AD FS の配置を計画する
適用対象: Azure、Office 365、Power BI、Windows Intune
Microsoft クラウド サービスの AD FS 展開を計画する最初の手順は、組織のシングル サインオンのニーズを満たす適切な展開トポロジを選択することです。 AD FS は、Windows Internal Database (WID) または SQL Server データベースのいずれかを使って、AD FS の構成データを保存するように要求します。
マイクロソフトのクラウド サービスをご使用になる大部分のお客様に対して推奨される AD FS トポロジは、WID を備えたフェデレーション サーバー ファームと、それに準拠したプロキシ トポロジを使用することです。 また、このセクションの後半で説明するとおり、SQL Server プロキシを使用するフェデレーション サーバー ファームの作成という高度なオプションもあります。
さらにこのセクションでは、組織内に展開する AD FS サーバー数を決定するための表を掲載し、パフォーマンスの向上を目的としたフェデレーション サーバーの追加についても説明します。
推奨されるトポロジ: WID およびプロキシを使用したフェデレーション サーバー ファーム
詳細オプション: SQL Server およびプロキシを使用したフェデレーション サーバー ファーム
見積もりテーブル: 組織内に展開する AD FS サーバーの数を決定する
フェデレーション サーバーを追加してパフォーマンスを向上させる
推奨されるトポロジ: WID およびプロキシを使用したフェデレーション サーバー ファーム
Microsoft クラウド サービスの既定のトポロジは、組織のフェデレーション サービスをホストする複数のサーバーで構成される AD FS フェデレーション サーバー ファームです。 このトポロジでは、AD FS はファームに結合するすべてのフェデレーション サーバーに対する AD FS 構成データベースとして、WID を使用します。 ファームでは、構成データベースのフェデレーション サービス データがファーム内の各サーバー間で複製されて管理されます。
ファームに最初のフェデレーション サーバーが作成されると、新しいフェデレーション サービスも作成されます。 WID を AD FS 構成データベースとして使用する場合、ファーム内に作成された最初のフェデレーション サーバーは、プライマリ フェデレーション サーバーと呼ばれます。 つまりこのコンピューターは、AD FS 構成データベースの読み取り/書き込みコピーを使って構成されるということです。
このファームに対して構成される他のすべてのフェデレーション サーバー は、セカンダリ フェデレーション サーバーと呼ばれます。プライマリ フェデレーション サーバー上で実行された変更を、ローカルに保存された AD FS 構成データベースの読み取り専用コピーに複製する必要があるからです。
注意
負荷分散の構成では、少なくとも 2 台のフェデレーション サーバーを使用することをお勧めします。
この基本となるフェデレーション サーバー ファーム トポロジを設定することが、AD FS 展開のフェーズ 1 です。 フェーズ 2 は、以下のいずれかを展開することで、外部ユーザーにアクセス制御機能を提供する方法を決定することです。
Web アプリケーション プロキシ (Windows Server 2012 R2 で AD FS を使用している場合)
フェデレーション サーバー プロキシ (Windows Server 2012 で AD FS 2.0 または AD FS を使用している場合)
フェーズ 1: フェデレーション サーバー ファームを展開する
ファームの展開を開始する準備ができたら、会社のネットワークのすべてのフェデレーション サーバーを、ネットワーク負荷分散ホスト (NLB) の背後に配置するように計画する必要があります (NLB ホストは、専用のクラスター DNS 名とクラスター IP アドレスを使用した NLB クラスター用に構成可能です)。
重要
このクラスター DNS 名は、フェデレーション サービス名 (fs.fabrikam.com など) と一致する必要があります。また、展開した AD FS のインスタンスに対して、インターネット経由でルーティングできる必要があります。 名前が一致しない場合、認証要求は適切な DNS サーバーまたは適切なフェデレーション サーバーにルーティングされません。
