Active Directory フェデレーション サービス (AD FS) を使用すると、フェデレーションの信頼関係で結ばれているパートナー組織の間で、効率的で安全なオンライン トランザクションが可能になります。言い換えると、フェデレーションの信頼は、2 つの組織間のビジネス レベルの合意またはパートナーシップを具体化したものです。

次の図に示すように、2 つのパートナー組織間でフェデレーションの信頼関係を確立するためには、両方の組織で少なくとも 1 台の AD FS フェデレーション サーバーが展開されており、フェデレーション サービスの設定が適切に構成されている必要があります。一方向の矢印は信頼の方向を表しており、信頼の方向は (Windows 信頼の方向と同様に) 常にフォレストのアカウント側を指しています。これは、認証はアカウント パートナー組織からリソース パートナー組織の方向に向かうことを示します。

パートナー組織をリンクするフェデレーション信頼

Windows の信頼では、2 つ以上のドメイン間で常に接続している安全なチャネルが機能している必要がありますが、フェデレーションの信頼では Windows の信頼とは異なり、こうしたチャネルは必要ありません。これは、フェデレーションの信頼を確立する際、アカウントのフェデレーション サービスとリソースのフェデレーション サービスの間では、ネットワークを介した直接的な通信が行われないためです。

フェデレーションの信頼を作成した後で、アカウント パートナー組織に配置されたユーザーは、フェデレーションの信頼を介して認証要求をリソース パートナー組織内の AD FS が有効な Web サーバーに正常に送信できます。フェデレーションの信頼を作成するためには、アカウント パートナー組織とリソース パートナー組織の両方が、AD FS のフェデレーション サービス コンポーネントをインストールしており、Active Directory フェデレーション サービス スナップインを使用して、アカウント パートナーとリソース パートナーを適切に構成している必要があります。

フェデレーションの信頼の片側 (アカウント パートナーまたはリソース パートナー) が構成されていない場合や、どちらかの組織の管理者がその構成を間違っている場合は、フェデレーションの信頼は正常に作成されません。フェデレーションの信頼を作成する方法の詳細については、Active Directory フェデレーション サービスのホーム ページで、AD FS の手順を追ったガイドや展開について説明しているページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=91867) を参照してください。

フェデレーションの信頼は、AD FS Web シングル サインオン (SSO) のデザインでは使用されません。Web SSO のデザインの詳細については、「フェデレーション デザインとは」を参照してください。


目次