AD FS 展開トポロジの計画
Active Directory フェデレーション サービス (AD FS) の展開を計画するにあたっての最初の手順では、組織のニーズに対応する正しい展開トポロジを決定します。
この記事を読む前に、フェデレーション サーバー ファームで AD FS データがどのように格納され、どのように他のフェデレーション サーバーにレプリケートされるかについて確認し、AD FS 構成データベースに格納されている基になるデータの目的と使用可能なレプリケーション方法について理解しておいてください。
AD FS 構成データを格納するために使用できるデータベースは、Windows Internal Database (WID) と Microsoft SQL Server の 2 種類です。 詳細については、「AD FS 構成データベースの役割」を参照してください。 AD FS 構成データベースとして WID または SQL Server のどちらかを使用することに関連するさまざまな利点および制約事項と、サポートされるさまざまな応用シナリオを確認してから、選択を行ってください。
重要
基本的な冗長性、負荷分散、フェデレーション サービスをスケーリングするオプション (必要な場合) を実装するには、使用するデータベースの種類に関係なく、すべての運用環境でフェデレーション サーバー ファームごとに少なくとも 2 つのフェデレーション サーバーを展開することが推奨されます。
どのタイプの AD FS 構成データベースを使用するかを決定する
AD FS でデータベースを使用する目的は、フェデレーション サービスに関連する構成データを保存することであり、場合によってはトランザクション データもこのデータベースに保存されます。 AD FS ソフトウェアでは、フェデレーション サービスのデータを保存するためのデータベースとして、内蔵の Windows Internal Database (WID) または Microsoft SQL Server 2008 以降を選択できるようになっています。
ほとんどの場合は、この 2 つのデータベース タイプはほぼ等価です。 ただし、いくつかの違いがあるので、AD FS に使用できるさまざまな展開トポロジの検討を始める前に、そのような違いを認識しておく必要があります。 次の表は、WID データベースと SQL Server データベースでサポートされる機能の違いの説明をまとめたものです。
| 説明 | 機能 | WID でのサポート | SQL Server でのサポート |
|---|---|---|---|
| AD FS 機能 | フェデレーション サーバー ファーム展開 | はい。 証明書利用者信頼が 100 以下の場合、WID ファームには 30 台のフェデレーション サーバーの制限があります。 WID ファームでは、トークン リプレイの検出またはアーティファクトの解決 (Security Assertion Markup Language (SAML) プロトコルの一部) はサポートされていません。 |
はい。 1 つのファーム内に展開できるフェデレーション サーバーの数について制限はありません。 |
| AD FS 機能 | SAML アーティファクトの解決 注: この機能は、Microsoft Online Services、Microsoft Office 365、Microsoft Exchange、Microsoft Office SharePoint のシナリオには不要です。 |
いいえ | はい |
| AD FS 機能 | SAML/WS-Federation トークン リプレイ検出 | いいえ | はい |
| Database の機能 | プル レプリケーションを使用する基本的なデータベース冗長化 (データベースの読み取り専用コピーをホストする 1 つ以上のサーバーが、データベースの読み取り/書き込みコピーをホストするソース サーバーに変更内容を要求する) | はい | いいえ |
| Database の機能 | フェールオーバー クラスタリングやミラーリング (データベース層のみ) などの高可用性ソリューションを使用するデータベース冗長化: 注: すべての AD FS 展開トポロジで AD FS サービス層のクラスタリングがサポートされます。 | いいえ | はい |
SQL Server に関する考慮事項
SQL Server を AD FS 展開の構成データベースとして選ぶ場合は、次の事項を考慮してください。
SAML の機能と、その機能がデータベース サイズやデータ量増大に及ぼす影響。 SAML アーティファクト解決や SAML トークン リプレイ検出の機能が有効化されているときは、発行された AD FS トークンそれぞれの情報が SQL Server 構成データベースに格納されます。 この結果として、SQL Server データベースのデータ量はそれほど増大しないと考えられていますが、増大する量はトークン リプレイ保持期間の設定によって異なります。 アーティファクト レコード 1 つ当たりのサイズは約 30 KB です。
実際の展開に必要なサーバーの数。 AD FS インフラストラクチャを展開するのに必要なサーバーの総数とは別に、少なくとも 1 つのサーバーを追加する必要があります。このサーバーは、SQL Server インスタンス専用のホストとなります。 SQL Server 構成データベースに耐障害性と拡張性を持たせるためにフェールオーバー クラスタリングやミラーリングを使用する場合は、最低でも 2 つの SQL サーバーが必要です。
選択した構成データベースのタイプがハードウェア リソースに及ぼす影響
ファーム内に展開されるフェデレーション サーバーのハードウェア リソースに及ぶ影響は、WID を使用する場合でも SQL Server データベースを使用する場合でも、大きな違いはありません。 ただし、WID をファームに使用するときの重要な考慮事項が 1 つあります。それは、ファーム内の各フェデレーション サーバーが AD FS 構成データベースのローカル コピーを保持してレプリケーション変更の保存、管理、保守を行う必要があり、これと並行してフェデレーション サービスに必要な通常の動作も継続する必要があるということです。
対照的に、フェデレーション サーバーが展開されているファームで SQL Server データベースを使用する場合は、AD FS 構成データベースのローカル インスタンスが各フェデレーション サーバーに存在していなくてもかまいません。 したがって、必要なハードウェア リソースの量はかなり少なくなる可能性があります。
フェデレーション サーバーを配置する場所
セキュリティのベスト プラクティスとして、AD FS フェデレーション サーバーはファイアウォールの内側に配置し、企業ネットワークに接続して、インターネットからの不正アクセスを防ぎます。 フェデレーション サーバーはセキュリティ トークンを付与するためのすべての許可を得ているので、このことは非常に重要です。 そのため、ドメイン コント ローラーと同様に保護する必要があります。 フェデレーション サーバーが侵害された場合、悪意のあるユーザーは、AD FS によって保護されているすべての Web アプリケーションやフェデレーション サーバーに対する、完全なアクセス トークンを発行できるようになります。
注意
セキュリティのベスト プラクティスとして、 フェデレーション サーバーディレクトリにインターネットから直接アクセスできるようにすることは避けてください。 フェデレーション サーバーにインターネットから直接アクセスできるようにするのは、テスト ラボ環境を設定する場合や、組織に境界ネットワークがない場合に限定してください。
典型的な企業ネットワークでは、イントラネットに接続されたファイアウォールを企業ネットワークと境界ネットワークの間に設け、インターネットに接続されたファイアウォールを境界ネットワークとインターネットの間に設けます。 この場合、 フェデレーション サーバー は企業ネットワーク内に配置され、インターネット クライアントから直接アクセスすることはできません。
注意
企業ネットワークに接続されているクライアント コンピューターは、Windows 統合認証を通じて、 フェデレーション サーバー と直接通信できます。
AD FS に使用するためのファイアウォール サーバーを構成する前に、フェデレーション サーバー プロキシを境界ネットワーク内に配置してください。
サポートされているデプロイ トポロジ
以下の記事では、AD FS で使用できるさまざまな展開トポロジについて説明します。 また、特定のビジネスのニーズに最適なトポロジを選択できるよう、各展開トポロジに関連する利点と制約事項についても説明します。