NLB ホストは、NLB クラスターに定義された設定を使用して、クライアントの要求を個々のフェデレーション サーバーに割り当てることができます。 以下の図は、Fabrikam, Inc. が 2 台のコンピューターで WID を使用するフェデレーション サーバー ファーム (fs1 および fs2) を使用した展開の 1 番目のフェーズをセットアップする様子と、DNS サーバーおよび 1 台の NLB ホスト (会社のネットワークにケーブルで接続) を配置する様子を表しています。
注意
この単一の NLB ホストでエラーが発生した場合、ユーザーはクラウド サービスにアクセスできなくなります。 ビジネス要件でこのような単一障害点を容認できない場合は、別の NLB ホストを追加します。
フェーズ 2: プロキシをデプロイする
一般に、プロキシ サーバーは、企業ネットワークの外部から送信されるクライアント認証要求をフェデレーション サーバー ファームにリダイレクトするために使用されます。つまり、エクストラネット アクセスを構成します。
重要
使用する AD FS のバージョンによっては、Web アプリケーション プロキシ (Windows Server 2012 R2 の場合)、またはフェデレーション サーバー プロキシ (Windows Server 2012 の AD FS 2.0 および AD FS の場合) のいずれかを展開できます。 Web アプリケーション プロキシとフェデレーション サーバー プロキシの機能の定義と説明については、「AD FS の用語を確認する」を参照してください。
Microsoft クラウド サービスのお客様の場合、次のユーザー シナリオを有効にするには、既存の AD FS インフラストラクチャにプロキシを展開する必要があります。
職場のコンピューター、ローミング: 会社の資格情報を使用してドメインに参加しているコンピューターにログオンしているが、企業ネットワークに接続していないユーザー (自宅やホテルの職場のコンピューターなど) は、クラウド サービスにアクセスできます。
自宅または公共のコンピューター: ユーザーが企業ドメインに参加していないコンピューターを使用している場合、ユーザーはクラウド サービスにアクセスするために会社の資格情報でサインインする必要があります。
スマート フォン:スマート フォンで、Microsoft Exchange ActiveSync を使用してMicrosoft Exchange Onlineなどのクラウド サービスにアクセスするには、ユーザーは会社の資格情報でサインインする必要があります。
Microsoft Outlookまたはその他の電子メール クライアント: ユーザーは、OutlookまたはOfficeに含まれていない電子メール クライアント (IMAP や POP クライアントなど) を使用している場合に、Office 365電子メールにアクセスするために会社の資格情報を使用してサインインする必要があります。
このようなユーザー シナリオをサポートするため、前述の展開のフェーズ 1 に加え、このフェーズ 2 では、2 つの Web アプリケーション プロキシまたは 2 つのフェデレーション サーバー プロキシを追加します。
2 番目の NLB ホストは、インターネットからアクセス可能なクラスター IP アドレスを使用する NLB クラスターを使用して構成する必要があり、フェーズ 1 で会社のネットワークで構成した前の NLB クラスターと同じクラスター DNS 名の設定 (fs.fabrikam.com) を使用する必要があります。 Web アプリケーション プロキシまたはフェデレーション サーバー プロキシも、インターネット アクセスが可能な IP アドレスを使って構成されます。
以下の図は、既存のフェーズ 1 の展開と、Fabrikam, Inc. が境界 DNS サーバーへのアクセスを可能にし、同じクラスター DNS 名 (fs.fabrikam.com) を使用して 2 番目の NLB ホストを追加し、境界ネットワークに 2 台のフェデレーション サーバー プロキシ (fsp1 および fsp2) を追加する様子を示しています。
次の図は、既存のフェーズ 1 展開と、Fabrikam 社が境界 DNS サーバーへアクセスを提供する方法、同じクラスター DNS 名 (fs.fabrikam.com) を持つ 2 番目の NLB ホストを追加する方法、および 2 つの Web アプリケーション プロキシ (wap1 と wap2) を境界ネットワークに追加する方法を示しています。
注意
