アカウント パートナー内のフェデレーション サーバー プロキシの役割を確認する
Active Directoryフェデレーションサービス(AD FS) のアカウント パートナー組織の境界ネットワークにある フェデレーションサーバープロキシ の主な役割は、インターネット経由でログオンするクライアント コンピューターから認証資格情報を収集し、それらの資格情報を、アカウント パートナー組織の企業ネットワーク内に配置された フェデレーションサーバーに渡すことです。 クライアント コンピューターのアカウントは、アカウント パートナーの属性ストアに格納されます。
また、アカウント パートナー組織のニーズに応じた構成方法によっては、 フェデレーションサーバープロキシが次のような役割を果たす場合もあります:
リレー セキュリティ トークン- フェデレーション サーバーは、フェデレーション サーバー プロキシにセキュリティ トークンを発行し、そのトークンをクライアント コンピューターに中継します。 セキュリティ トークンは、そのクライアント コンピューターから特定の証明書利用者にアクセスするために使用されます。
資格情報を収集する — フェデレーションサーバープロキシが、既定のクライアント ログオン Web フォーム (clientlogon.aspx) を使用し、フォーム ベースの認証を通じてパスワード ベースの資格情報を収集します。 ただし、このフォームは、サポートされているその他のフォーム (Secure Sockets Layer (SSL) のクライアント認証など) を受け付けるようにカスタマイズすることもできます。 このページのカスタマイズ方法の詳細については、「Customizing Client Logon and Home Realm Discovery Pages (クライアント ログオンおよびホーム領域検出ページのカスタマイズhttp://go.microsoft.com/fwlink/?LinkId=104275)」を参照してください。 フェデレーションサーバープロキシは、Windows 統合認証を通じて資格情報を受け付けることはありません。
要約すると、アカウント パートナーのフェデレーション サーバー プロキシは、企業ネットワーク内にあるフェデレーション サーバーへのクライアント ログオンのプロキシとして機能します。 また フェデレーションサーバープロキシ は、証明書利用者にアクセスしようとするインターネット クライアントにセキュリティ トークンを配布する目的にも利用されます。
注意事項
アカウント パートナーのエクストラネット上でフェデレーションサーバープロキシを公開すると、インターネットを利用するすべてのユーザーがクライアント ログオン Web フォームにアクセスできるようになります。 その場合、一部のパスワードベース攻撃 (ディクショナリ攻撃やブルート フォース攻撃) に対する脆弱性が発生し、組織の Active Directory ドメイン サービス (AD DS) に格納されているユーザー アカウントのアカウント ロックアウトが発生する可能性があります。