フェデレーション サーバー ファーム内に最初のフェデレーション サーバーを作成する
コンピューターにフェデレーション サービス役割サービスをインストールし、必要な証明書を構成したら、コンピューターをフェデレーション サーバーとして構成できます。 AD FS フェデレーション サーバーの構成ウィザードを使って、以下の手順に従うことで、新しいフェデレーション サーバー ファームの最初のフェデレーション サーバーになるようにコンピューターをセットアップすることができます。
ファーム内に最初のフェデレーション サーバーを作成する作業では、新しいフェデレーション サービスを作成し、このコンピューターをプライマリ フェデレーション サーバーにする作業も行います。 つまりこのコンピューターは、AD FS 構成データベースの読み取り/書き込みコピーを使って構成されるということです。 このファーム内のその他すべてのフェデレーション サーバーは、プライマリ フェデレーション サーバー上で行われるすべての変更を、それぞれがローカルに格納する AD FS 構成データベースの読み取り専用コピーにレプリケートする必要があります。 このレプリケーション プロセスの詳細については、「AD FS 構成データベースの役割」を参照してください。
注意
フェデレーション Web シングルサインオン (SSO) の設計には、アカウント パートナー組織に少なくとも 1 つのフェデレーション サーバーが、リソース パートナー組織に少なくとも 1 つのフェデレーション サーバーが必要です。 詳細については、「フェデレーション サーバーの配置場所」を参照してください。
この手順を実行するには、Domain Admins グループのメンバーシップ、または Active Directory 内のプログラム データ コンテナーへの書き込みアクセス権を付与されている委任されたドメイン アカウントが最低限必要です。
フェデレーション サーバー ファーム内に最初のフェデレーション サーバーを作成するには
AD FS フェデレーション サーバー構成ウィザードを開始するには 2 つの方法があります。 ウィザードを開始するには、次のいずれかを実行します。
Federation Service ロール サービスのインストールが完了したら、AD FS 管理スナップインを開き、[概要] ページまたは [アクション] ペインで [AD FS フェデレーション サーバー構成ウィザード] リンクを開きます。
セットアップ ウィザードを終了した後、Windows Explorer を開き、C:\Windows\ADFS フォルダーをダブルクリックして、FsConfigWizard.exe をダブルクリックします。
[ようこそ] ページで、[新しいフェデレーション サービスの作成] が選択されているのを確認し、[次へ] をクリックします。
[スタンドアロンまたはファーム デプロイの選択] ページで、[新しいフェデレーション サーバー ファーム] をクリックし、[次へ] をクリックします。
[フェデレーション サービス名の指定] ページで、表示されている [SSL 証明書] が正しいことを確認します。 これが正しい証明書でない場合は、[SSL 証明書] 一覧から適切な証明書を選択します。
この証明書は、既定の Web サイトの Secure Sockets Layer (SSL) の設定から生成されます。 既定の Web サイトで SSL 証明書が 1 つしか構成されていない場合は、その証明書が提示され、自動的に選択されて使用されます。 既定の Web サイトで複数の SSL 証明書が構成されている場合は、それらすべての証明書がここに示され、その中から 1 つを選ぶ必要があります。 既定の Web サイトで SSL 設定が構成されていない場合は、ローカル コンピューター上の個人証明書ストアで使用できる証明書から一覧が生成されます。
注意
IIS に対して SSL 証明書が構成されていない場合、証明書をオーバーライドすることはできません。 このしくみにより、SSL 証明書について以前に意図的に行われた IIS 構成はすべて維持されます。 このような制約を回避したい場合は、証明書を削除するか、IIS 管理コンソールを使って証明書を手動で再構成できます。
選択した AD FS データベースが既に存在する場合、[検出された既存の AD FS 構成データベース] ページが表示されます。 このページが表示された場合は、[データベースの削除] をクリックし、[次へ] をクリックします。
注意事項
このオプションを選択するのは、AD FS データベース内のこのデータが重要でないか、実稼働フェデレーション サーバー ファームで使用されていないことが明らかな場合のみにしてください。
[サービス アカウントを指定します] ページで、[参照] をクリックします。 [参照] ダイアログ ボックスで、この新しいフェデレーション サーバー ファームでサービス アカウントとして使用するドメイン アカウントを見つけ、[OK] をクリックします。 このアカウントのパスワードを入力し、確認して、[次へ] をクリックします。
注意
フェデレーション サーバー ファームのサービス アカウントの指定に関する詳細については、「フェデレーション サーバー ファームのサービス アカウントを手動で構成する」を参照してください。 フェデレーション サーバー ファーム内の各フェデレーション サーバーには、ファームが動作するために同じサービス アカウントを指定する必要があります。 たとえば、作成したサービス アカウントが contoso\ADFS2SVC であった場合、ファームが機能するためには、フェデレーション サーバー ロールについて構成する各コンピューターおよび同じファームに参加する各コンピューターで、フェデレーション サーバー構成ウィザードのこの手順において、contoso\ADFS2SVC を指定する必要があります。
[設定の適用準備] ページで、詳細を確認します。 設定が正しいと思われる場合は、[次へ] をクリックして、これらの設定で AD FS の構成を開始します。
[構成結果] ページで作業内容を確認します。 すべての構成手順が終了したら、[閉じる] をクリックしてウィザードを終了します。
重要
セキュリティで保護された展開を行うため、AD FS フェデレーション サーバー構成ウィザードを使ってフェデレーション サーバー ファームを構成するときは、アーティファクト解決および応答検出は無効にされます。 このウィザードでは、サービス構成データを格納するための Windows Internal Database が自動的に構成されます。 ただし、AD FS 管理スナップインの [エンドポイント] ノード、または Windows PowerShell の Enable-ADFSEndpoint コマンドレットのいずれかを使用して、アーティファクト解像度エンドポイントを有効にすることによって、この変更を誤って取り消してしまう可能性があります。 フェデレーション サーバー ファームと Windows Internal Database を一緒に使用するときにこのエンドポイントを無効のままにするため、既定の設定を再構成しないように注意してください。