- サードパーティの HTTP リバース プロキシ ソリューションを使って、エクストラネットに AD FS を公開することができます。 これを行う方法の詳細については、「 AD FS 2.0 の詳細オプションの構成」を参照してください。
- ファイアウォールを通過するすべての AD FS 通信は、HTTPS をベースにしています。
- ユーザーがアクセスを要求しているクライアント コンピューターまたはクライアント デバイスの物理的な場所に基づいて、ユーザーのクラウド サービスへのアクセスを制限するカスタム要求規則を AD FS で作成できます。 これらの規則を作成する方法の詳細については、「Limiting Access to Office 365 Services Based on Client Location (クライアントの位置に基づいて Office 365 サービスへのアクセスを制限する)」を参照してください。
詳細オプション: SQL Server およびプロキシを使用したフェデレーション サーバー ファーム
これは、Web アプリケーション プロキシ、フェデレーション サーバー プロキシ、または SQL Server 構成を使って、ファーム内のすべてのフェデレーション サーバーを有効にし、共通 SQL Server データベースへの読み書きを実行する、高度な AD FS 展開トポロジ オプションです。 AD FS 構成データベースとして SQL Server database を使用すると、wid と比較次の利点が提供されます。
管理者が使用できる SQL Server の高可用性機能。
より多くのフェデレーション サーバーを使用してスケールアウトする機能など、パフォーマンスの強化が追加されました (証明書利用者の信頼が 100 個以下の場合、WID ファームには 30 のフェデレーション サーバーの制限があります)。証明書利用者信頼が 100 を超える場合、WID ファームには 5 つのフェデレーション サーバーの制限があります。).
地理的に負荷分散を行い、場所に基づいて、トラフィックを大量に増加できるようにします。
注意
このトポロジは高度な AD FS 展開オプションであるため、このトポロジの動作方法と展開方法の詳細については、この記事では説明しません。
このトポロジ オプションの詳細については、「Configuring Advanced Options for AD FS 2.0 (AD FS 2.0 の詳細オプションを構成する)」を参照してください。
見積もりテーブル: 組織内に展開する AD FS サーバーの数を決定する
次の表を使用すると、シングル サインオン アクセスを必要とするユーザーの数に基づいて、企業ネットワーク インフラストラクチャ全体で WID で構成されたフェデレーション サーバー ファームに配置する必要がある AD FS フェデレーション サーバーと Web アプリケーション プロキシまたはフェデレーション サーバー プロキシの最小数を見積もることができます。 クラウド サービスへのリモート アクセスを含む。
注意
フェデレーション サーバーまたはフェデレーション サーバー プロキシの役割用に構成されるすべてのコンピューターは、Windows Server 2008、Windows Server 2008 R2、またはオペレーティング システムWindows Server 2012実行している必要があります。 Web アプリケーション プロキシ役割サービスを実行するように構成されるすべてのコンピューターは、Windows Server 2012 R2 オペレーティング システムを実行している必要があります。
冗長性を確保するためのフェデレーション サーバーを 1 台使用することをお勧めします。 以下の表はこの推奨事項に従います。
クラウド サービスにアクセスしているユーザーの数 | 展開する最小サーバー数 | 推奨事項と手順 |
---|---|---|
1,000 ユーザー未満 |
専用のフェデレーション サーバー 0 台 0 専用プロキシ 専用の NLB サーバー 1 台 |
フェデレーション サーバーの場合は、2 つの既存の Active Directory ドメイン コントローラー (DC) を使用し、両方をフェデレーション サーバーの役割用に構成します。 これを行うには、最初に既存の 2 つの DC を選択してから、以下の手順に従います。
