属性ストアの役割

Active Directory フェデレーション サービス (AD FS) では、組織のユーザー アカウントと、その属性値を格納するために使用されるディレクトリやデータベースのことを、"属性ストア" と呼びます。 これは ID プロバイダー組織で構成された後、AD FS ではこれらの属性値がストアから取得されます。 その情報に基づいて信頼性情報を作成します。これにより、証明書利用者組織でホストされている Web アプリケーションやサービスは、フェデレーション ユーザー (アカウントが ID プロバイダー組織に格納されているユーザー) がアプリケーションやサービスにアクセスしようとしたときに、適切な承認決定を下せるようになります。

信頼性情報を生成する方法の詳細については、「要求の役割」を参照してください。

AD FS の展開目標に属性ストアを適合させる方法

ユーザー ID をサポートするために AD FS をどのように設計すればよいかは、ユーザー属性ストアの場所と、ユーザーの認証元の場所によって決まります。 属性ストアが置かれる場所と、ユーザーがアプリケーションにアクセスする場所 (イントラネットまたはインターネット) に応じて、次のいずれかの展開目標を使用できます。

• Active Directory ユーザーに、要求に対応するアプリケーションとサービスへのアクセスを提供する。 このシナリオでは、組織内のユーザーは、会社のイントラネットで Active Directory にサインインしたとき、AD FS によって保護されているアプリケーションまたはサービスにアクセスします。 アプリケーションまたはサービスは、独自のものでもパートナーのものでもかまいません。

• Active Directory ユーザーに、他の組織のアプリケーションとサービスへのアクセスを提供する。 このシナリオでは、組織内のユーザーは、企業イントラネット内の属性ストアにサインインし、インターネットからリモートでサインインしたときに、AD FS によって保護されているアプリケーションまたはサービスにアクセスします。 アプリケーションまたはサービスは、独自のものでもパートナーのものでもかまいません。

• 別の組織のユーザーに、要求に対応するアプリケーションやサービスへのアクセスを提供する。 このシナリオでは、別の組織の企業イントラネット上の属性ストアに格納されているその組織内のユーザー アカウントは、組織内の AD FS によって保護されたアプリケーションにアクセスする必要があります。 このシナリオは、組織の境界ネットワーク内の属性ストアに格納されているコンシューマー ベースのユーザー アカウントに、AD FS で保護された組織内アプリケーションへのアクセスを提供する必要がある場合にも使用できます。

属性ストアの場所や、組織のその他の要件に応じて、これらの展開目標を組み合わせ、AD FS の展開を設計できます。

AD FS でサポートされている属性ストア

AD FS では、さまざまなディレクトリおよびデータベース ストアがサポートされています。 これらを使用して、管理者が定義した属性値を抽出し、それらの値を使用して要求を設定できます。 AD FS では、次のディレクトリやデータベースが属性ストアとしてサポートされています。

• Windows Server 2012 と 2012 R2、および Windows Server 2016 以降の Microsoft Entra Domain Services

• SQL Server 2012、SQL Server 2014、および SQL Server 2016 以降のすべてのエディション

• カスタム属性ストア