フェデレーション サーバーを作成するのに適した状況

Active Directory フェデレーション サービス (AD FS) でフェデレーション サーバーを作成すると、組織はそれを利用して次のことができるようになります。

  • (やはり少なくとも 1 つのフェデレーション サーバーを持つ) 他の組織や、必要に応じて (インターネット経由でのアクセスを必要する) 自組織内の従業員と、Web シングル サインオン (SSO) ベースで通信する。

  • ID 委任を使用して、インフラストラクチャ サービスにユーザーを代理処理するためのフロント エンド サービスを有効化する。 詳細については、「 When to Use Identity Delegation」を参照してください。

以下のセクションでは、1 つ以上のフェデレーション サーバーをいつどこに作成するかを判断するうえでの、重要な決定事項について説明します。

フェデレーション サーバーの組織役割を確認する

新しいフェデレーション サーバーの作成について、十分な情報に基づいて判断を下すには、サーバーを置く組織を最初に決める必要があります。 フェデレーション サーバーが組織の中で果たす役割は、フェデレーション サーバーをアカウント パートナー組織に置くか、またはリソース パートナー組織に置くかによって異なります。

アカウント パートナーの企業ネットワークに置いた場合のフェデレーション サーバーの役割は、ブラウザー、Web サービス、または ID セレクター クライアントのユーザー資格情報を認証し、クライアントにセキュリティ トークンを送信することです。 詳細については、「 Review the Role of the Federation Server in the Account Partner」を参照してください。

リソース パートナーの企業ネットワークに置いた場合のフェデレーション サーバーの役割は、リソース パートナー組織のフェデレーション サーバーによって発行されたセキュリティ トークンに基づいてユーザーを認証すること、または構成された Web アプリケーションや Web サービスからのトークン要求を、クライアントが属しているアカウント パートナー組織にリダイレクトすることです。 詳細については、次を参照してください。 リソース パートナーのフェデレーション サーバーの役割を検討します。

展開する AD FS 設計を決定する

次のいずれかの AD FS 設計を展開する場合は、フェデレーション サーバーを組織内に作成します。

フェデレーション Web SSO の設計を展開する組織は、必要に応じて、1 つのフェデレーション サーバーを、アカウント パートナーの役割とリソース パートナーの役割の両方で動作するように構成できます。 この場合、フェデレーション サーバーは、組織固有のユーザー アカウントに基づいて Security Assertion Markup Language (SAML) トークンを生成するか、またはユーザー アカウントが存在する場所に基づいてトークン要求を再ルーティングすることができます。

注意

フェデレーション Web SSO の設計では、アカウント パートナーに少なくとも 1 つのフェデレーション サーバーがあり、リソース パートナーに少なくとも 1 つのフェデレーション サーバーがある必要があります。

フェデレーション サーバーとフェデレーション サーバー プロキシの違い

フェデレーション サーバーは、フェデレーション サーバー プロキシと同じ方法で Web ページのサインイン、ポリシー、認証、探索を処理できます。 フェデレーション サーバーとフェデレーション サーバー プロキシの主な違いは、フェデレーション サーバー プロキシでは実行できず、フェデレーション サーバーでは実行できる操作に関係します。

フェデレーション サーバーでのみ実行できる操作は次のとおりです。

  • フェデレーション サーバーは、トークンを生成する暗号操作を実行します。 フェデレーション サーバー プロキシは、トークンを生成することはできませんが、トークンをクライアントにルーティングまたはリダイレクトしたり、必要な場合にはフェデレーション サーバーに戻したりすることができます。 フェデレーション サーバーの使用について詳しくは、「フェデレーション サーバー プロキシを作成する状況」をご覧ください。

  • フェデレーション サーバーでは、企業ネットワーク上のクライアントに対して Windows 統合認証を使用できます。フェデレーション サーバー プロキシではできません。 フェデレーション サーバーでの Windows 統合認証の使用について詳しくは、「フェデレーション サーバー ファームを作成するのに適した状況」をご覧ください。

注意事項

フェデレーション サーバーと、SQL Server 構成データベース、SQL Server 属性ストア、ドメイン コント ローラー、および AD LDS インスタンスの間の通信は、整合性や機密性が既定では保護されません。 この状況を回避するには、IPSEC を使用するか、これらすべてのサーバー間の接続を物理的にセキュリティ保護して、これらのサーバー間の通信チャネルを保護することを検討してください。 フェデレーション サーバーと SQL server の間の通信については、接続文字列に SSL 保護を使用することを検討してください。 フェデレーション サーバーとドメイン コント ローラーの間の接続については、Kerberos による署名と暗号化を有効にすることを検討してください。 LDAP については、AD LDS/AD DS に対して LDAP/S がサポートされません。

フェデレーション サーバーの作成方法

フェデレーション サーバーは、AD FS のフェデレーション サーバー構成ウィザードか、Fsconfig.exe コマンド ライン ツールを使用して作成できます。 これらのツールを使用する場合、フェデレーション サーバーを作成するために次のいずれかのオプションを選択できます。

  • スタンドアロン フェデレーション サーバーを作成する

    スタンドアロン フェデレーション サーバーを設定する方法の詳細については、「 Create a Stand-Alone Federation Server」を参照してください。

  • フェデレーション サーバー ファーム内に最初のフェデレーション サーバーを作成する

    1 つ目のフェデレーション サーバーを設定する方法や、ファームにフェデレーション サーバーを追加する方法の詳細については、「 Create the First Federation Server in a Federation Server Farm」を参照してください。

  • フェデレーション サーバー ファームにフェデレーション サーバーを追加する

    ファームにフェデレーション サーバーを追加する方法の詳細については「 Add a Federation Server to a Federation Server Farm」を参照してください。

これらの各オプションの詳細については、「 The Role of the AD FS Configuration Database」を参照してください。

フェデレーション サーバーを展開するために必要なすべての前提条件を設定する方法の詳細については、「 Checklist: Setting Up a Federation Server」を参照してください。

参照

Windows Server 2012 での AD FS 設計ガイド