フェデレーション Web SSO デザイン
Active Directory フェデレーションサービス (AD FS) でのフェデレーション Web シングル サイン オン (SSO) 設計には、インターネットのルーティング インフラストラクチャ全体に加え、複数のファイアウォール、境界ネットワーク、および名前解決サーバー間のセキュリティで保護された通信が関与します。
通常、この設計は、2 つの組織がフェデレーションの信頼関係を築いたときに使用され、片方の組織 (アカウント パートナー組織) のユーザーが、他方の組織 (リソース パートナー組織)のAD FS によってセキュリティで保護された Web 対応アプリやサービスにアクセスできるようにします。
つまり、フェデレーションの信頼関係は、2 つの組織間のビジネス レベルでの合意またはパートナーシップを具現化したものです。 次の図に示すように、2 つの企業間のフェデレーションの信頼関係を確立でき、これにより、エンドツーエンドのフェデレーションが実現します。
図の一方向の矢印はフェデレーションの信頼の方向を表し、Windows の信頼の方向と同じように、常にフォレストのアカウント側を指します。 これは、認証がアカウント パートナー組織からリソース パートナー組織に対して行われることを意味します。
このフェデレーション Web SSO 設計では、2 つのフェデレーションサービスがあり (1 つは Fabrikam に、1 つは Contoso にあります) Contoso のWeb 対応アプリやサービスに対する Fabrikam のユーザー アカウントからの認証要求をルーティングします。
注意
セキュリティを強化するために、フェデレーション サーバー プロキシを使用して、インターネットから直接アクセスできないフェデレーション サーバーに要求をリレーできます。
この例では、Fabrikam は、ID (アカウント) プロバイダーになります。 フェデレーション Web SSO 設計の Fabrikam の部分では、次の AD FS の展開目標を使用します:
Contoso はリソース プロバイダーになります。 フェデレーション Web SSO 設計の Contoso の部分では、次の AD FSの展開目標を達成します:
フェデレーション Web SSO 設計を計画してデプロイするために使用できる詳細なタスクの一覧については、「 Checklist: Implementing a Federated Web SSO Design」を参照してください。