フェデレーション サーバー プロキシを配置する場所
境界ネットワークに Active Directory フェデレーションサービス (AD FS) フェデレーション サーバー プロキシを配置して、インターネット経由で送信される可能性のある悪意のあるユーザーに対する保護層を提供できます。 フェデレーション サーバー プロキシは、トークンの作成に使用される秘密キーにアクセスしないため、境界ネットワーク環境に最適です。 ただし、フェデレーション サーバー プロキシは、これらのトークンの生成を許可されているフェデレーション サーバーに着信要求を効率的にルーティングできます。
企業ネットワークに接続されているクライアント コンピューターはフェデレーション サーバーと直接通信できるため、アカウント パートナーまたはリソース パートナーのいずれかのために、企業ネットワーク内にフェデレーションサーバー プロキシを配置する必要はありません。 このシナリオでは、フェデレーション サーバーは、企業ネットワークから送信されるクライアント コンピューターにフェデレーション サーバー プロキシ機能も提供しています。
境界ネットワークでは一般的なことですが、イントラネットに接続されたファイアウォールを境界ネットワークと企業ネットワークの間に設け、インターネットに接続されたファイアウォールを境界ネットワークとインターネットの間に設けます。 このシナリオでは、フェデレーション サーバー プロキシは、境界ネットワーク上の両方のファイアウォールの間に配置されます。
フェデレーション サーバー プロキシ向けのファイアウォール サーバーの構成
フェデレーション サーバーのプロキシ リダイレクト プロセスを成功させるには、ハイパー テキスト トランスファー プロトコル セキュア (HTTPS) トラフィックを許可するようにすべてのファイアウォール サーバーを構成する必要があります。 ファイアウォール サーバーは、ポート 443 を使用してフェデレーション サーバー プロキシを発行する必要があるため、HTTPS を使用する必要があります。これにより、境界ネットワーク内のフェデレーション サーバー プロキシが企業ネットワーク内のフェデレーション サーバーにアクセスできるようになります。
注意
クライアント コンピューターとの間の通信もすべて HTTPS で行われます。
さらに、Microsoft Internet Security and Acceleration (ISA) Server を実装しているコンピューターなど、インターネット側のファイアウォール サーバーは、サーバー発行と呼ばれるプロセスを使用して、適切な境界およびフェデレーション サーバー プロキシやフェデレーション サーバーなどの企業ネットワーク サーバーにインターネット クライアント要求を配布します。
サーバー公開規則によって、サーバー公開の動作方法が決まります。基本的に、ISA Server コンピューターを通過するすべての受信要求および送信要求をフィルター処理します。 サーバー公開規則は、ISA Server コンピューターの背後にある適切なサーバーに受信クライアント要求を割り当てます。 サーバーを発行する ISA サーバーを構成する方法については、「セキュリティで保護された Web 公開規則を作成する」を参照してください。
Active Directory フェデレーション サービス (AD FS) の環境では、通常、これらのクライアント要求は特定のURL (たとえば、次のようなフェデレーションサーバー識別子のURL) に対して行われますhttp://fs.fabrikam.com. これらのクライアント要求はインターネットから受信されるため、境界ネットワークに展開されている各フェデレーション サーバー プロキシのフェデレーション サーバー識別子 URL を発行するように、インターネット側のファイアウォール サーバーを構成する必要があります。
SSL を許可する ISA Server の構成
セキュリティで保護された Active Directory フェデレーション サービス (AD FS) 通信を容易にするには、次の間で Secure Sockets Layer (SSL) 通信を許可するように ISA Server を構成する必要があります。
フェデレーション サーバーとフェデレーション サーバー プロキシ。 フェデレーション サーバーとフェデレーション サーバー プロキシ間のすべての通信には、SSL チャネルが必要です。 したがって、企業ネットワークと境界ネットワークの間の SSL 接続を許可するように、ISA Server を構成する必要があります。
クライアント コンピューター、フェデレーション サーバー、およびフェデレーション サーバー プロキシ。 クライアント コンピューターとフェデレーション サーバー間、またはクライアント コンピューターとフェデレーション サーバー プロキシ間で通信を実行できるように、ISA サーバーを実行しているコンピューターをフェデレーション サーバーまたはフェデレーション サーバー プロキシの前に配置できます。
組織がフェデレーション サーバーまたはフェデレーション サーバー プロキシで SSL クライアント認証を実行している場合、ISA Server を実行しているコンピューターをフェデレーション サーバーまたはフェデレーション サーバー プロキシの前に配置するときは、SSL 接続のパススルー用にサーバーを構成する必要があります。これは、SSL 接続がフェデレーション サーバーまたはフェデレーション サーバー プロキシで接続を終了する必要があるためです。
組織がフェデレーション サーバーまたはフェデレーション サーバー プロキシで SSL クライアント認証を実行していない場合は、追加のオプションとして、ISA Server を実行しているコンピューターで SSL 接続を終了してから、フェデレーションサーバーまたはフェデレーションサーバープロキシへの SSL 接続を再確立します。
注意
フェデレーション サーバーまたはフェデレーション サーバー プロキシでは、セキュリティ トークンの内容を保護するために、接続を SSL で保護する必要があります。