NLB には、既存の NLB ホストを構成するか専用のサーバーを用意し、NLB サーバーの役割をインストールしてから NLB サーバーを構成します。 プロキシの場合、2 台の既存の Web サーバーまたはプロキシ サーバーを使って、その両方をフェデレーション サーバー プロキシ役割用または Web アプリケーション プロキシ役割用に構成します。 これを行うには、エクストラネットに存在する既存の 2 つの Web またはプロキシ サーバーを選択して、以下の手順に従います。
注意 2 つの既存の DC と 2 つの Web サーバーまたはプロキシ サーバーがない場合、またはサーバー 2008、Windows Windows Server 2008 R2、Windows Server 2012、または Windows Server 2012 R2 で実行されていない場合は、代わりに、この表の次の行で説明するように専用サーバーを展開する必要があります。 重要 Windows Server 2012 で AD FS 2.0 または AD FS を使用している場合、フェデレーション サーバー プロキシを展開し、設定する必要があります。 Windows Server 2012 R2 で AD FS を使用している場合、Web アプリケーション プロキシのみを設定し、展開できます。 Windows Server 2012 R2 で、エクストラネット アクセスの AD FS を設定するために、リモート アクセス サーバー ロールの新しいロール サービスである、Web アプリケーション プロキシが使用されます。 |
10,000 ~ 15,000 ユーザー |
2 つの専用フェデレーション サーバー 2 つの専用プロキシ |
フェデレーション サーバーには 2 台の専用サーバーを用意し、以下の手順に従います。
プロキシの場合、エクストラネットに展開できる 2 台の専用サーバーを取得します。
重要 Windows Server 2012 で AD FS 2.0 または AD FS を使用している場合、フェデレーション サーバー プロキシを展開し、設定する必要があります。 Windows Server 2012 R2 で AD FS を使用している場合、Web アプリケーション プロキシのみを設定し、展開できます。 Windows Server 2012 R2 で、エクストラネット アクセスの AD FS を設定するために、リモート アクセス サーバー ロールの新しいロール サービスである、Web アプリケーション プロキシが使用されます。 |
15,000 ~ 60,000 ユーザー |
専用のフェデレーション サーバー 3 ~ 5 台 最低 2 台の専用プロキシ |
1 台の専用フェデレーション サーバーごとに約 15,000 ユーザーをサポートできます。 そのため、クラウド サービスへのアクセスを必要とする 15,000 人のユーザーごとに、ファーム内の最大 5 つのフェデレーション サーバーまたは 60,000 人のユーザーに対して、前に説明した基本 2 つのフェデレーション サーバー展開に専用のフェデレーション サーバーを追加します。 注意 WID を使って構成した AD FS フェデレーション サーバー ファームは、最大 5 台のフェデレーション サーバーをサポートします。 5 台を越えるフェデレーション サーバーが必要な場合、SQL Server データベースを構成して、AD FS 構成データベースを保存する必要があります。 このオプションの詳細については、「Configuring Advanced Options for AD FS 2.0 (AD FS 2.0 の詳細オプションを構成する)」を参照してください。 |
前述の表に示したサーバーの推奨事項に対する最小ユーザー数は、以下のハードウェアに基づいて算出されています。
ハードウェア | 仕様 |
---|---|
CPU 速度 |
デュアル クアッド コア 2.27 GHz CPU (8 コア) |
RAM |
4 ギガバイト (GB) |
ネットワーク |
ギガビット |
フェデレーション サーバーを追加してパフォーマンスを向上させる
NLB テクノロジを使って、1 つのファーム内に 2 台以上のフェデレーション サーバーを構成する場合、これらのサーバーを個別に運用することで、サービス全体のパフォーマンスを低下させることなく、AD FS フェデレーション サービスに対して、ユーザーから受信する要求の負荷を処理することできます。 そのため、ネットワークに最初のフェデレーション サーバーを戦略的に展開した後に、既存の運用環境にフェデレーション サーバーを追加しても、これに関連するオーバーヘッドはほとんどありません。
次のステップ
AD FS の展開を計画したら、次の手順として 、AD FS を展開するための要件を確認します。