AD FS 展開トポロジを計画する
Active Directory フェデレーション サービス (AD FS) の展開を計画する最初の手順は、組織のニーズを満たす適切な展開トポロジを決定することです。
この記事を読む前に、AD FS データがフェデレーション サーバー ファーム内の他のフェデレーション サーバーに格納およびレプリケートされる方法を確認し、AD FS 構成データベースに格納されている基になるデータに使用できる目的とレプリケーション方法を理解していることを確認してください。
AD FS 構成データの格納に使用できるデータベースの種類は、Windows Internal Database (WID) と Microsoft SQL Server の 2 つです。 詳細については、「AD FS 構成データベースの役割」を参照してください。 WID または SQL Server を AD FS 構成データベースとして使用する場合に関連するさまざまな利点と制限事項を、サポートするさまざまなアプリケーション シナリオと共に確認し、選択します。
重要
基本的な冗長性、負荷分散、およびフェデレーション サービスをスケーリングするオプション (必要な場合) を実装するには、使用するデータベースの種類に関係なく、すべての運用環境に対してフェデレーション サーバー ファームごとに少なくとも 2 つのフェデレーション サーバーを展開することをお勧めします。
使用する AD FS 構成データベースの種類の決定
AD FS は、データベースを使用して構成を格納し、場合によってはフェデレーション サービスに関連するトランザクション データを格納します。 AD FS ソフトウェアを使用して、組み込みの Windows 内部データベース (WID) または Microsoft SQL Server 2008 以降を選択して、フェデレーション サービスにデータを格納できます。
ほとんどの場合、2 つのデータベースの種類は比較的同等です。 ただし、AD FS で使用できるさまざまな展開トポロジの詳細を読み始める前に、注意すべきいくつかの違いがあります。 次の表では、WID データベースと SQL Server データベースの間でサポートされている機能の違いについて説明します。
| 説明 | 特徴 | WID でサポートされていますか? | SQL Server でサポートされていますか? |
|---|---|---|---|
| AD FS の機能 | フェデレーション サーバー ファームの展開 | はい。 証明書利用者の信頼が 100 個以下の場合、WID ファームのフェデレーション サーバー数は 30 に制限されます WID ファームでは、トークン再生の検出やアーティファクト解決 (セキュリティ アサーション マークアップ言語 (SAML) プロトコルの一部) はサポートされていません。 |
はい。 1 つのファームに展開できるフェデレーション サーバーの数に対して適用される制限はありません |
| AD FS の機能 | SAML アーティファクト解決 注: この機能は、Microsoft Online Services、Microsoft Office 365、Microsoft Exchange、または Microsoft Office SharePoint のシナリオでは必要ありません。 |
いいえ | イエス |
| AD FS の機能 | SAML/WS-Federation トークンリプレイ検出 | いいえ | イエス |
| データベース機能 | プルレプリケーションを用いた基本的なデータベースの冗長化では、読み取り専用コピーをホストする1つ以上のサーバーが、データベースの読み取り/書き込みコピーをホストするソースサーバーで行われた変更を要求します。 | イエス | いいえ |
| データベース機能 | フェールオーバー クラスタリングやミラーリングなどの高可用性ソリューションを使用したデータベースの冗長性 (データベース レイヤーのみ) 注: すべての AD FS 展開トポロジでは、AD FS サービス レイヤーでのクラスタリングがサポートされます。 | いいえ | イエス |
SQL Server に関する考慮事項
AD FS 展開の構成データベースとして SQL Server を選択する場合は、次のデプロイの事実を考慮する必要があります。
SAML 機能とそのデータベース サイズと増加への影響。 SAML アーティファクト解決または SAML トークンリプレイ検出機能が有効になっている場合、AD FS は発行された各 AD FS トークンの情報を SQL Server 構成データベースに格納します。 このアクティビティの結果としての SQL Server データベースの増加は重要とは見なされず、構成されたトークンリプレイリテンション期間によって異なります。 各成果物レコードのサイズは約 30 KB です。
デプロイに必要なサーバーの数。 SQL Server インスタンスの専用ホストとして機能するサーバーを少なくとも 1 つ追加する必要があります (AD FS インフラストラクチャのデプロイに必要なサーバーの合計数)。 フェールオーバー クラスタリングまたはミラーリングを使用して SQL Server 構成データベースのフォールト トレランスとスケーラビリティを提供する予定の場合は、少なくとも 2 つの SQL サーバーが必要です。
選択した構成データベースの種類がハードウェア リソースに与える影響
SQL Server データベースを使用してファームに展開されるフェデレーション サーバーとは対照的に、WID を使用してファームに展開されているフェデレーション サーバー上のハードウェア リソースへの影響は重要ではありません。 ただし、ファームに WID を使用する場合、そのファーム内の各フェデレーション サーバーは、AD FS 構成データベースのローカル コピーのレプリケーションの変更を格納、管理、および維持する必要があり、フェデレーション サービスで必要な通常の操作を引き続き提供する必要があることを考慮することが重要です。
これに対し、SQL Server データベースを使用するファームに展開されるフェデレーション サーバーには、必ずしも AD FS 構成データベースのローカル インスタンスが含まれているとは限りません。 そのため、ハードウェア リソースに対する要求が若干少なくなる可能性があります。
フェデレーション サーバーを配置する場所
セキュリティのベスト プラクティスとして、AD FS フェデレーション サーバーをファイアウォールの内側に配置し、企業ネットワークに接続してインターネットからの露出を防ぎます。 フェデレーション サーバーにはセキュリティ トークンを付与するための完全な承認があるため、これは重要です。 そのため、ドメイン コントローラーと同じ保護が必要です。 フェデレーション サーバーが侵害された場合、悪意のあるユーザーはすべての Web アプリケーションと AD FS によって保護されているフェデレーション サーバーにフル アクセス トークンを発行する機能を持ちます。
注
セキュリティのベスト プラクティスとして、フェデレーション サーバーにインターネットで直接アクセスすることは避けてください。 テスト ラボ環境を設定している場合、または組織に境界ネットワークがない場合にのみ、フェデレーション サーバーに直接インターネット アクセスを提供することを検討してください。
一般的な企業ネットワークでは、企業ネットワークと境界ネットワークの間にイントラネットに接続されたファイアウォールが確立され、多くの場合、境界ネットワークとインターネットの間にインターネットに接続するファイアウォールが確立されます。 この状況では、フェデレーション サーバーは企業ネットワーク内に配置され、インターネット クライアントから直接アクセスすることはできません。
注
企業ネットワークに接続されているクライアント コンピューターは、Windows 統合認証を介してフェデレーション サーバーと直接通信できます。
AD FS で使用するファイアウォール サーバーを構成する前に、フェデレーション サーバー プロキシを境界ネットワークに配置する必要があります。
サポートされている展開トポロジ
次の記事では、AD FS で使用できるさまざまな展開トポロジについて説明します。 また、特定のビジネス ニーズに最適なトポロジを選択できるように、各展開トポロジに関連する利点と制限事項についても説明します。