Active Directory フェデレーション サービス (AD FS) が機能できるのは、Windows Server 2008 または Windows Server 2008 R2 を実行しているサーバーが AD FS の適切な役割サービスを使用して構成されている場合のみです。AD FS の役割サービスは AD FS の個別のコンポーネントであり、Windows Server 2008 または Windows Server 2008 R2 を実行しているサーバーにインストールします。役割サービスの追加ウィザードでは、AD FS の次の役割サービスをインストールできます。
-
フェデレーション サービス
-
フェデレーション サービス プロキシ
-
要求に対応するエージェント
-
Windows トークンベースのエージェント
組織の環境に応じて、AD FS サーバーの特定の役割を展開する必要があります。ここでは、AD FS の各役割サービスに関連するサーバーの役割について説明します。これらのサーバーの役割を使用することで、AD FS フェデレーション ID 管理ソリューションを実現できます。
フェデレーション サーバー
フェデレーション サーバーは、AD FS のフェデレーション サービス役割サービスをホストします。これらのサーバーでは、他の組織のユーザー アカウント (フェデレーション Web シングル サインオン (SSO) デザインの場合)、またはインターネット上の任意の場所に存在するクライアント (Web SSO デザインの場合) からの認証要求をルーティングします。AD FS のさまざまなデザインの詳細については、「フェデレーション デザインとは」を参照してください。
フェデレーション サーバーは、提供された資格情報 (たとえば、ユーザー名とパスワード) に基づくトークンを発行するセキュリティ トークン サービスもホストします。資格情報が (ユーザーのログオンによって) 確認されると、Active Directory ドメイン サービス (AD DS) または Active Directory ライトウェイト ディレクトリ サービス (AD LDS) に格納されているユーザーの属性が検証され、ユーザーの要求が収集されます。
フェデレーション サーバーの詳細については、「フェデレーション サービス役割サービスとは」を参照してください。
フェデレーション サーバー プロキシ
フェデレーション サーバー プロキシは、AD FS のフェデレーション サービス プロキシ役割サービスをホストします。フェデレーション サーバー プロキシは、インターネットからアクセスできないフェデレーション サーバーに要求を転送するために、組織の境界ネットワーク (非武装地帯、エクストラネット、またはスクリーン サブネットとも呼ばれます) に展開できます。
 | 注 |
|
個別のサーバーを展開してフェデレーション サービス プロキシ役割サービスをホストすることはできますが、アカウント パートナーまたはリソース パートナーのいずれかのイントラネット フォレストでフェデレーション サーバー プロキシとして機能するように、個別のサーバーを展開する必要はありません。この役割は、フェデレーション サーバーによって自動的に実行されます。 |
フェデレーション サーバー プロキシの詳細については、「フェデレーション サービス プロキシ役割サービスとは」を参照してください。
AD FS が有効な Web サーバー
AD FS Web エージェント (要求に対応するエージェントまたは Windows トークンベースのエージェント) の役割サービスをホストする Web サーバーは、AD FS が有効な Web サーバーとも呼ばれます。これらの Web サーバーでは、サーバーでホストされている Web アプリケーションに対して安全にアクセスすることができます。AD FS Web エージェントでは、AD FS が有効な Web サーバーに送信されるセキュリティ トークンと認証 Cookie を管理します。すべての認証トークンがフェデレーション サービスから送信されるようにするために、AD FS が有効な Web サーバーでは、フェデレーション サービスとの関係が必要になります。
AD FS が有効な Web サーバーの詳細については、「AD FS Web エージェント役割サービスとは」を参照してください。