フェデレーション サーバーを作成するのに適した状況When to Create a Federation Server

Active Directory フェデレーションサービス (AD FS) AD FS でフェデレーションサーバーを作成する場合は ( ) 、組織が次のことを行うための手段を提供します。When you create a federation serverin Active Directory Federation Services (AD FS), you provide a means by which your organization can:

  • - - ( ) ( フェデレーションサーバーを少なくとも1つ持ち、 ) 必要に応じて、インターネット経由でアクセスする必要がある組織内の従業員と ( 、Web シングルサインオンの SSO ベースの通信に参加し ) ます。Engage in Web single-sign-on (SSO)–based communication with another organization (that also has at least one federation server) and, when necessary, with the employees in your own organization (who need access over the Internet).

  • ID 委任を使用して、インフラストラクチャ サービスにユーザーを代理処理するためのフロント エンド サービスを有効化する。Enable front end services to impersonate users to infrastructure services using identity delegation. 詳細については、「 When to Use Identity Delegation」を参照してください。For more information, see When to Use Identity Delegation.

以下のセクションでは、1つまたは複数のフェデレーションサーバーをいつどのように作成するかを決定する際に重要な決定事項について説明します。The following sections describe some of the key decisions for determining when and where to create one or more federation servers.

フェデレーション サーバーの組織役割を確認するDetermine the organizational role for the federation server

新しいフェデレーションサーバーを作成するタイミングについての情報に基づいた決定を行うには、まず、サーバーがどの組織に存在するかを判断する必要があります。To make an informed decision regarding when to create a new federation server, you must first determine in which organization the server will reside. フェデレーションサーバーが組織内で果たす役割は、フェデレーションサーバーをアカウントパートナー組織に配置するか、リソースパートナー組織に配置するかによって異なります。The role that a federation server plays in an organization depends on whether you place the federation server in the account partner organization or in the resource partner organization.

フェデレーションサーバーがアカウントパートナーの企業ネットワークに配置されている場合、その役割は、ブラウザー、Web サービス、または id セレクタークライアントのユーザー資格情報を認証し、クライアントにセキュリティトークンを送信することになります。When a federation server is placed in the corporate network of the account partner, its role is to authenticate the user credentials of browser, Web service, or identity selector clients and send security tokens to the clients. 詳細については、「 Review the Role of the Federation Server in the Account Partner」を参照してください。For more information, see Review the Role of the Federation Server in the Account Partner.

フェデレーションサーバーがリソースパートナーの企業ネットワークに配置されている場合、その役割は、リソースパートナー組織内のフェデレーションサーバーによって発行されたセキュリティトークンに基づいてユーザーを認証するか、または構成された Web アプリケーションまたは Web サービスからのトークン要求を、クライアントが属しているアカウントパートナー組織にリダイレクトすることになります。When a federation server is placed in the corporate network of the resource partner, its role is to authenticate users, based on a security token that is issued by a federation server in the resource partner organization, or its role is to redirect token requests from configured Web applications or Web services to the account partner organization that the client belongs to. 詳細については、次を参照してください。 リソース パートナーのフェデレーション サーバーの役割を検討します。For more information, see Review the Role of the Federation Server in the Resource Partner.

展開する AD FS 設計を決定するDetermine which AD FS design to deploy

次の AD FS の設計のいずれかを展開する場合は常に、組織内にフェデレーションサーバーを作成します。You create federation servers in your organization whenever you want to deploy any of the following AD FS designs:

必要に応じて、フェデレーション Web SSO 設計を展開する組織は、1つのフェデレーションサーバーを構成して、アカウントパートナーロールとリソースパートナーロールの両方で動作するようにすることができます。If necessary, an organization that deploys a Federated Web SSO design can configure a single federation server so that it acts in both the account partner role and in the resource partner role. この場合、フェデレーションサーバーは、 ( ) 自身の組織内のユーザーアカウントに基づいて Security Assertion Markup Language SAML トークンを生成するか、ユーザーのアカウントが存在する場所に基づいて、トークン要求を組織に再ルーティングすることができます。In this case, the federation server may produce Security Assertion Markup Language (SAML) tokens, based on user accounts in its own organization, or reroute token requests to the organization, based on where the users' accounts reside.

注意

フェデレーション Web SSO 設計では、アカウントパートナーに少なくとも1つのフェデレーションサーバーがあり、リソースパートナーに少なくとも1つのフェデレーションサーバーがあることが必要です。For the Federated Web SSO design, there must be at least one federation server in the account partner and at least one federation server in the resource partner.

フェデレーション サーバーとフェデレーション サーバー プロキシの違いDifferences between a federation server and a federation server proxy

フェデレーションサーバーは、 - フェデレーションサーバープロキシと同じ方法で、サインイン、ポリシー、認証、および探索のための Web ページを提供できます。A federation server can serve out Web pages for sign-in, policy, authentication, and discovery in the same way that a federation server proxy does. フェデレーションサーバーとフェデレーションサーバープロキシの主な違いは、フェデレーションサーバープロキシが実行できない操作をフェデレーションサーバーが実行できる操作です。The primary differences between a federation server and a federation server proxy have to do with what operations a federation server can perform that a federation server proxy cannot perform.

