Active Directory ユーザーに要求に対応するアプリケーションとサービスへのアクセスを提供する
Active Directory Federation Services (AD FS) のデプロイにおけるアカウント パートナー組織の管理者が、展開目標として、企業ネットワーク上の従業員にホストされているリソースへのシングル サインオン (SSO) アクセスを提供すると、次のようになります。
企業ネットワークの Active Directory フォレストにログオンした従業員は、SSO を使用して、管理者の組織内の境界ネットワークの複数のアプリケーションやサービスにアクセスできます。 これらのアプリケーションとサービスは、AD FS によってセキュリティで保護されています。
たとえば、Fabrikam が、企業ネットワークの従業員に、Fabrikam の境界ネットワークでホストされている Web ベースのアプリケーションへのフェデレーション アクセスを提供するような場合です。
Active Directory ドメインにログオンしたリモート従業員は、管理者の組織のフェデレーション サーバーから AD FS トークンを取得し、やはり管理者の組織内にある AD FS で保護された Web ベースのアプリケーションまたはサービスにフェデレーション アクセスできます。
Active Directory 属性ストアの情報を、従業員の AD FS トークンに設定できます。
このような展開目標を達成するには、次のコンポーネントが必要です。
Active Directory ドメイン サービス (AD DS): AD DS には、AD FS トークンの生成に使用される従業員のユーザー アカウントが含まれます。 グループのメンバーシップや属性などの情報は、グループ要求およびカスタム要求として AD FS トークンに設定されます。
注意
ライトウェイト ディレクトリ アクセス プロトコル (LDAP) または構造化照会言語 (SQL) を使用して、AD FS トークン生成用の ID を含めることもできます。
企業 DNS: ドメイン ネーム システム (DNS) のこの実装には、イントラネット クライアントがアカウント フェデレーション サーバーを特定できるように、単純なホスト (A) リソース レコードが含まれます。 DNS のこの実装では、企業ネットワークで必要とされる他の DNS レコードもホストされる可能性があります。 詳細については、「フェデレーション サーバーの名前解決の要件」をご覧ください。
アカウント パートナーのフェデレーション サーバー: このフェデレーション サーバーが、アカウント パートナー フォレスト内のドメインに参加しています。 従業員のユーザー アカウントを認証し、AD FS トークンを生成します。 従業員のクライアント コンピューターは、AD FS トークンを生成するには、このフェデレーション サーバーに対して Windows 統合認証を実行します。 詳細については、「 Review the Role of the Federation Server in the Account Partner」を参照してください。
アカウント パートナーのフェデレーション サーバーは、次のユーザーを認証できます。
このドメインにユーザー アカウントを持つ従業員
このフォレスト内のどこかにユーザー アカウントを持つ従業員
(双方向の Windows の信頼を通じて) このフォレストによって信頼されているフォレスト内のどこかにユーザー アカウントを持つ従業員
従業員: 従業員は、企業ネットワークにログオンしている間、(アプリケーションを通じて) Web ベースのサービスに、または (サポートされている Web ブラウザーを通じて) Web ベースのアプリケーションにアクセスします。 企業ネットワーク上の従業員のクライアント コンピューターは、認証用のフェデレーション サーバーと直接通信します。
リンク先のトピックの情報を確認した後は、「 Checklist: Implementing a Federated Web SSO Design」の手順に従って、この目標のデプロイを開始できます。
次の図は、この AD FS 展開の目的に必要なコンポーネントの各を示します。
