フェデレーション サーバーを配置する場所
セキュリティを高めるために、Active Directory フェデレーション サービス (AD FS) フェデレーション サーバー (STS サーバーとも呼ばれます) をファイアウォール内に配置し、これらのサーバーを企業ネットワークに接続して、インターネットに公開されるのを防ぎます。 フェデレーション サーバーはセキュリティ トークンを付与するためのすべての許可を得ているので、このことは非常に重要です。 そのため、ドメイン コント ローラーと同様に保護する必要があります。 フェデレーションサーバーが侵害された場合、悪意のあるユーザーは、すべての Web アプリケーションと、すべてのリソースパートナー組織の Active Directory フェデレーションサービス (AD FS) (AD FS) によって保護されているフェデレーションサーバーに対して、完全なアクセストークンを発行することができます。
注意
セキュリティのベスト プラクティスとして、 フェデレーション サーバーディレクトリにインターネットから直接アクセスできるようにすることは避けてください。 フェデレーション サーバーにインターネットから直接アクセスできるようにするのは、テスト ラボ環境を設定する場合や、組織に境界ネットワークがない場合に限定してください。
典型的な企業ネットワークでは、イントラネットに接続されたファイアウォールを企業ネットワークと境界ネットワークの間に設け、インターネットに接続されたファイアウォールを境界ネットワークとインターネットの間に設けます。 この場合、 フェデレーション サーバー は企業ネットワーク内に配置され、インターネット クライアントから直接アクセスすることはできません。
注意
企業ネットワークに接続されているクライアント コンピューターは、Windows 統合認証を通じて、 フェデレーション サーバー と直接通信できます。
フェデレーション サーバープロキシ に使用するためのファイアウォール サーバーを構成する前に、 AD FSを境界ネットワーク内に配置してください。 詳細については、「フェデレーション サーバー プロキシを配置する場所」を参照してください。
フェデレーション サーバー向けのファイアウォール サーバーの構成
フェデレーションサーバーがフェデレーションサーバープロキシと直接通信できるようにするには、フェデレーションサーバープロキシからフェデレーションサーバーへのセキュリティで保護されたハイパーテキスト転送プロトコル (HTTPS) トラフィックを許可するように、イントラネットファイアウォールサーバーを構成する必要があります。 イントラネットファイアウォールサーバーは、境界ネットワーク内のフェデレーションサーバープロキシがフェデレーションサーバーにアクセスできるように、ポート443を使用してフェデレーションサーバーを公開する必要があるため、これは必須です。
また、イントラネットに接続されたファイアウォール サーバー (Internet Security and Acceleration (ISA) Server を実行しているサーバーなど) は、サーバー公開と呼ばれるプロセスを使用して、インターネット クライアントの要求を適切な企業 フェデレーションサーバーに配布します。 そのため、クラスター化された フェデレーションサーバー の URL を公開する ISA Server を実行しているイントラネット サーバーでは、サーバーの公開規則を手動で作成する必要があります、例http://fs.fabrikam.com.
境界ネットワーク内でのサーバー公開を構成する方法の詳細については、「 Where to Place a Federation Server Proxy」を参照してください。 サーバーを発行する ISA サーバーを構成する方法については、「セキュリティで保護された Web 公開規則を作成する」を参照してください。