Active Directory フェデレーション サービス (AD FS) のどのデザインでも、通信をセキュリティで保護し、フェデレーション サーバー、フェデレーション サーバー プロキシ、および AD FS が有効な Web サーバーに対して実行されるユーザーの認証および承認要求を容易にするために、各種の証明書を使用する必要があります。

証明書の一般的な情報については、「Windows Server 2003 の公開キー基盤 (PKI)」(https://go.microsoft.com/fwlink/?LinkId=19936) を参照してください。

フェデレーション サーバーで使用される証明書

各フェデレーション サーバーでは、AD FS の通信に参加するために、サーバー認証証明書とトークン署名証明書が必要になります。信頼ポリシーには、検証証明書と呼ばれる証明書が必要になります。検証証明書は、トークン署名証明書の公開キー部分です。

サーバー認証証明書

フェデレーション サーバーでは、Secure Sockets Layer (SSL) サーバー認証証明書を使用して、Web クライアントまたはフェデレーション サーバー プロキシとの通信のために Web サービス トラフィックをセキュリティで保護します。これらの証明書は、インターネット インフォメーション サービス (IIS) スナップインによって要求され、インストールされます。

トークン署名証明書

各フェデレーション サーバーでは、トークン署名証明書を使用して、作成されるすべてのセキュリティ トークンに対してデジタル署名が行われます。各セキュリティ トークンにはアカウント パートナーによってデジタル署名が付加されるため、リソース パートナーはセキュリティ トークンが実際にアカウント パートナーによって発行され、変更されていないことを確認できます。これにより、攻撃者がセキュリティ トークンを偽造または変更して、リソースへの承認されていないアクセスを実行するのを防ぐことができます。

セキュリティ トークンのデジタル署名は、複数のフェデレーション サーバーが存在する場合に、アカウント パートナーでも使用されます。このような状況では、アカウント パートナーの他のフェデレーション サーバーによって発行されたセキュリティ トークンの作成元と整合性が、デジタル署名によって確認されます。デジタル署名は、検証証明書によって検証されます。

各トークン署名証明書には、証明書に関連付けられた秘密キーが含まれています。

検証証明書

検証証明書によって、有効なフェデレーション サーバーによってセキュリティ トークンが発行され、変更されていないことを確認します。検証証明書は、実際には他のフェデレーション サーバーのトークン署名証明書です。

指定されたフェデレーション サーバーによってセキュリティ トークンが発行され、変更されていないことを確認するには、セキュリティ トークンを発行したフェデレーション サーバーに対する検証証明書が、フェデレーション サーバーに存在している必要があります。たとえば、フェデレーション サーバー A がセキュリティ トークンを発行し、そのセキュリティ トークンをフェデレーション サーバー B に送信した場合、フェデレーション サーバー B には、フェデレーション サーバー A に対する検証証明書 (フェデレーション サーバー A のトークン署名証明書) が保持されていなければなりません。

トークン署名証明書とは異なり、検証証明書には証明書に関連付けられた秘密キーは含まれていません。

フェデレーション サーバー プロキシで使用される証明書

フェデレーション サービス プロキシ役割サービスを実行しているサーバーでは、クライアント認証証明書とサーバー認証証明書を使用する必要があります。

クライアント認証証明書

各フェデレーション サーバー プロキシでは、SSL クライアント認証証明書を使用して、フェデレーション サービスの認証が行われます。クライアント認証用の拡張キー使用法 (EKU) を備えた証明書は、フェデレーション サーバー プロキシのクライアント認証証明書として使用できます。フェデレーション サーバー プロキシのクライアント認証証明書のコピーは、フェデレーション サーバー プロキシとフェデレーション サーバーの信頼ポリシーの両方に格納されています。ただし、フェデレーション サーバー プロキシのクライアント認証証明書に関連する秘密キーは、フェデレーション サーバー プロキシにのみ格納されます。

Active Directory フェデレーション サービス スナップインの信頼ポリシー ユーザー インターフェイス (UI) では、クライアント認証証明書を、フェデレーション サービス プロキシ (FSP) 証明書として扱っています。

サーバー認証証明書

フェデレーション サーバー プロキシでは、SSL サーバー認証証明書を使用して、Web クライアントとの通信のために Web サービス トラフィックをセキュリティで保護します。これらの証明書は、インターネット インフォメーション サービス (IIS) マネージャー スナップインによって要求され、インストールされます。

AD FS が有効な Web サーバーで使用される証明書

AD FS Web エージェントをホストする各 AD FS が有効な Web サーバーでは、SSL サーバー認証証明書を使用して、Web クライアントとの間でセキュリティで保護された通信を実行します。これらの証明書は、インターネット インフォメーション サービス (IIS) マネージャー スナップインによって要求され、インストールされます。


目次