フェデレーション サーバーでは、攻撃者がフェデレーション リソースに無許可でアクセスし、セキュリティ トークンを改ざんまたは偽造するのを防ぐために、トークン署名証明書を使用する必要があります。すべてのトークン署名証明書には、暗号化の秘密キーと公開キーが含まれています。これらのキーは、秘密キーの手法に基づいてセキュリティ トークンにデジタル署名する場合に使用されます。後で、パートナー フェデレーション サーバーによってトークン署名証明書が受信されると、これらのキーが公開キーの手法に基づいて使用され、暗号化されたセキュリティ トークンの信頼性が確認されます。

Active Directory フェデレーション サービス (AD FS) の新規インストールで最初のフェデレーション サーバーを展開するときは、トークン署名証明書を取得し、そのフェデレーション サーバーにあるローカル コンピューターの個人証明書ストアにインストールする必要があります。トークン署名証明書を取得するには、エンタープライズ証明機関 (CA) やパブリック CA から入手するか、または自己署名証明書を作成します。


目次