Active Directory Domain Services (AD DS) によって発行されたユーザーとデバイスの要求を Active Directory フェデレーション サービス (AD FS) と共に使用することで、フェデレーション アプリケーションに対してより高度なアクセス制御を有効にすることができます。
動的アクセス制御について
Windows Server® 2012 では、動的アクセス制御機能を使用すると、組織は、Active Directory Domain Services (AD DS) によって発行されたユーザー要求 (ユーザー アカウント属性によって提供される) とデバイス要求 (コンピューター アカウント属性によって提供される) に基づいてファイルへのアクセスを許可できます。 AD DS によって発行された要求は、Kerberos 認証プロトコルを介して Windows 統合認証に統合されます。
動的アクセス制御の詳細については、「 動的アクセス制御コンテンツロードマップ」を参照してください。
AD FS の新機能
動的アクセス制御シナリオの拡張機能として、Windows Server 2012 の AD FS で次のことができます。
AD DS 内からユーザー アカウント属性に加えて、コンピューター アカウントの属性にアクセスします。 以前のバージョンの AD FS では、フェデレーション サービスは AD DS からコンピューター アカウント属性にまったくアクセスできませんでした。
Kerberos 認証チケットに存在する AD DS 発行のユーザーまたはデバイスの信頼性情報を使用できます。 以前のバージョンの AD FS では、要求エンジンは Kerberos からユーザーおよびグループ セキュリティ ID (SID) を読み取ることができましたが、Kerberos チケットに含まれる要求情報を読み取ることができませんでした。
AD DS によって発行されたユーザーまたはデバイスの要求を SAML トークンに変換します。このトークンは、証明書利用者のアプリケーションが、より高度なアクセス制御を実行するために使用できます。
AD FS で AD DS 要求を使用する利点
これらの AD DS で発行された要求は、Kerberos 認証チケットに挿入し、AD FS と共に使用して次の利点を提供できます。
より高度なアクセス制御ポリシーを必要とする組織では、特定のユーザーまたはコンピューター アカウントの AD DS に格納されている属性値に基づいて、AD DS によって発行された要求を使用して、アプリケーションとリソースへの要求ベースのアクセスを有効にすることができます。 これにより、管理者は次の作成と管理に関連する追加のオーバーヘッドを削減できます。
それ以外の場合は、Windows 統合認証を介してアクセスできるアプリケーションとリソースへのアクセスを制御するために使用される AD DS セキュリティ グループ。
フォレストの信頼。これは、信頼性情報を使用しない場合に、企業間 (B2B) アプリケーションまたはインターネットでアクセス可能なアプリケーションおよびリソースへのアクセスを制御するために使用されます。
組織は、クライアント コンピューターがネットワーク資源に無許可でアクセスすることを防ぐことができます。これは、AD DS に保存されている特定のコンピューター アカウント属性の値 (たとえば、コンピューターの DNS 名) が、資源のアクセス制御ポリシー (たとえば、要求を用いて ACL されているファイル サーバー) または証明書利用者ポリシー (たとえば、クレーム対応の Web アプリケーション) と一致しているかどうかに基づいています。 これにより、管理者は、次のリソースまたはアプリケーションに対して、より細かいアクセス制御ポリシーを設定できます。
Windows 統合認証を介してのみアクセスできます。
AD FS 認証メカニズムを介してインターネットにアクセスできます。 AD FS を使用すると、AD DS によって発行されたデバイス要求を、インターネットアクセス可能なリソースまたは証明書利用者アプリケーションで使用できる SAML トークンにカプセル化できる AD FS 要求に変換できます。
AD DS と AD FS によって発行されるクレームの違い
AD DS と AD FS から発行された要求について理解しておくことが重要な 2 つの差別化要因があります。 これらの違いは次のとおりです。
AD DS は、SAML トークンではなく、Kerberos チケットにカプセル化された要求のみを発行できます。 AD DS が要求を発行する方法の詳細については、「 動的アクセス制御コンテンツ ロードマップ」を参照してください。
AD FS は、Kerberos チケットではなく、SAML トークンにカプセル化された要求のみを発行できます。 AD FS が要求を発行する方法の詳細については、「 要求エンジンの役割」を参照してください。
AD DS によるクレーム発行の仕組みと AD FS の連携方法
AD DS で発行された要求を AD FS と共に使用して、Active Directory に対して個別の LDAP 呼び出しを行うのではなく、ユーザーとデバイスの両方の要求にユーザーの認証コンテキストから直接アクセスできます。 次の図と対応する手順では、動的アクセス制御シナリオでクレーム ベースのアクセス制御を有効にするために、このプロセスがどのように機能するかについて詳しく説明します。
AD DS 管理者は、Active Directory 管理センター コンソールまたは PowerShell コマンドレットを使用して、AD DS スキーマ内の特定の要求の種類オブジェクトを有効にします。
AD FS 管理者は、AD FS 管理コンソールを使用して、パススルーまたは変換要求規則を使用してクレーム プロバイダーと証明書利用者の信頼を作成および構成します。
Windows クライアントがネットワークへのアクセスを試みます。 Kerberos 認証プロセスの一環として、クライアントは、要求がまだ含まれていないユーザーとコンピューターのチケット付与チケット (TGT) をドメイン コントローラーに提示します。 その後、ドメイン コントローラーは AD DS で有効な要求の種類を調べて、返された Kerberos チケットに結果の要求を含めます。
ユーザー/クライアントが要求を必要とするようにアクセス制御されたファイル リソースにアクセスしようとすると、Kerberos から取得した複合 ID にこれらの要求が含まれているため、リソースにアクセスできます。
同じクライアントが、AD FS 認証用に構成された Web サイトまたは Web アプリケーションにアクセスしようとすると、ユーザーは Windows 統合認証用に構成された AD FS フェデレーション サーバーにリダイレクトされます。 クライアントは、Kerberos を使用してドメイン コントローラーに要求を送信します。 ドメイン コントローラーは、クライアントがフェデレーション サーバーに提示できる要求された要求を含む Kerberos チケットを発行します。
管理者が以前に構成した要求プロバイダーと証明書利用者信頼に対する要求規則の構成方法に基づいて、AD FS は Kerberos チケットから要求を読み取り、クライアントに対して発行する SAML トークンに含めます。
クライアントは、正しい要求を含む SAML トークンを受け取り、Web サイトにリダイレクトされます。
AD DS が発行した要求が AD FS と連携するために必要な要求規則を作成する方法の詳細については、「受信要求を 変換する規則を作成する」を参照してください。