フェデレーション サーバーの展開

Active Directory フェデレーション サービス (AD FS) でフェデレーション サーバーを展開するには、「チェックリスト: フェデレーション サーバーのセットアップ」の各タスクを実行します。

注意

このチェックリストを使用するときは、サーバーの構成手順を開始する前に、「Windows Server 2012 での AD FS 設計ガイド」のフェデレーション サーバー計画のガイダンスのリファレンスを読んでおくことをお勧めします。 このようにチェックリストに従うことで、フェデレーション サーバーの設計と展開のプロセスについて理解を深めることができます。

フェデレーション サーバーについて

フェデレーション サーバーとは、Windows Server 2008 を実行し、AD FS ソフトウェアがインストールされているコンピューターであり、フェデレーション サーバーの役割を実行するように構成されています。 フェデレーション サーバーでは、他の組織のユーザー アカウントからの要求と、インターネット上の任意の場所に存在するクライアント コンピューターからの要求を、認証およびルーティングします。

AD FS ソフトウェアをコンピューターにインストールし、AD FS フェデレーション サーバー構成ウィザードを使用してフェデレーション サーバーの役割用に構成すると、そのコンピューターがフェデレーション サーバーになります。 またこれにより、そのコンピューターの Start\Administrative Tools\ メニューで AD FS 管理スナップインが使用可能になり、次の指定を行えるようになります。

• パートナー組織とアプリケーションがトークン要求と応答を送信する AD FS ホスト名

• パートナー組織とアプリケーションが組織の一意の名前または場所を識別するために使用する AD FS 識別子

• サーバー ファーム内のすべてのフェデレーション サーバーがトークンの発行と署名に使用するトークン署名証明書

• クライアント エクスペリエンスを向上させる、クライアントのログオン、ログオフ、アカウント パートナーの検出に向けてカスタマイズされた ASP.NET Web ページの場所

  注意

  これらのコア ユーザー インターフェイス (UI) 設定の大部分は、フェデレーション サーバーそれぞれの web.config ファイルに含まれます。 AD FS ホスト名と AD FS 識別子の値は、web.config ファイルで指定されていません。

フェデレーション サーバーは、提示された資格情報 (ユーザー名やパスワードなど) に基づいてトークンを発行する要求発行エンジンをホストします。 セキュリティ トークンは、1 つ以上の要求を表す、暗号で署名されたデータ単位です。 要求とは、サーバーが作成する、クライアントに関する説明 (名前、ID、キー、グループ、特権、機能など) です。 フェデレーション サーバーで資格情報が (ユーザー ログオン プロセスを通じて) 検証された後、指定された属性ストアに格納されたユーザー属性が調べられ、ユーザーの要求が収集されます。

フェデレーション Web シングル サインオン (SSO) 設計 (2 つ以上の組織が関与する AD FS 設計) では、特定の証明書利用者の要求規則に従って要求を変更できます。 要求は、リソース パートナー組織内のフェデレーション サーバーに送信されるトークンに組み込まれます。 リソース パートナーのフェデレーション サーバーは、要求を受信要求として受け取った後、要求発行エンジンを実行して、一連の要求規則を実行し、それらの要求をフィルター処理、パススルー、または変換します。 その後、要求は、リソース パートナーの Web サーバーに送信される新しいトークンに組み込まれます。

Web SSO 設計 (1 つの組織だけが関与する AD FS 設計) では、従業員が 1 回ログオンしてそのまま複数のアプリケーションにアクセスできるように、1 つのフェデレーション サーバーを使用できます。