フェデレーション サーバーの展開
Active Directory フェデレーション サービス (AD FS) にフェデレーション サーバーを展開するには、「チェックリスト: フェデレーション サーバーのセットアップ」の各タスクを実行します。
注
このチェックリストを使用する場合は、サーバーの構成手順を開始する前に、まず Windows Server 2012 の AD FS 設計ガイドでフェデレーション サーバー計画への参照を読み取ることをお勧めします。 この方法でチェックリストに従って、フェデレーション サーバーの設計と展開プロセスについて理解を深めます。
フェデレーション サーバーについて
フェデレーション サーバーは、フェデレーション サーバーの役割で動作するように構成されている AD FS ソフトウェアがインストールされた Windows Server 2008 を実行しているコンピューターです。 フェデレーション サーバーは、他の組織のユーザー アカウントや、インターネット上の任意の場所に配置できるクライアント コンピューターから要求を認証またはルーティングします。
AD FS ソフトウェアをコンピューターにインストールし、AD FS フェデレーション サーバー構成ウィザードを使用してフェデレーション サーバーの役割用に構成すると、そのコンピューターはフェデレーション サーバーになります。 また、次を指定できるように、スタート\管理ツール\ メニューでそのコンピューターで AD FS 管理スナップインを使用できるようにします。
パートナー組織とアプリケーションがトークン要求と応答を送信する AD FS ホスト名
パートナー組織とアプリケーションが組織の一意の名前または場所を識別するために使用する AD FS 識別子
サーバー ファーム内のすべてのフェデレーション サーバーがトークンの発行と署名に使用するトークン署名証明書
クライアント のログオン、ログオフ、およびアカウント パートナー検出用にカスタマイズされた ASP.NET Web ページの場所。クライアント エクスペリエンスが向上します。
注
これらのコア ユーザー インターフェイス (UI) 設定の大部分は、各フェデレーション サーバーの web.config ファイルに含まれています。 AD FS ホスト名と AD FS 識別子の値は、web.config ファイルで指定されていません。
フェデレーション サーバーは、提示される資格情報 (ユーザー名やパスワードなど) に基づいてトークンを発行する要求発行エンジンをホストします。 セキュリティ トークンは、1 つ以上の要求を表す暗号署名されたデータ ユニットです。 要求とは、サーバーがクライアントに関して行うステートメント (名前、ID、キー、グループ、特権、機能など) です。 フェデレーション サーバーで (ユーザー ログオン プロセスを通じて) 資格情報が検証されると、指定した属性ストアに格納されているユーザー属性を調べることで、ユーザーの要求が収集されます。
Federated Web Single-Sign-On (SSO) 設計 (2 つ以上の組織が関与する AD FS 設計) では、特定の証明書利用者の要求規則によって要求を変更できます。 要求は、リソース パートナー組織のフェデレーション サーバーに送信されるトークンに組み込まれます。 リソース パートナーのフェデレーション サーバーは、要求を受信要求として受け取った後、要求発行エンジンを実行して、一連の要求規則を実行して、それらの要求をフィルター処理、パススルー、または変換します。 要求は、リソース パートナーの Web サーバーに送信される新しいトークンに組み込まれます。
Web SSO 設計 (1 つの組織のみが関与する AD FS 設計) では、従業員が 1 回ログオンして複数のアプリケーションに引き続きアクセスできるように、1 つのフェデレーション サーバーを使用できます。