トークンそれぞれの情報が SQL Server 構成データベースに格納されます。 この結果として、SQL Server データベースのデータ量はそれほど増大しないと考えられていますが、増大する量はトークン リプレイ保持期間の設定によって異なります。 アーティファクト レコード 1 つ当たりのサイズは約 30 KB です。
実際の展開に必要なサーバーの数。 AD FS インフラストラクチャを展開するのに必要なサーバーの総数とは別に、少なくとも 1 つのサーバーを追加する必要があります。このサーバーは、SQL Server インスタンス専用のホストとなります。 SQL Server 構成データベースに耐障害性と拡張性を持たせるためにフェールオーバー クラスタリングやミラーリングを使用する場合は、最低でも 2 つの SQL サーバーが必要です。
選択した構成データベースのタイプがハードウェア リソースに及ぼす影響
ファーム内に展開されるフェデレーション サーバーのハードウェア リソースに及ぶ影響は、WID を使用する場合でも SQL Server データベースを使用する場合でも、大きな違いはありません。 ただし、WID をファームに使用するときの重要な考慮事項が 1 つあります。それは、ファーム内の各フェデレーション サーバーが AD FS 構成データベースのローカル コピーを保持してレプリケーション変更の保存、管理、保守を行う必要があり、これと並行してフェデレーション サービスに必要な通常の動作も継続する必要があるということです。
対照的に、フェデレーション サーバーが展開されているファームで SQL Server データベースを使用する場合は、AD FS 構成データベースのローカル インスタンスが各フェデレーション サーバーに存在していなくてもかまいません。 したがって、必要なハードウェア リソースの量はかなり少なくなる可能性があります。
実際の運用環境で AD FS 展開をサポートできることを確認する
展開するフェデレーション サーバーに加えて、既存の運用環境のセットアップ方法によっては、次に示すサーバーも必要になることがあります。これらは、新しい AD FS 展開のサポートに必要なインフラストラクチャを作るためのものです。
Active Directory ドメイン コントローラー
証明機関 (CA)
フェデレーション メタデータをホストする Web サーバー
ネットワーク負荷分散 (NLB)