次の方法で共有


Active Directory ユーザーに他の組織のアプリケーションとサービスへのアクセスを提供する

この Active Directory フェデレーション サービス (AD FS) 展開の目標は、Active Directory ユーザーに要求に対応するアプリケーションとサービスへのアクセスを提供するという目標に基づいています。

アカウント パートナー組織の管理者が、別の組織のホストされているリソースへのフェデレーション アクセスを従業員に提供することを展開の目的とする場合、次のようになります。

  • 企業ネットワークの Active Directory ドメインにログオンしている従業員は、シングル サインオン (SSO) 機能を使用して複数の Web ベース アプリケーションやサービスにアクセスでき、アプリケーションまたはサービスが別の組織にある場合は、AD FS によってセキュリティ保護されます。 詳細については、次を参照してください。 フェデレーション Web SSO デザインします。

    たとえば、Fabrikam が、Contoso でホストされている Web サービスへのフェデレーション アクセスを、企業ネットワークの従業員に提供するような場合です。

  • Active Directory ドメインにログオンしているリモートの従業員は、組織のフェデレーション サーバーから AD FS トークンを取得して、別の組織でホストされている AD FS でセキュリティ保護された Web ベースのアプリケーションまたはサービスへのフェデレーション アクセスを取得できます。

    たとえば、Fabrikam には、そのリモートの社員へのフェデレーションは、Fabrikam 企業ネットワーク上にある fabrikam 社の従業員を必要とせず、Contoso, でホストされる AD FS で保護されたサービスへのアクセスができます。

Provide Your Active Directory Users Access to Your Claims-Aware Applications and Services 」で説明されていて、次の図で影の付いている基本コンポーネントに加えて、この展開の目的には次のコンポーネントが必要です。

  • アカウント パートナー フェデレーション サーバー プロキシ: フェデレーション サービスまたはアプリケーションがインターネットからアクセスする従業員は、この AD FS のコンポーネントを使用して認証を実行します。 既定では、このコンポーネントはフォーム認証を実行しますが、基本認証も実行できます。 また、組織の従業員が提示する証明書を持っている場合は、Secure Sockets Layer (SSL) クライアント認証を実行するようにこのコンポーネントを構成することもできます。 詳細については、「フェデレーション サーバー プロキシを配置する場所」を参照してください。

  • 境界 DNS: この実装のドメイン ネーム システム (DNS) は、境界ネットワークにホスト名を提供します。 フェデレーション サーバー プロキシの境界の DNS を構成する方法の詳細については、次を参照してください。 フェデレーション サーバー プロキシの名前解決要件します。

  • リモート従業員: リモートの社員は、インターネットを使用してオフサイトにいる間、企業ネットワークからの有効な資格情報を使用して、(サポートされている Web ブラウザーを使用して) Web ベース アプリケーションに、または (アプリケーションを使用して) Web ベース サービスにアクセスします。 リモートの場所に、従業員のクライアント コンピューターは、トークンを生成して、アプリケーションまたはサービスに対する認証をフェデレーション サーバー プロキシと直接通信します。

リンク先のトピックの情報を確認した後は、「 Checklist: Implementing a Federated Web SSO Design」の手順に従って、この目標のデプロイを開始できます。

次の図は、この AD FS 展開の目的に必要なコンポーネントの各を示します。

access to your apps

参照

Windows Server 2012 での AD FS 設計ガイド