AD FS 展開目標の特定

  • [アーティクル]

Active Directory フェデレーションサービス (AD FS) (AD FS) の配置目標を正しく特定することは、AD FS 設計プロジェクトの成功に不可欠です。 反復的な方法を使用してAD FSの設計および展開できるよう、展開の目標の優先順位付けを行い、場合によっては複数の目標を組み合わせてください。 AD FSの設計に関連する既存の、文書化され、あらかじめ定義されている AD FSの展開の目標を活用して、状況に応じた実用的な解決策を開発できます。

以前のバージョンの AD FSは、次を実現するために最も一般的にデプロイされました:

  • 従業員または顧客が、企業内で要求ベースのアプリケーションにアクセスする場合に、Web ベースの SSO でアクセスできるようにする。

  • 従業員または顧客が、Web ベースの SSO で、フェデレーション パートナー組織のリソースにアクセスできるようにする

  • 従業員または顧客が、内部でホストされている Web サイトや Web サービスにリモート アクセスする場合に、Web ベースの SSO でアクセスできるようにする。

  • 従業員または顧客が、クラウドのリソースやサービスにアクセスする場合に、Web ベースの SSO でアクセスできるようにする。

これらに加えて、AD FS Server® 2012 R2 Windowsの機能が追加されています。この機能を使用すると、次の機能を実現できます:

  • SSO およびシームレスな 2 要素認証のためのデバイス社内参加。 これにより、組織が、ユーザー個人のデバイスからのアクセスを許可し、そのアクセス許可に伴うリスクを管理できます。

  • 多要素アクセス制御によるリスク管理。 AD FS では、だれがどのアプリケーションにアクセスするかを制御する承認レベルが充実しています。 この承認レベルは、ユーザー属性 (UPN、電子メール、セキュリティ グループ メンバーシップ、認証強度など)、デバイス属性 (デバイスが社内参加しているかどうか)、または要求属性 (ネットワークの場所、IP アドレス、またはユーザー エージェント) に基づいています。

  • 追加の多要素認証による個人情報アプリケーションのリスク管理。 AD FS では、ポリシーを制御して、アプリごとに多要素認証を要求することができます。 さらに、AD FS は、機能拡張ポイントを多要素認証ベンダーに提供して緊密な統合を実現し、エンド ユーザーが安全かつシームレスに多要素認証を利用できるようにします。

  • Web アプリケーション プロキシで保護されているエクストラネットから Web アプリケーション リソースにアクセスするための、認証および承認機能を提供。

要約すると、AD FS R2 Windows Server 2012を展開して、組織内で次の目標を達成できます:

ユーザー個人のデバイスでどこからでもリソースへのアクセスが可能です

  • 社内参加: ユーザー個人のデバイスが企業の Active Directory に参加できるため、そのデバイスから企業のリソースにシームレスにアクセスできます。

  • 企業ネットワーク内のリソースの事前認証: リソースは Web アプリケーション プロキシで保護され、インターネットからアクセスできます。

  • 社内参加デバイスからのパスワード変更: パスワードの有効期限が切れたときに、ユーザーが引き続きリソースにアクセスできるように、任意の社内参加デバイスからパスワードを変更できます。

強化されたアクセス制御リスク管理ツール

リスク管理は、どの IT 組織にとってもガバナンスおよびコンプライアンスの面で重要です。 Windows Server 2012 R2 の AD FS では、次のようなアクセス制御リスク管理に関する機能強化が多数用意されています:

  • AD FS で保護されたアプリケーションへのアクセスをユーザーが認証する方法を、ネットワークの場所に基づいて決定する柔軟な制御。

  • ユーザーが多要素認証を実行する必要があるかどうかを、ユーザーのデータ、デバイス データ、およびネットワークの場所に基づいて決定する柔軟なポリシー。

  • 機密性の高いアプリケーションにアクセスするたびに、SSO を無視して、資格情報の入力をユーザーに求める、アプリケーションごとの制御。

  • ユーザー データ、デバイス データ、またはネットワークの場所に基づく、柔軟なアプリケーションごとのアクセス ポリシー。

  • AD FS のエクストラネット ロックアウト。管理者がインターネットのブルート フォース攻撃から Active Directory アカウントを保護できます。

  • Active Directory で無効化されているか削除されている、社内参加対応デバイスに対するアクセスの失効。

サインインエクスペリエンスを強化するには、AD FSを使用します

次に示すWindows Server® 2012 R2 の AD FS 新機能により、管理者がサインインをカスタマイズおよび強化することができます:

  • AD FS サービスの統合カスタマイズ。一度行った変更は、指定されたファームの残りの AD FS フェデレーション サーバーに自動的に反映されます。

  • 更新されたサインイン ページ。最新の外観で、さまざまなフォーム ファクターに対応します。

  • 会社のドメインに参加していないが、引き続き企業ネットワーク (イントラネット) 内からアクセス要求を生成するときに使用されているデバイスについては、フォーム ベース認証への自動フォールバックをサポート。

  • シンプルなコントロールで、会社のロゴ、画像、IT サポートへの標準リンク、ホーム ページ、プライバシーなどをカスタマイズ。

  • サインイン ページの説明テキストのカスタマイズ。

  • Web テーマのカスタマイズ。

  • ユーザーの組織サフィックスに基づくホーム領域検出 (HRD)。会社のパートナーのプライバシー強化に対応します。

  • アプリケーションに基づく HRD フィルタリング。アプリケーションに基づいて領域を自動的に取得します。

  • ワンクリック エラー報告。IT のトラブルシューティングを容易にします。

  • カスタマイズ可能なエラー メッセージ。

  • ユーザー認証の選択 (複数の認証プロバイダーが使用可能な場合)。

参照

Windows Server 2012 R2 での AD FS 設計ガイド