次の方法で共有


アカウント パートナー組織の構成に関するチェックリスト

アカウント パートナー組織には、リソース パートナーの Web ベース アプリケーションにアクセスするユーザーが含まれます。 この組織の管理者は、AD FS 管理スナップインを使用して、アカウント パートナー組織との信頼関係を表す要求プロバイダー信頼を作成する必要があります。 さらに、アカウント パートナー管理者は、信頼したいと考えるアカウント パートナー組織ごとに証明書利用者信頼を作成する必要があります。

このチェックリストには、アカウント パートナー組織に Active Directory フェデレーション サービス (AD FS) (AD FS) をデプロイするためのタスクが含まれています。 また、フェデレーション パートナーシップの 2 分の 1 を確立するために必要なコンポーネントを構成するためのタスクも含まれています。

Web SSO 設計を展開している場合は、このチェックリストに従う必要があります。 ただし、このチェックリストのタスクを完了してフェデレーション Web SSO 設計を正常に展開する必要があります。

重要

アカウント パートナー組織の管理者がチェックリスト: アカウント パートナー組織の構成のガイダンスに従っていることを確認して、必要なすべての展開タスクが行われてフェデレーション パートナーシップの後半が正常に作成されるようにしてください。

注意

このチェックリストのタスクは順番に実行してください。 参照リンクによって手順に移動した場合は、このチェックリストの残りのタスクを進めることができるように、その手順の作業が完了したらこのトピックに戻ります。

Check mark icon, Configure the account partner organization.チェックリスト: アカウント パートナー組織の構成

タスク リファレンス
既存の AD FS 1.0 または 1.1 の展開が現在の運用環境にある場合は、右側のリンクで、現在のフェデレーション サービス から新しい AD FS フェデレーション サービスに設定を移行する方法の詳細について参照してください。 AD FS を使用して AD FS を組織に初めて展開する場合は、この手順をスキップし、このチェックリストの次のタスクに進み、新しいリソース パートナー組織を設定する方法について説明します。 Icon, Plan to migrate to AD FS 2.0.AD FS2.0 への移行の計画
展開の目標に基づいて、フェデレーション アプリケーションへのアクセスをユーザーに提供するために必要なコンポーネントに関する情報を確認します。 Icon, Provide your AD users access to your claims-aware applications.Active Directory ユーザーに要求に対応するアプリケーションとサービスへのアクセスを提供する

Icon, Provide your AD users access to applications and services.Active Directory ユーザーに他の組織のアプリケーションとサービスへのアクセスを提供する

Icon, Provide users in another organization acces to your claims-aware applications and services.信頼性情報に対応したアプリケーションやサービスへのアクセスを別の組織のユーザーに提供する

どの AD FS 設計にこのリソース パートナー 組織が関連付けられるかを判定します。 Icon, Web SSO design.Web SSO 設計

Icon, Federated Web SSO design.フェデレーション Web SSO 設計

AD FS サーバーの展開を開始する前に、1.) AD FS 構成データベースを格納する場合に Windows Internal Database (WID) と SQL Server のいずれかを選ぶ場合の利点と欠点 2.) AD FS 展開トポロジの種類と、関連するサーバー配置とネットワーク レイアウトに関する推奨事項について確認します。 Icon, Determine your AD FS deployment topology.AD FS 展開トポロジを特定する

Icon, AD FS deployment topology considerations.AD FS 展開トポロジに関する考慮事項

AD FS 容量計画ガイダンスを確認して、ご使用の運用環境で使用する必要があるフェデレーション サーバーとフェデレーション サーバー プロキシ サーバーの適切な数を決めます。 Icon, Plan for AD FS server capacity.AD FS サーバーの容量計画
アカウント パートナー展開の物理トポロジを効果的に計画して実装するには、AD FS 設計に 1 つ以上のフェデレーション サーバーまたはフェデレーション サーバー プロキシが必要かどうかを判断します。 Icon, Set up a Federation server.チェックリスト:フェデレーション サーバーのセットアップ

Icon, Set up a Federation server proxy.チェックリスト:フェデレーション サーバー プロキシのセットアップ

AD FS に追加する属性ストアの種類を決めます。 次に、その属性ストアを AD FS 管理スナップインを使用して追加します。 Icon, The role of attribute stores.属性ストアの役割

Icon, Add an attribute store.属性ストアを追加する

AD FS 1.0 と 1.1 のいずれかのフェデレーション サービス を使用しているアカウント パートナーに要求を送ったりこのパートナーからの要求を使用する必要がある場合は、AD FS を以前のバージョンの AD FS と相互運用するために構成する方法の詳細について、右側のリンクを参照してください。 アカウント パートナー組織も AD FS を使用してあなたの組織と要求の送信や使用を行っている場合は、この手順をスキップして、このチェックリストの次のタスクに進みます。 Icon, Plan for interoperability with AD FS 1.x.AD FS 1.x との相互運用性の計画
アカウント パートナーの組織に最初のフェデレーション サーバーを展開した後で、AD FS 管理スナップインを使用して、証明書利用者信頼リレーションシップを作成します。 証明書利用者信頼を作成するには、リソース パートナーに関するデータを手動で入力するか、リソース パートナーの組織の管理者から入手したフェデレーション メタデータ URL を使用します。 このフェデレーション メタデータを使用して、リソース パートナーに関するデータを自動的に取得することができます。 注:リソース パートナーによってフェデレーション メタデータが公開されている場合、またはそのデータをコピーしたファイルが提供される場合には、時間を節約するために、そのデータを自動的に取得することをお勧めします。 Icon, Manually create a relying party trust.証明書利用者の信頼を手動で作成する

Icon, Create a relying party trust using Federation metadata.フェデレーション メタデータを使用して証明書利用者の信頼を作成する

組織のニーズに応じて、AD FS 管理スナップインで指定されている証明書利用者信頼ごとに 1 つ以上の要求規則セットを作成して、要求が適切に発行されます。 Icon, Create claim rules for a relying party trust.チェックリスト: 証明書利用者信頼の要求規則の作成
組織のニーズを満たす要求記述が存在しない場合は、作成する必要があります。 Active Directory フェデレーション サービス (AD FS) には、AD FS 管理スナップインで公開される既定の要求記述のセットが付属しています。 Icon, Add a claim description.要求記述の追加
組織が ID 委任を使用して、指定したアカウントを "として機能" するか、他のユーザーの権限を借用するように制限する必要があるかどうかを判断します。 これは、多くの場合、フロントエンド Web アプリケーションがフロントエンド Web サービスと対話する必要がある場合に必要です。 Icon, Use identity delegation.ID の委任を使用する場合
次の方法で、フェデレーション用にクライアント コンピューターを準備します:

- アカウント パートナーフェデレーション サーバーの URL をクライアント ブラウザーの信頼済みサイトの一覧に追加します。
- クライアント グループ ポリシーに適切な証明書 (SSL) Secure Sockets Layerをプッシュするには、 を使用します。

Icon, Prepare client computers in the account partner.アカウント パートナーでクライアント コンピューターを準備する

Icon, Configure client computers to trust the account Federation server.アカウント フェデレーション サーバーを信頼するようにクライアント コンピューターを構成する

configure account partner orgグループ ポリシーを使用してクライアント コンピューターに証明書を配布する