フェデレーション サーバーを配置する場所Where to Place a Federation Server

セキュリティのベストプラクティスとして、 ( ) ファイアウォールの内側に Active Directory フェデレーションサービス (AD FS) AD FS フェデレーションサーバーを配置し、それらを企業ネットワークに接続して、インターネットからの露出を防ぐことができます。As a security best practice, place Active Directory Federation Services (AD FS)federation servers behind a firewall and connect them to your corporate network to prevent exposure from the Internet. これは、フェデレーションサーバーがセキュリティトークンを付与するための完全な権限を持っているため、重要です。This is important because federation servers have full authorization to grant security tokens. そのため、ドメイン コント ローラーと同様に保護する必要があります。Therefore, they should have the same protection as a domain controller. フェデレーションサーバーが侵害された場合、悪意のあるユーザーは、すべての Web アプリケーションと、 ( ) すべてのリソースパートナー組織の Active Directory フェデレーションサービス (AD FS) AD FS によって保護されているフェデレーションサーバーに対して、完全なアクセストークンを発行することができます。If a federation server is compromised, a malicious user has the ability to issue full access tokens to all Web applications and to federation servers that are protected by Active Directory Federation Services (AD FS) in all resource partner organizations.

注意

セキュリティのベストプラクティスとして、インターネット上でフェデレーションサーバーに直接アクセスできないようにしてください。As a security best practice, avoid having your federation servers directly accessible on the Internet. テストラボ環境をセットアップする場合や、組織に境界ネットワークがない場合にのみ、インターネットアクセスを使用するようにフェデレーションサーバーに指示することを検討してください。Consider giving your federation servers direct Internet access only when you are setting up a test lab environment or when your organization does not have a perimeter network.

一般的な企業ネットワークでは、イントラネットに - 接続されたファイアウォールが企業ネットワークと境界ネットワークの間に確立され、インターネットに - 接続されたファイアウォールが境界ネットワークとインターネットの間に確立されることがよくあります。For typical corporate networks, an intranet-facing firewall is established between the corporate network and the perimeter network, and an Internet-facing firewall is often established between the perimeter network and the Internet. この場合、フェデレーションサーバーは企業ネットワーク内に配置され、インターネットクライアントから直接アクセスすることはできません。In this situation, the federation server sits inside the corporate network, and it is not directly accessible by Internet clients.

注意

企業ネットワークに接続されているクライアントコンピューターは、Windows 統合認証を通じてフェデレーションサーバーと直接通信できます。Client computers that are connected to the corporate network can communicate directly with the federation server through Windows Integrated Authentication.

AD FS で使用するためにファイアウォールサーバーを構成する前に、フェデレーションサーバープロキシを境界ネットワークに配置する必要があります。A federation server proxy should be placed in the perimeter network before you configure your firewall servers for use with AD FS. 詳細については、「フェデレーション サーバー プロキシを配置する場所」を参照してください。For more information, see Where to Place a Federation Server Proxy.

フェデレーション サーバー向けのファイアウォール サーバーの構成Configuring your firewall servers for a federation server

フェデレーションサーバーがフェデレーションサーバープロキシと直接通信できるようにするには、フェデレーション ( ) サーバープロキシからフェデレーションサーバーへのセキュリティで保護されたハイパーテキスト転送プロトコルの HTTPS トラフィックを許可するように、イントラネットファイアウォールサーバーを構成する必要があります。So that the federation servers can communicate directly with federation server proxies, the intranet firewall server must be configured to allow Secure Hypertext Transfer Protocol (HTTPS) traffic from the federation server proxy to the federation server. イントラネットファイアウォールサーバーは、境界ネットワーク内のフェデレーションサーバープロキシがフェデレーションサーバーにアクセスできるように、ポート443を使用してフェデレーションサーバーを公開する必要があるため、これは必須です。This is a requirement because the intranet firewall server must publish the federation server using port 443 so that the federation server proxy in the perimeter network can access the federation server.

さらに、イントラネットに - 接続されたファイアウォールサーバー (Internet Security およびアクセラレーション ISA server を実行するサーバーなど) では、 ( ) サーバー公開と呼ばれるプロセスを使用して、インターネットクライアントの要求を適切な企業のフェデレーションサーバーに配布します。In addition, the intranet-facing firewall server, such as a server running Internet Security and Acceleration (ISA) Server, uses a process known as server publishing to distribute Internet client requests to the appropriate corporate federation servers. つまり、http: fs.fabrikam.com のように、クラスター化されたフェデレーションサーバーの URL を発行する ISA Server を実行するイントラネットサーバーで、サーバー公開ルールを手動で作成する必要があり / / ます。This means that you must manually create a server publishing rule on the intranet server running ISA Server that publishes the clustered federation server URL, for example, http://fs.fabrikam.com.

境界ネットワーク内でのサーバー公開を構成する方法の詳細については、「 Where to Place a Federation Server Proxy」を参照してください。For more information about how to configure server publishing in a perimeter network, see Where to Place a Federation Server Proxy. サーバーを公開するように ISA Server を構成する方法については、「 セキュリティで保護された Web 発行規則を作成する」を参照してください。For information about how to configure ISA Server to publish a server, see Create a secure Web publishing rule.

関連項目See Also

Windows Server 2012 での AD FS 設計ガイドAD FS Design Guide in Windows Server 2012