Active Directory フェデレーション サービス (AD FS) では、次の 3 種類の Cookie が使用されます。

  • 認証 Cookie

  • アカウント パートナー Cookie

  • サインアウト Cookie

認証 Cookie

フェデレーション サービスと AD FS Web エージェントは、どちらも認証 Cookie を発行できます。AD FS Web エージェントは、受信した AD FS セキュリティ トークンを取り込んで Cookie 値として使用します。認証 Cookie を使用した場合の AD FS が有効な Web サーバーでの利点は、公開キーと秘密キーのペアを使用して構成しなくても自分自身の Cookie に対する署名と検証を実行できるということです。フェデレーション サービスは、そのトークンを検証するために必要なすべての情報を発行します。

フェデレーション サービスでは、Cookie 内のセキュリティ トークンには、クライアントに対する組織の要求が保持されます。これらの組織の要求は、特定のリソースに対する出力方向の要求にマップできます。AD FS Web エージェントは、フェデレーション サービスによって発行された Cookie を認証して使用することもできます。AD FS が有効な Web サーバーは、クライアントが AD FS が有効なWeb サーバーにアクセスすると Cookie を受信します。AD FS Web エージェントは、この Cookie を認証して、この Cookie に格納されている要求を使用できます。フェデレーション サービスでトークン、要求、および認証 Cookie がどのように使用されるかの詳細については、「フェデレーション サービス役割サービスとは」を参照してください。

認証 Cookie は、シングル サインオン (SSO) を簡易化します。フェデレーション サービスがクライアントを一度検証した後で、認証 Cookie がクライアントに書き込まれます。フェデレーション サービスは、認証 Cookie の内容を作成して使用しますが、これらの内容がフェデレーション サーバー プロキシによって読み取られることはありません。それ以降の認証は、クライアント資格情報が繰り返し収集される代わりに、この Cookie を使用して行われます。フェデレーション サービス プロキシの詳細については、「フェデレーション サービス プロキシ役割サービスとは」を参照してください。

次の図では、認証 Cookie の内容と、この認証 Cookie を使用する AD FS 役割サービスを示しています。AD FS Web エージェントは、AD FS Web エージェント認証サービス および AD FS Windows トークンベースのエージェントの拡張機能から構成されます。

認証 cookie の内容

認証 Cookie は常にセッション Cookie です。認証 Cookie は、署名されますが暗号化はされません。このことは、AD FS でトランスポート層セキュリティおよび Secure Sockets Layer (TLS/SSL) の使用が必須である理由の 1 つです。

アカウント パートナー Cookie

アカウント パートナー Cookie によって、SSO が簡易化されます。対話型のアカウント パートナー メンバーシップ検出が実行された後に、アカウント パートナー Cookie に有効なトークンが保持されている場合は、この Cookie がクライアントに書き込まれます。それ以降の対話では、クライアントに対してアカウント パートナー メンバーシップ情報を再び要求する代わりに、この Cookie 内の情報が使用されます。アカウント パートナー Cookie は、アカウント パートナー検出プロセスの結果として設定されます。アカウント パートナー検出の詳細については、「フェデレーション サービス役割サービスとは」を参照してください。

アカウント パートナー Cookie は、長期間維持される永続的な Cookie です。この Cookie は署名も暗号化もされません。

サインアウト Cookie

サインアウト Cookie によって、サインオフが簡易化されます。フェデレーション サービスがトークンを発行するたびに、そのトークンのリソース パートナーまたはターゲット サーバーがサインアウト Cookie に追加されます。フェデレーション サービスがサインオフ要求を受信すると、フェデレーション サービスまたはフェデレーション サービス プロキシからそれぞれのトークン ターゲット サーバーに要求が送信され、リソース パートナーや AD FS が有効な Web サーバーによってクライアントに書き込まれた認証成果物 (キャッシュ内の Cookie など) をトークン ターゲット サーバーでクリーンアップするように指示されます。リソース パートナーの場合は、クライアントが使用していたすべての AD FS が有効な Web サーバーにクリーンアップ要求が送信されます。

サインアウト Cookie は常にセッション Cookie です。この Cookie は署名も暗号化もされません。


目次