アカウント パートナー組織の構成に関するチェックリスト
アカウント パートナー組織には、リソース パートナーの Web ベース アプリケーションにアクセスするユーザーが含まれます。 この組織の管理者は、AD FS 管理スナップインを使用して、アカウント パートナー組織との信頼関係を表す要求プロバイダー信頼を作成する必要があります。 さらに、アカウント パートナー管理者は、信頼したいと考えるアカウント パートナー組織ごとに証明書利用者信頼を作成する必要があります。
このチェックリストには、アカウント パートナー組織に Active Directory フェデレーション サービス (AD FS) (AD FS) をデプロイするためのタスクが含まれています。 また、フェデレーション パートナーシップの 2 分の 1 を確立するために必要なコンポーネントを構成するためのタスクも含まれています。
Web SSO 設計を展開している場合は、このチェックリストに従う必要があります。 ただし、このチェックリストのタスクを完了してフェデレーション Web SSO 設計を正常に展開する必要があります。
重要
アカウント パートナー組織の管理者がチェックリスト: アカウント パートナー組織の構成のガイダンスに従っていることを確認して、必要なすべての展開タスクが行われてフェデレーション パートナーシップの後半が正常に作成されるようにしてください。
注意
このチェックリストのタスクは順番に実行してください。 参照リンクによって手順に移動した場合は、このチェックリストの残りのタスクを進めることができるように、その手順の作業が完了したらこのトピックに戻ります。
チェックリスト: アカウント パートナー組織の構成
| タスク | リファレンス |
|---|---|
| 既存の AD FS 1.0 または 1.1 の展開が現在の運用環境にある場合は、右側のリンクで、現在のフェデレーション サービス から新しい AD FS フェデレーション サービスに設定を移行する方法の詳細について参照してください。 AD FS を使用して AD FS を組織に初めて展開する場合は、この手順をスキップし、このチェックリストの次のタスクに進み、新しいリソース パートナー組織を設定する方法について説明します。 |  AD FS2.0 への移行の計画 |
| 展開の目標に基づいて、フェデレーション アプリケーションへのアクセスをユーザーに提供するために必要なコンポーネントに関する情報を確認します。 | Active Directory ユーザーに要求に対応するアプリケーションとサービスへのアクセスを提供する |
| どの AD FS 設計にこのリソース パートナー 組織が関連付けられるかを判定します。 | Web SSO 設計 |
| AD FS サーバーの展開を開始する前に、1.) AD FS 構成データベースを格納する場合に Windows Internal Database (WID) と SQL Server のいずれかを選ぶ場合の利点と欠点 2.) AD FS 展開トポロジの種類と、関連するサーバー配置とネットワーク レイアウトに関する推奨事項について確認します。 | AD FS 展開トポロジを特定する |
| AD FS 容量計画ガイダンスを確認して、ご使用の運用環境で使用する必要があるフェデレーション サーバーとフェデレーション サーバー プロキシ サーバーの適切な数を決めます。 | AD FS サーバーの容量計画 |
| アカウント パートナー展開の物理トポロジを効果的に計画して実装するには、AD FS 設計に 1 つ以上のフェデレーション サーバーまたはフェデレーション サーバー プロキシが必要かどうかを判断します。 |  チェックリスト:フェデレーション サーバーのセットアップ |
| AD FS に追加する属性ストアの種類を決めます。 次に、その属性ストアを AD FS 管理スナップインを使用して追加します。 | 属性ストアの役割 |
| AD FS 1.0 と 1.1 のいずれかのフェデレーション サービス を使用しているアカウント パートナーに要求を送ったりこのパートナーからの要求を使用する必要がある場合は、AD FS を以前のバージョンの AD FS と相互運用するために構成する方法の詳細について、右側のリンクを参照してください。 アカウント パートナー組織も AD FS を使用してあなたの組織と要求の送信や使用を行っている場合は、この手順をスキップして、このチェックリストの次のタスクに進みます。 | AD FS 1.x との相互運用性の計画 |
| アカウント パートナーの組織に最初のフェデレーション サーバーを展開した後で、AD FS 管理スナップインを使用して、証明書利用者信頼リレーションシップを作成します。 証明書利用者信頼を作成するには、リソース パートナーに関するデータを手動で入力するか、リソース パートナーの組織の管理者から入手したフェデレーション メタデータ URL を使用します。 このフェデレーション メタデータを使用して、リソース パートナーに関するデータを自動的に取得することができます。 注:リソース パートナーによってフェデレーション メタデータが公開されている場合、またはそのデータをコピーしたファイルが提供される場合には、時間を節約するために、そのデータを自動的に取得することをお勧めします。 |  証明書利用者の信頼を手動で作成する |
| 組織のニーズに応じて、AD FS 管理スナップインで指定されている証明書利用者信頼ごとに 1 つ以上の要求規則セットを作成して、要求が適切に発行されます。 | チェックリスト: 証明書利用者信頼の要求規則の作成 |
| 組織のニーズを満たす要求記述が存在しない場合は、作成する必要があります。 Active Directory フェデレーション サービス (AD FS) には、AD FS 管理スナップインで公開される既定の要求記述のセットが付属しています。 | 要求記述の追加 |
| 組織が ID 委任を使用して、指定したアカウントを "として機能" するか、他のユーザーの権限を借用するように制限する必要があるかどうかを判断します。 これは、多くの場合、フロントエンド Web アプリケーションがフロントエンド Web サービスと対話する必要がある場合に必要です。 | ID の委任を使用する場合 |
| 次の方法で、フェデレーション用にクライアント コンピューターを準備します: - アカウント パートナーフェデレーション サーバーの URL をクライアント ブラウザーの信頼済みサイトの一覧に追加します。 |
アカウント パートナーでクライアント コンピューターを準備する |