Active Directory フェデレーション サービス (AD FS) には、次のようなハードウェアおよびソフトウェア要件があります。

ハードウェア要件

  • プロセッサ速度: x86 ベースのコンピューターの場合、133 MHz

  • 推奨される最小 RAM 容量: 256 MB

  • セットアップのためのディスクの空き領域: 10 MB

ソフトウェア要件

AD FS は、Windows Server 2003 R2、Windows Server 2008、および Windows Server 2008 R2 に組み込まれているサーバー機能に基づいています。フェデレーション サービス、フェデレーション サービス プロキシ、および AD FS Web エージェントの役割サービスは、以前のオペレーティング システムでは実行できません。ここでは、各 AD FS 役割サービスのソフトウェア要件について説明します。また、ネットワーク環境の AD FS で必要となる、全般的なソフトウェア構成についても説明します。

フェデレーション サービスとフェデレーション サービス プロキシの役割サービスを、同じコンピューター上に共存させることはできません。

フェデレーション サービス

フェデレーション サービスを実行しているコンピューターには、次のソフトウェアをインストールする必要があります。

  • Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Datacenter Edition、Windows Server 2008 Enterprise、Windows Server 2008 Datacenter、Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise、または Windows Server 2008 R2 Datacenter

  • インターネット インフォメーション サービス (IIS)

  • Microsoft ASP.NET 2.0

  • Microsoft .NET Framework 2.0

フェデレーション サービスのインストールが完了した後で、トランスポート層セキュリティ / Secure Sockets Layer (TLS/SSL) を使用して IIS 内の既定の Web サイトを構成する必要があります。

AD DS および AD LDS アカウント ストアの要件

AD FS では、Active Directory ドメイン サービス (AD DS) または Active Directory ライトウェイト ディレクトリ サービス (AD LDS) に、アカウントのフェデレーション サービス用のユーザー アカウントが存在している必要があります。アカウント ストアをホストしている AD DS のドメイン コントローラーまたはコンピューターには、次のオペレーティング システムをインストールする必要があります。

  • Windows Server 2008 R2

  • Windows Server 2008

  • Windows Server 2003 R2

  • Windows Server 2003

  • 重要な更新プログラムが適用された Windows 2000 Service Pack 4 (SP4)

AD FS では、AD DS の機能レベルの変更やスキーマの変更は必要ありません。AD LDS を AD FS と確実に連動させるために、Windows Server 2008 に付属しているバージョンの AD LDS をインストールしてください。

フェデレーション サービス プロキシ

フェデレーション サービス プロキシを実行しているコンピューターには、次のソフトウェアをインストールする必要があります。

  • Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Datacenter Edition、Windows Server 2008 Enterprise、Windows Server 2008 Datacenter、Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise、または Windows Server 2008 R2 Datacenter

  • IIS

  • ASP.NET 2.0

  • Microsoft .NET Framework 2.0

フェデレーション サービス プロキシのインストールが完了した後で、TLS/SSL を使用して IIS 内の既定の Web サイトを構成する必要があります。

AD FS Web エージェント

AD FS Web エージェント (要求に対応するエージェントまたは Windows トークンベースのエージェント) を実行しているコンピューターには、次のソフトウェアをインストールする必要があります。

  • Windows Server 2003 R2 Standard Edition、Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Datacenter Edition、Windows Server 2008 Standard、Windows Server 2008 Enterprise、Windows Server 2008 Datacenter、Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise、または Windows Server 2008 R2 Datacenter

  • IIS

  • ASP.NET 2.0

  • Microsoft .NET Framework 2.0

AD FS Web エージェントのインストールが完了した後、IIS 内の少なくとも 1 つの Web サイトを TLS/SSL を使用して構成し、フェデレーション ユーザーが、AD FS が有効な Web サーバーでホストされている Web ベースのアプリケーションにアクセスできるようにする必要があります。

信頼された証明機関

TLS/SSL とトークン署名はどちらもデジタル証明書を使用するため、証明機関 (CA) は AD FS の重要な部分となっています。VeriSign, Inc. のようなパブリック CA は、相互に信頼されたサード パーティの役割を果たし、証明書の所持者の身元を特定できるようにします。Microsoft 証明書サービスなどのエンタープライズ CA を使用して、トークン署名とその他の内部証明書サービスを提供できます。

クライアントにサーバーの認証証明書が提示されると、クライアント コンピューターでは、クライアントの信頼する CA の一覧に証明書を発行した CA が含まれており、CA がその証明書を失効させていないことが確認されます。この確認によって、クライアントが目的のサーバーに到達できるようになります。署名されたトークンの確認に証明書が使用される場合、クライアントでは、証明書を使用して、トークンが適切なフェデレーション サーバーによって発行されたものであり、改ざんされていないことが確認されます。

TCP/IP ネットワーク接続

AD FS が機能するには、クライアント、ドメイン コントローラー、およびフェデレーション サービス、フェデレーション サービス プロキシ (使用している場合)、AD FS Web エージェントをホストするコンピューター間に TCP/IP ネットワーク接続が必要です。

DNS

イントラネット内のユーザーを認証するためには、フェデレーション サービスを実行している内部サーバーの正規名 (CNAME) を返すように、イントラネット フォレスト内の内部ドメイン ネーム システム (DNS) サーバーを構成する必要があります。最適な結果を得るためには、DNS と共にホスト ファイルを使用しないでください。

Web ブラウザー

JScript を有効にできる Web ブラウザーを現在使用している場合、それらの Web ブラウザーはすべて、AD FS クライアントとして機能する必要があります。ただし、Microsoft によってテスト済みなのは、Internet Explorer 8、Internet Explorer 7、Internet Explorer 6、Internet Explorer 5 または 5.5、Mozilla Firefox、および Apple Macintosh の Safari のみです。パフォーマンス上の理由により、JScript を有効にすることを強くお勧めします。アクセスするフェデレーション サーバーと Web アプリケーションでは、Cookie を有効にするか、少なくとも信頼する必要があります。

関連項目


目次