信頼性情報に対応したアプリケーションやサービスへのアクセスを別の組織のユーザーに提供する
Active Directory フェデレーション サービス (AD FS) のリソース パートナー組織の管理者で、自分の組織 (リソース パートナー組織) にある信頼性情報に対応したアプリケーションまたは Web ベースのサービスに、別の組織(アカウント パートナー組織)のユーザーがフェデレーション アクセスできるようにするというデプロイ目標がある場合。
あなたの組織と、あなたの組織へのフェデレーション信頼を構成されている組織 (アカウント パートナー組織) の両方のユーザーは、あなたの組織がホストしている、AD FS で保護されたアプリケーションやサービスにアクセスできます。 詳細については、次を参照してください。 フェデレーション Web SSO デザインします。
たとえば、Fabrikam が、Contoso でホストされている Web サービスへのフェデレーション アクセスを、企業ネットワークの従業員に提供するような場合です。
信頼済みの組織に直接関連付けられていないフェデレーション ユーザー (個人の顧客など) は、あなたの境界ネットワークでホストされている属性ストアにログオンした場合、インターネット上にあるクライアント コンピューターから 1 回ログオンすれば、境界ネットワークでホストされている、AD FS で保護された複数のアプリケーションにアクセスできます。 つまり、あなたが顧客アカウントをホストして、境界ネットワークへのアクセスを有効にした場合、属性ストアでホストされた顧客は 1 回ログオンするだけで、境界ネットワーク内の 1 つ以上のアプリケーションやサービスにアクセスできるようになります。 詳細については、次を参照してください。 Web SSO デザインします。
たとえば、Fabrikam が、自社の境界ネットワークでホストされた複数のアプリケーションやサービスへのシングル サインオン (SSO) アクセスを、顧客に提供するような場合です。
このような展開目標を達成するには、次のコンポーネントが必要です。
Active Directory Domain Services (AD DS): リソース パートナーのフェデレーション サーバーは、Active Directory ドメインに参加する必要があります。
境界 DNS: ドメイン ネーム システム (DNS) は、クライアント コンピューターが、リソース パートナーのフェデレーション サーバーと Web サーバーを検出できるようにするために、単純なホスト (A) のリソース レコードを含める必要があります DNS サーバーでは、境界ネットワークにも必要なその他の DNS レコードがホストされる場合があります。 詳細については、「フェデレーション サーバーの名前解決の要件」をご覧ください。
リソース パートナーのフェデレーション サーバー: リソース パートナーのフェデレーション サーバーは、アカウント パートナーに送信される AD FS トークンを検証します。 アカウント パートナーの検出は、このフェデレーション サーバーによって行われます。 詳細については、次を参照してください。 リソース パートナーのフェデレーション サーバーの役割を検討します。
Web サーバー: Web サーバーは、Web アプリケーションと Web サービスのいずれかをホストできます。 Web サーバーは、保護された Web アプリケーションや Web サービスへのアクセスを許可する前に、フェデレーション ユーザーから有効な AD FS トークンを受信したかどうかを確認します。
Windows Identity Foundation (WIF) を使用することで、ユーザー名やパスワードなどの標準的なログオン方法で行われるフェデレーション ユーザー ログオン要求を受け入れるようにするために、Webアプリケーションやサービスを開発することができます。
リンク先のトピックの情報を確認して、次の手順に従って、この目標の展開を開始できます チェックリスト: フェデレーション Web SSO 設計の実装 と チェックリスト: Web SSO 設計の実装します。
次の図は、この AD FS 展開の目的に必要なコンポーネントの各を示します。
