Active Directory フェデレーション サービス (AD FS) では、フェデレーション ID デザイン (フェデレーション シナリオとも呼ばれます) がサポートされます。フェデレーション ID デザインでは、Web Services Federation (WS-Federation)、WS-Federation のパッシブな要求側プロファイル (WS-F PRP)、および WS-Federation のパッシブな要求側相互運用性プロファイルの仕様が利用されます。AD FS ソリューションは、組織がユーザーの ID 情報を、フェデレーションの信頼を通じてセキュリティで保護された状態で共有できるようにすることで、管理者がフェデレーション ID 管理の課題に対処するのに役立ちます。次の 3 つの展開デザインでは、組織のニーズに応じて、AD FS サーバーの役割を組み合わせて使用し、ID のフェデレーションを作成する方法を説明します。さまざまなサーバーの役割の詳細については、「AD FS の役割サービスとは」を参照してください。

フェデレーション Web SSO

フェデレーション Web シングル サインオン (SSO) デザインでは、セキュリティで保護された通信が行われます。この通信では、多くの場合、インターネット ルーティング インフラストラクチャ全体に加え、複数のファイアウォール、境界ネットワーク、および名前解決サーバーも通信の対象となります。フェデレーション Web SSO 環境を経由する通信は、フェデレーションの信頼関係で結ばれている組織間のオンライン トランザクションをより効率的かつセキュリティで保護された状態で行うことを促進するのに役立ちます。

次の図に示すように、フェデレーションの信頼関係は 2 つの企業間で確立できます。このデザインでは、フェデレーション サーバーが Tailspin Toys のユーザー アカウントからの認証要求を Online Retailer のネットワーク内にある Web ベースのアプリケーションに転送します。

フェデレーションされた Web SSO シナリオ

フェデレーション サーバーは、パートナーの資格情報に基づいて、信頼されたパートナーからの要求を認証します。資格情報は、セキュリティ トークンの形式で交換されます。

セキュリティを強化するために、フェデレーション サーバー プロキシを使用して、インターネットから直接アクセスできないフェデレーション サーバーに要求をリレーできます。

フォレストの信頼を持つフェデレーション Web SSO

フォレストの信頼を持つフェデレーション Web SSO デザインでは、次の図のように、単一の組織内に 2 つの Active Directory フォレストが含まれます。フォレストの 1 つは、組織の境界ネットワーク内にあります (境界ネットワークは非武装地帯、エクストラネット、またはスクリーン サブネットとも呼ばれます)。もう 1 つのフォレストは、内部ネットワーク内にあります。境界ネットワーク内のフォレストが内部ネットワーク内のフォレストを信頼するように、一方向のフォレストの信頼が確立されます。フェデレーション サーバーは両方のネットワークで展開されます。アカウントがイントラネット フォレストからサイトにアクセスするか、インターネットからアクセスするかに関係なく、内部フォレストのアカウントを使用して境界ネットワークの Web ベースのアプリケーションにアクセスできるように、フェデレーションの信頼関係が確立されます。

フェデレーションされた Web SSO とフォレストの信頼を使用するシナリオ

このデザインでは、顧客などの外部ユーザーは、境界ネットワークにある外部アカウント フェデレーション サーバーへの認証を行うことにより、Web アプリケーションにアクセスできます。外部ユーザーは、境界ネットワークの Active Directory フォレストにユーザー アカウントを持っています。社員などの内部ユーザーも、内部ネットワークにある内部アカウント フェデレーション サーバーへの認証を行うことにより、Web アプリケーションにアクセスできます。内部ユーザーは、内部の Active Directory フォレストにアカウントを持っています。

Web ベースのアプリケーションが Windows NT トークン ベースのアプリケーションである場合、Web アプリケーション サーバー上で実行されている AD FS Web エージェントによって、要求が傍受され、Web アプリケーションでの承認の判断に必要な Windows NT セキュリティ トークンが作成されます。外部ユーザーの場合、Windows NT トークン ベースのアプリケーションをホストする AD FS が有効な Web サーバーが外部フォレストのドメインに参加しているため、このことが可能になります。内部ユーザーの場合、境界領域フォレストと内部フォレスト間に存在するフォレストの信頼関係によって可能になります。

Web ベースのアプリケーションが要求に対応するアプリケーションである場合、Web アプリケーション サーバー上で実行されている AD FS Web エージェントでは、ユーザーのために Windows NT セキュリティ トークンを作成する必要はありません。AD FS Web エージェントは、受け取った要求を公開できます。これにより、アプリケーションは、アカウント フェデレーション サーバーによって提供されたセキュリティ トークンの内容に基づいて承認の判断を行うことができます。結果として、要求に対応するアプリケーションを展開する場合、AD FS が有効な Web サーバーはドメインに参加する必要がなく、外部フォレストから内部フォレストへの信頼は必要ありません。

Web SSO

AD FS Web SSO デザインでは、ユーザーは、複数の Web ベースのアプリケーションにアクセスするために 1 回だけ認証する必要があります。このデザインでは、すべてのユーザーが外部であり、フェデレーションの信頼は存在しません。AD FS が有効な Web サーバーはインターネット アクセスが可能になっている必要があります。また、Active Directory ドメインに参加する必要もあります。これらの理由により、AD FS 対応 Web サーバーは 2 つのネットワークに接続されます。つまり、マルチホームとなります。1 つ目のネットワークは、必要な接続を提供するための、インターネット用ネットワーク (境界ネットワーク) です。2 つ目のネットワークには、インターネットに直接アクセスできない Active Directory フォレスト (保護されたネットワーク) が含まれます。フェデレーション サーバー プロキシもマルチホームであり、フェデレーション サーバーとインターネットに必要な接続を提供します。このデザインでは、インターネットから直接アクセスできないネットワーク上にフェデレーション サーバーを配置することで、フェデレーション サーバーへのリスクが大幅に軽減されます。

Web SSO シナリオ

目次