フェデレーション サーバー プロキシを作成する状況
組織内にフェデレーション サーバー プロキシを作成すると、Active Directory フェデレーション サービス (AD FS) の展開にセキュリティ レイヤーが追加されます。 次の状況に該当する場合は、フェデレーション サーバー プロキシを組織の境界ネットワークにデプロイすることを検討します。
外部クライアント コンピューターがフェデレーション サーバーに直接アクセスすることを防ぐ。 フェデレーション サーバー プロキシを境界ネットワークにデプロイすることでフェデレーション サーバーを効果的に分離して、外部クライアント コンピューターの代理として機能するフェデレーション サーバー プロキシ経由で企業ネットワークにログインしたクライアント コンピューターだけがアクセスできるようにします。 フェデレーション サーバー プロキシは、トークンの生成に使用される秘密キーにアクセスしません。 詳細については、「フェデレーション サーバー プロキシを配置する場所」を参照してください。
インターネットからアクセスするユーザーと、Windows 統合認証を使用している企業ネットワークからアクセスするユーザーのサインイン エクスペリエンスを差別化する便利な方法を用意する。 フェデレーション サーバー プロキシは、フェデレーション サーバー プロキシに保存されるログオン ページ、ログアウト ページ、および ID プロバイダーページ (homerealmdiscovery.aspx) を使用することで、インターネット クライアント コンピューターの資格情報またはホーム領域の詳細を収集します。
一方、企業ネットワークからアクセスするクライアント コンピューターには、フェデレーション サーバーの構成に基づいて、異なるエクスペリエンスが提供されます 多くの場合、企業ネットワークのフェデレーション サーバーは Windows 統合認証を使用するように構成され、企業ネットワークのユーザーにシームレスなサインイン エクスペリエンスを提供します。
フェデレーション サーバー プロキシが組織の中で果たす役割は、フェデレーション サーバー プロキシをアカウント パートナー組織に配置するか、リソース パートナー組織に配置するかによって異なります。 たとえば、フェデレーション サーバー プロキシがアカウント パートナーの境界ネットワークに配置された場合、その役割は、ブラウザー クライアントからユーザーの資格情報を収集することです。 フェデレーション サーバー プロキシがリソース パートナーの境界ネットワークに配置された場合は、リソース フェデレーション サーバーへのセキュリティ トークン要求をリレーし、そのアカウント パートナーによって提供されるセキュリティ トークンに応答して組織のセキュリティ トークンを生成します。
詳細については、「 Review the Role of the Federation Server Proxy in the Account Partner 」と「 Review the Role of the Federation Server Proxy in the Resource Partner」を参照してください。
フェデレーション サーバー プロキシの作成方法
フェデレーション サーバー プロキシは、AD FS フェデレーション サーバー プロキシ構成ウィザードまたは Fsconfig.exe コマンド ライン ツールを使用して作成できます。 これを行う方法については、「 Configure a Computer for the Federation Server Proxy Role」を参照してください。
フェデレーション サーバー プロキシの展開に必要なすべての前提条件を設定する方法の詳細については、「 Checklist: Setting Up a Federation Server Proxy」を参照してください。