WID とプロキシを使用するフェデレーション サーバー ファーム
Active Directory フェデレーション サービス (AD FS) 用のこの展開トポロジは、Windows Internal Database (WID) を使用したフェデレーション サーバー ファーム トポロジと同じですが、外部ユーザーをサポートするために境界ネットワークにフェデレーション サーバー プロキシが追加されます。 これらのフェデレーション サーバー プロキシによって、企業ネットワークの外部から送信されるクライアント認証要求はフェデレーション サーバー ファームにリダイレクトされます。
デプロイに関する考慮事項
このセクションでは、対象となるユーザーと、利点と、この展開トポロジに関連付けられている制限事項に関するさまざまな考慮事項について説明します。
このトポロジを使用する必要がありますか。
内部ユーザーと (物理的に企業ネットワークの外部に配置されているコンピューターにログオンしている) 外部ユーザーの両方に、フェデレーション アプリケーションまたはサービスへのシングル サインオン (SSO) アクセスを提供する必要があり、構成された信頼関係が 100 以下である組織
内部ユーザーと外部ユーザーの両方に、Microsoft Office 365 への SSO アクセスを提供する必要がある組織
外部ユーザーを有し、冗長性を持ったスケーラブルなサービスを必要とするより規模の小さな組織
このトポロジを使用する利点とは
- WID を使用したフェデレーション サーバー ファーム トポロジについて一覧に記載されているのと同じ利点に加えて、外部ユーザーに追加のアクセスを提供するという利点
このトポロジを使用する場合の制限事項を挙げてください。
- WID を使用したフェデレーション サーバー ファーム トポロジについて一覧に記載されている制限事項と同じ
サーバの配置とネットワーク レイアウトについての推奨事項
このトポロジを展開するには、2 つの フェデレーション サーバー プロキシを追加することに加えて、ドメイン ネーム システム (DNS) サーバーと 2 番目のネットワーク負荷分散 (NLB) ホストへのアクセスを境界ネットワークで提供できるようにする必要があります。 2 番目の NLB ホストは、インターネットからアクセス可能なクラスター IP アドレスを使用する NLB クラスターを使用して構成する必要があり、会社のネットワークで構成した前の NLB クラスターと同じクラスター DNS 名の設定 (fs.fabrikam.com) を使用する必要があります。 また、フェデレーション サーバー プロキシはインターネットからアクセス可能な IP アドレスを使用して構成する必要があります。
次の図は、前に説明した、WID を使用した既存のフェデレーション サーバー ファーム トポロジを示すと共に、架空の会社 Fabrikam, Inc. が境界 DNS サーバーへのアクセス権を提供し、同じクラスター DNS 名 (fs.fabrikam.com) を持つ 2 つ目の NLB ホストを追加し、2 つの フェデレーション サーバー プロキシ (fsp1 と fsp2) を境界ネットワークに追加する方法を示しています。
フェデレーション サーバーまたはフェデレーション サーバー プロキシで使用するネットワーク環境を構成する方法の詳細については、「フェデレーション サーバーの名前解決の要件」または「フェデレーション サーバー プロキシの名前解決の要件」を参照してください。