チェックリスト: フェデレーション サーバーのセットアップ
このチェックリストには、Active Directory フェデレーション サービス (AD FS) のフェデレーション サーバー ロールに対して Windows Server® 2012 を実行するサーバーを準備するために必要な展開タスクが含まれています。
注意
このチェックリストのタスクは順番に実行してください。 参照リンクによって手順に移動した場合は、このチェックリストの残りのタスクを進めることができるように、その手順の作業が完了したらこのトピックに戻ります。
チェックリスト: フェデレーション サーバーのセットアップ
| タスク | リファレンス |
|---|---|
| AD FS フェデレーション サーバーの展開を開始する前に、1.) AD FS 構成データベースを格納する場合に Windows Internal Database (WID) と SQL Server のいずれかを選ぶ場合の利点と欠点 2.) AD FS 展開トポロジの種類と、関連するサーバー配置とネットワーク レイアウトに関する推奨事項について確認します。 |  AD FS 展開トポロジを特定する |
| AD FS 容量計画ガイダンスを確認して、ご利用の実稼働環境で使用する必要があるフェデレーション サーバーの適切な数を決定します。 | フェデレーション サーバーの容量を計画する |
| 組織内でフェデレーション サーバーを配置する場所については、AD FS 設計ガイドの情報を確認してください。 | フェデレーション サーバーの配置を計画する |
| ご利用の展開に対してスタンドアロンのフェデレーション サーバーの方が適切かまたはフェデレーション サーバー ファームの方が適切かを判断します。 | フェデレーション サーバーの作成タイミング |
| この新しいフェデレーション サーバーを、アカウント パートナー組織に作成するかまたはリソース パートナー組織に作成するかどうかを決定します。 | アカウント パートナー内のフェデレーション サーバーの役割を確認する |
| フェデレーション サーバーがサービス通信証明書とトークン署名証明書を使用して、クライアントとフェデレーション サーバーのプロキシ要求を安全に認証する方法に関する情報を確認します。 注意:https://myserver などの非修飾ホスト名を証明書と組み合わせて使用することは長い間一般に行われてきていますが、そのような証明書はセキュリティの値を持たないため、エンタープライズ クライアントに対するフェデレーション サービスの偽装が攻撃者によって行われる可能性があります。 このため、https://myserver.contoso.com のような完全修飾ドメイン名 (FQDN) を使用し、フェデレーション サービスの FQDN に発行された SSL 証明書のみを使用することをお勧めします。 | フェデレーション サーバーの証明書の要件 |
| フェデレーション サーバーへの名前解決が正常に行われるように、企業ネットワークのドメイン ネーム システム (DNS) を更新する方法についての情報を確認します。 | フェデレーション サーバーの名前解決の要件 |
| フェデレーション サーバーになるコンピューターを、アカウント パートナー フォレストまたはリソース パートナー フォレスト内のドメインに参加させます。このサーバーは、そのフォレストまたは信頼するフォレストのユーザーの認証に使用されます。 注: アカウント パートナー組織でフェデレーション サーバーをセットアップする場合は、まず、そのコンピューターをフォレスト内の任意のドメインに参加させる必要があります。そこでフェデレーション サーバーを使用して、そのフォレストまたは信頼するフォレストからのユーザーを認証します。 |  コンピューターがドメインに参加する |
| 企業ネットワークの DNS に新しいリソース レコードを作成し、フェデレーション サーバーの DNS ホスト名がフェデレーションサーバーの IP アドレスをポイントするようにします。 | フェデレーション サーバーの企業 DNS にフェデレーション サーバーのホスト (A) リソース レコードを追加する |
| (オプション) フェデレーション サーバーをフェデレーション サーバー ファームに追加する場合は、最初に既存のトークン署名証明書 (ファーム内の最初のフェデレーション サーバー上) の秘密キーをエクスポートして、他のフェデレーション サーバーが同じ証明書をインポートする必要があるときに、証明書のファイル形式を使用できるようにすることが必要になる場合があります。 発行済みのサーバー認証証明書を複数のコンピューターで再利用できる (エクスポートする必要がない) 場合や、ファーム内の各フェデレーション サーバー用に一意のサーバー認証証明書を取得する場合は、秘密キーをエクスポートする必要はありません。 注: AD FS 管理スナップインは、サービス通信証明書としてフェデレーション サーバーのサーバー認証証明書を参照します。 |
サーバー認証証明書の秘密キー部分のエクスポート |
| 証明機関 (CA) からサーバー認証証明書 (または秘密キー) を入手したら、の各フェデレーション サーバーの既定の Web サイトにその証明書をインポートする必要があります。 注: AD FS フェデレーション サーバー構成ウィザードを使用する前に、この証明書を既定の Web サイトにインストールすることが必要です。 | 既定の Web サイトにサーバー認証証明書をインポートする |
| (オプション) CA からサーバー認証証明書を取得する代わりに、インターネット インフォメーション サービス (IIS) を使用してフェデレーション サーバーのサンプル証明書を作成できます。 注意: 自己署名サーバー認証証明書を使用して運用環境にフェデレーション サーバーを展開することは、セキュリティ上のベスト プラクティスではありません。 | IIS: 自己署名サーバー証明書を作成して、サーバー認証証明書を既定の Web サイトにインポートする手順を完了します |
| アカウント パートナー組織でフェデレーション サーバー ファーム環境を構成する場合は、ファームが存在する Active Directory Domain Services (AD DS) で専用のサービス アカウントを作成して構成し、このアカウントを使用するようにファーム内の各フェデレーション サーバーを構成する必要があります。 この手順を実行することで、企業ネットワーク上のクライアントが、ファーム内の任意のフェデレーション サーバーに対して Windows 統合認証を使用して認証できるようになります。 | フェデレーション サーバー ファームのサービス アカウントを手動で構成する |
| フェデレーション サーバーになるコンピューターにフェデレーション サービスの役割サービスをインストールします。 | フェデレーション サービスの役割サービスをインストールする |
| AD FS フェデレーション サーバー構成ウィザードを使用して、フェデレーション サーバー ロールで動作するコンピューター上で、AD FS ソフトウェアを構成します。 スタンドアロン フェデレーション サーバーをセットアップする場合、新しいファームに最初のフェデレーション サーバーを作成する場合、または既存のフェデレーション サーバーファームにコンピューターを参加させる場合は、次の手順に従います。 注: フェデレーション Web シングルサインオン (SSO) 設計では、アカウント パートナー組織に 1 つ以上のフェデレーションサーバー、リソース パートナー組織に 1 つ以上のフェデレーションサーバーがそれぞれ必要です。 |
スタンドアロン フェデレーション サーバーの作成 |
| (オプション) AD FS 管理スナップインを使用して、設計を展開するために必要な AD FS 証明書を追加して構成します。 スナップインを使用して証明書を追加または変更するタイミングの詳細については、「フェデレーションサーバーの証明書の要件」を参照してください。 |  トークン署名証明書を追加する |
| これが組織内の最初のフェデレーション サーバーである場合は、AD FS の設計に準拠するようにフェデレーション サービスを構成します。 | チェックリスト: アカウント パートナー組織の構成 |
| クライアント コンピューターから、フェデレーション サーバーが動作可能であることを確認します。 | フェデレーション サーバーが稼働していることを確認する |