リソース パートナー内のフェデレーション サーバー プロキシの役割を確認する

Active Directory フェデレーション サービス (AD FS) のフェデレーション サーバー プロキシは、リソース パートナー組織のニーズに合わせてサーバーを構成する方法に応じて、次の 1 つ以上の役割で機能できます。

  • アカウント パートナーの検出: インターネットのクライアント コンピューターでは、どのアカウント パートナーが認証を行うかを特定する必要があります。 クライアントは、リソース パートナーのフェデレーション サーバー プロキシに格納されているアカウント パートナーの検出 Web フォーム (discoverclientrealm.aspx) を使用してアカウント パートナーを検出します。 AD FS 管理スナップインで 2 つ以上のアカウント パートナーが構成されている場合、使用可能な (アカウント パートナーの検出 Web フォームにアクセスできるインターネットのクライアント コンピューターに表示可能な) すべてのアカウント パートナーを示すドロップダウン メニューがクライアントに表示されます。 アカウント パートナーの検出 Web フォームのクライアント コンピューターへの表示方法を変更するには、discoverclientrealm.aspx をカスタマイズします。

  • セキュリティトークンのリダイレクト: アカウント パートナーのフェデレーション サーバー プロキシは、セキュリティ トークンをリソース パートナーに送信します。 リソースのフェデレーション サーバー プロキシはこれらのトークンを受け入れ、リソース パートナーのフェデレーション サーバーに渡します。 次に、リソースのフェデレーション サーバーは、特定のリソース Web サーバーにバインドされたセキュリティ トークンを発行します。 リソースのフェデレーション サーバー プロキシは、トークンをクライアントにリダイレクトします。

要約すると、リソースのフェデレーション サーバー プロキシはクライアントを認証できるフェデレーション サーバーにクライアント コンピューターをリダイレクトすることでフェデレーション ログオン プロセスを容易にします。 リソースのフェデレーション サーバー プロキシは、リソースのフェデレーション サーバーへのクライアント セキュリティ トークンのプロキシとしても機能します。

注意

ハードウェアの量や必要な証明書の数を減らす必要がある場合は、フェデレーション サーバー プロキシを Web サーバーと同じコンピューターに配置します。

参照

Windows Server 2012 での AD FS 設計ガイド