スタンドアロン フェデレーション サーバーを作成する

• 適用対象:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

コンピューターにフェデレーション サービス役割サービスをインストールし、必要な証明書を構成したら、フェデレーションサーバーになるようにコンピューターを構成できます。 次の手順を使用して、コンピューターをスタンドアロン のフェデレーション サーバーに設定できます。 ファームに最初のスタンドアロンフェデレーション サーバーが作成されると、新しいフェデレーション サービスも作成されます。 AD FS フェデレーション サーバー構成ウィザード を使用して、新しいフェデレーション サーバーを作成する。

注意

フェデレーション Web シングルサインオン (SSO) の設計には、アカウント パートナー組織に少なくとも 1 つのフェデレーション サーバーが、リソース パートナー組織に少なくとも 1 つのフェデレーション サーバーが必要です。 詳細については、「フェデレーション サーバーの配置場所」を参照してください。

この手順を完了するには、ローカル コンピューター上の Administrators または同等のメンバーシップが最低限必要です。 適切なアカウントの使用方法の、既定のグループのグループ メンバーシップ ローカルおよびドメインの詳細を確認します(http://go.microsoft.com/fwlink/?LinkId=83477).

スタンドアロン フェデレーション サーバーを作成する

1. AD FS フェデレーション サーバー構成ウィザードを開始するには 2 つの方法があります。 ウィザードを開始するには、次のいずれかを実行します。

   • Federation Service ロール サービスのインストールが完了したら、AD FS 管理スナップインを開き、[概要] ページまたは [アクション] ペインで [AD FS フェデレーション サーバー構成ウィザード] リンクを開きます。

   • セットアップ ウィザードを終了した後、Windows Explorer を開き、C:\Windows\ADFS フォルダーに従って、FsConfigWizard.exe をダブルクリックします。

2. [ようこそ] ページで、[新しいフェデレーション サービスの作成] が選択されているのを確認し、[次へ] をクリックします。

3. [スタンドアロンまたはファームへの展開の選択] ページで、[スタンドアロンフェデレーション サーバー ファーム] をクリックして、[次へ] をクリックします。

   重要

   AD FS フェデレーション サーバー構成ウィザードで [スタンドアロンフェデレーション サーバー] オプションを選択すると、この フェデレーション サービス に関連付けられているサービス アカウントが自動的に NETWORK SERVICE アカウントに割り当てられます。 NETWORK SERVICE をサービス アカウントとして使用する方法は、テスト ラボ環境でAD FSする場合にのみお勧めします。 スタンドアロン フェデレーション サーバー オプションを使用して、フェデレーション サーバーを実稼働環境に展開する場合は、このサービス アカウントを、この新しい フェデレーション サービス に対する要求の処理専用にできるより適切なサービス アカウントに変更することが重要です。 サービス アカウントを NETWORK SERVICE 以外のアカウントに変更すると、フェデレーション サーバーが悪意のある攻撃に対して脆弱になる可能性のある攻撃ベクトルが軽減されます。

4. [フェデレーション サービス名の指定] ページで、表示されている [SSL 証明書] が正しいことを確認します。 存在しない場合は、SSL 証明書の一覧から適切な 証明書を選択 します。

   この証明書は、既定の Web サイトの Secure Sockets Layer (SSL) の設定から生成されます。 既定の Web サイトで SSL 証明書が 1 つしか構成されていない場合は、その証明書が提示され、自動的に選択されて使用されます。 既定の Web サイトで複数の SSL 証明書が構成されている場合は、それらすべての証明書がここに示され、その中から 1 つを選ぶ必要があります。 既定の Web サイトで SSL 設定が構成されていない場合は、ローカル コンピューター上の個人証明書ストアで使用できる証明書から一覧が生成されます。

   注意

   IIS に対して SSL 証明書が構成されていない場合、証明書をオーバーライドすることはできません。 このしくみにより、SSL 証明書について以前に意図的に行われた IIS 構成はすべて維持されます。 このような制約を回避したい場合は、証明書を削除するか、IIS 管理コンソールを使って証明書を手動で再構成できます。

5. 選択した AD FS データベースが既に存在する場合、[既存の AD FS 構成データベースの検出] ページが表示されます。 その場合は、[データベースを削除] をクリックして、[次へ] をクリックします。

   注意事項

   このオプションを選択するのは、AD FS データベース内のこのデータが重要でないか、実稼働フェデレーション サーバー ファームで使用されていないことが明らかな場合のみにしてください。

6. [設定の適用準備] ページで、詳細を確認します。 設定が正しいと思われる場合は、[次へ] をクリックして、これらの設定で AD FS の構成を開始します。

7. [構成結果] ページで作業内容を確認します。 すべての構成手順が終了したら、[閉じる] をクリックしてウィザードを終了します。

その他の参照情報

チェックリスト:フェデレーション サーバーのセットアップ