フェデレーションサーバーのみが実行できる操作は次のとおりです。The following are the operations that only a federation server can perform:

  • フェデレーションサーバーは、トークンを生成する暗号化操作を実行します。The federation server performs the cryptographic operations that produce the token. フェデレーションサーバープロキシは、トークンを生成することはできませんが、トークンをクライアントにルーティングまたはリダイレクトしたり、必要に応じてフェデレーションサーバーに戻したりするために使用できます。Although federation server proxies cannot produce tokens, they can be used to route or redirect the tokens to clients and, when necessary, back to the federation server. フェデレーションサーバーの使用方法の詳細については、「 When To Create a Federation Server Proxy」を参照してください。For more information about using federation servers, see When to Create a Federation Server Proxy.

  • フェデレーションサーバーは、企業ネットワーク上のクライアントに対して Windows 統合認証を使用することをサポートしています。フェデレーションサーバープロキシでは実行されません。Federation servers support the use of Windows Integrated Authentication for clients on the corporate network; federation server proxies do not. フェデレーションサーバーで Windows 統合認証を使用する方法の詳細については、「 When To Create a Federation Server Farm」を参照してください。For more information about using Windows Integrated Authentication with federation server, see When to Create a Federation Server Farm.

注意事項

フェデレーション サーバーと、SQL Server 構成データベース、SQL Server 属性ストア、ドメイン コント ローラー、および AD LDS インスタンスの間の通信は、整合性や機密性が既定では保護されません。Communication between federation servers and SQL Server configuration databases, SQL Server attribute stores, domain controllers, and AD LDS instances is not integrity or confidentiality protected by default. この状況を回避するには、IPSEC を使用するか、これらすべてのサーバー間の接続を物理的にセキュリティ保護して、これらのサーバー間の通信チャネルを保護することを検討してください。To mitigate this, consider protecting the communication channel between these servers using IPSEC or using a physically secure connection between all of these servers. フェデレーション サーバーと SQL server の間の通信については、接続文字列に SSL 保護を使用することを検討してください。For communication between federation servers and SQL servers, consider using SSL protection in the connection string. フェデレーション サーバーとドメイン コント ローラーの間の接続については、Kerberos による署名と暗号化を有効にすることを検討してください。For connections between federation servers and domain controllers, consider turning on Kerberos signing and encryption. LDAP では、LDAP / は AD LDS AD DS ではサポートされていません / 。For LDAP, LDAP/S is not supported for AD LDS/AD DS.

フェデレーション サーバーの作成方法How to create a federation server

フェデレーションサーバーを作成するには、AD FS フェデレーションサーバー構成ウィザードまたは Fsconfig.exe コマンド - ラインツールを使用します。You can create a federation server using the AD FS Federation Server Configuration Wizard or the Fsconfig.exe command-line tool. これらのツールを使用する場合、フェデレーション サーバーを作成するために次のいずれかのオプションを選択できます。When you use either of these tools, you can select any of the following options to create a federation server.

  • 作成、スタンド-だけでフェデレーション サーバーCreate a stand-alone federation server

    スタンドアロンフェデレーションサーバーをセットアップする方法の詳細については - 、「 Create a Stand-Alone federation server」を参照してください。For more information about how to set up a stand-alone federation server, see Create a Stand-Alone Federation Server.

  • フェデレーション サーバー ファーム内に最初のフェデレーション サーバーを作成するCreate the first federation server in a federation server farm

    1 つ目のフェデレーション サーバーを設定する方法や、ファームにフェデレーション サーバーを追加する方法の詳細については、「 Create the First Federation Server in a Federation Server Farm」を参照してください。For more information about how to set up the first federation server or add a federation server to a farm, see Create the First Federation Server in a Federation Server Farm.

  • フェデレーション サーバー ファームにフェデレーション サーバーを追加するAdd a federation server to a federation server farm

    ファームにフェデレーション サーバーを追加する方法の詳細については「 Add a Federation Server to a Federation Server Farm」を参照してください。For more information about how to add a federation server to a farm, see Add a Federation Server to a Federation Server Farm.

これらの各オプションの詳細については、「 The Role of the AD FS Configuration Database」を参照してください。For more detailed information about how each of these options work, see The Role of the AD FS Configuration Database.

フェデレーション サーバーを展開するために必要なすべての前提条件を設定する方法の詳細については、「 Checklist: Setting Up a Federation Server」を参照してください。For more information about how to set up all the prerequisites necessary to deploy a federation server, see Checklist: Setting Up a Federation Server.

関連項目See Also

Windows Server 2012 での AD FS 設計ガイドAD FS Design Guide in Windows Server 2012