Active Directory フェデレーション サービス (AD FS) では、証明書サービス、インターネット インフォメーション サービス (IIS)、Active Directory ドメイン サービス (AD DS)、Active Directory ライトウェイト ディレクトリ サービス (AD LDS)、および Web サービス (WS-*) などの各種のテクノロジに関連した用語を使用します。次の表は、これらの用語の説明です。

用語 説明

アカウント フェデレーション サーバー

アカウント パートナー組織の企業ネットワークに設置されているフェデレーション サーバー。アカウント フェデレーション サーバーでは、ユーザーの認証に基づいてユーザーにセキュリティ トークンが発行されます。サーバーでは、ユーザーの認証、関連する属性とグループ メンバーシップ情報のアカウント ストアからの抽出、およびセキュリティ トークンの生成が行われます。生成されたセキュリティ トークンは署名され、ユーザーに返されます。返されたセキュリティ トークンは、ユーザー自身の組織で使用されるか、パートナー組織に送られます。

アカウント フェデレーション サーバー プロキシ

アカウント パートナー組織の境界ネットワークに設置されているフェデレーション サーバー プロキシ。アカウント フェデレーション サーバー プロキシでは、インターネット経由で (または境界ネットワークから) ログオンしているクライアントの認証資格情報を収集します。それらの認証資格情報は、アカウント フェデレーション サーバーに渡されます。

アカウント パートナー

フェデレーション サービスによって信頼されていて、セキュリティ トークンを自身のユーザー (つまり、アカウント パートナー組織内のユーザー) に提供する、フェデレーション パートナー。セキュリティ トークンが提供されたユーザーは、リソース パートナー内の Web ベースのアプリケーションにアクセスできるようになります。

Active Directory フェデレーション サービス (AD FS)

Windows Server 2003 R2、Windows Server 2008、および Windows Server 2008 R2 のコンポーネントの 1 つ。1 回のオンライン セッションの間に複数の Web アプリケーションに対してユーザーを認証する、Web シングル サインオン (SSO) テクノロジが提供されます。AD FS では、デジタル ID とアクセス権を、セキュリティおよびエンタープライズの境界を越えて安全に共有することで、これを実現します。また AD FS では、WS-Federation のパッシブな要求側プロファイル (WS-F PRP) がサポートされます。

AD FS Web エージェント

AD FS が有効な Web サーバーの作成に使用される、AD FS のインストール可能な役割サービス。AD FS Web エージェントでは、有効なフェデレーション サーバーによって署名された、入力方向のセキュリティ トークンと認証 Cookie を使用して、保護されたアプリケーションに対するユーザー アクセスの許可や拒否が判断されます。このとき、アプリケーション固有のアクセス制御設定が考慮されます。

AD FS が有効な Web サーバー

Windows Server 2003 R2、Windows Server 2008、または Windows Server 2008 R2 が実行されており、適切な AD FS Web エージェント (要求に対応するエージェントまたは Windows トークンベースのエージェントのいずれか) で構成されている Web サーバー。ローカルにホストされている Web ベースのアプリケーションへのフェデレーション アクセスを認証および承認する場合に必要となります。

要求

サーバーが作成する、クライアントに関する説明 (名前、ID、キー、グループ、特権、機能など)。

要求に対応するアプリケーション

AD FS のセキュリティ トークンに含まれる要求に基づいて承認を行う、Microsoft ASP.NET アプリケーション。

要求のマッピング

要求のマッピング、削除、フィルター処理を実行する機能。さまざまな要求セット間で要求を受け渡す機能も含まれます。

クライアント アカウント パートナーの検出 Web ページ

ユーザーを認証するアカウント パートナーを AD FS が自動的に判断できない場合に、ユーザーとの対話によってユーザーが所属するアカウント パートナーを特定するための Web ページ。

クライアント認証証明書

AD FS において、クライアントがフェデレーション サービスから認証を受ける場合に、フェデレーション サーバー プロキシで使用される証明書。

クライアントのログオフ Web ページ

AD FS でログオフ操作が実行される際に、ログオフが発生したことをユーザーに視覚的に伝えるための Web ページ。

クライアントのログオン Web ページ

AD FS でクライアントの資格情報を収集する際に、ユーザーに情報の入力を求める Web ページ。クライアントのログオン Web ページでは、任意のビジネス ロジックを使用して、収集する資格情報の種類を決定できます。

フェデレーション アプリケーション

AD FS に対応し、フェデレーション ユーザーがアクセスすることのできる、Web ベースのアプリケーション。

フェデレーション ユーザー

自身のアカウントがアカウント パートナー組織に存在し、リソース パートナー組織に存在するフェデレーション アプリケーションにアクセスできるユーザー。

フェデレーション

フェデレーションの信頼が確立されている、領域またはドメインのペア。

フェデレーション サーバー

Windows Server 2003 R2、Windows Server 2008、または Windows Server 2008 R2 が実行されており、AD FS のフェデレーション サービス コンポーネントをホストするように構成されているコンピューター。フェデレーション サーバーでは、他の組織のユーザー アカウントからの要求と、インターネット上の任意の場所に存在するクライアントからの要求を、認証およびルーティングできます。

フェデレーション サーバー プロキシ

Windows Server 2003 R2、Windows Server 2008、または Windows Server 2008 R2 が実行されており、AD FS のフェデレーション サービス プロキシ コンポーネントをホストするように構成されているコンピューター。フェデレーション サービス プロキシによって、インターネット クライアントと、企業ネットワーク上のファイアウォールの背後に設置されたフェデレーション サーバーとの間で、中間的なプロキシ サービスが提供されます。

フェデレーション サービス

フェデレーション サーバーの作成に使用される、AD FS のインストール可能な役割サービス。フェデレーション サービスをインストールすると、セキュリティ トークンに対する要求に応えてトークンが提供されます。単一のフェデレーション サービスに対してフォールト トレランスと負荷分散を実現するように、複数のフェデレーション サーバーを構成できます。

フェデレーション サービス プロキシ

フェデレーション サーバー プロキシの作成に使用される、AD FS のインストール可能な役割サービス。フェデレーション サービス プロキシ役割サービスをインストールすると、WS-F PRP プロトコルを使用して、ブラウザー クライアントおよび Web アプリケーションからユーザーの資格情報が収集され、ユーザーに代わってフェデレーション サービスにその情報が送信されます。

組織の要求

組織の名前空間内にある、中間形式または標準化された形式での要求。

パッシブ クライアント

広くサポートされているハイパーテキスト転送プロトコル (HTTP) に対応し、Cookie を利用できる HTTP ブラウザー。Windows Server 2003 R2、Windows Server 2008、または Windows Server 2008 R2 の AD FS では、パッシブ クライアントのみがサポートされ、WS-F PRP 仕様に準拠しています。

リソース アカウント

AD DS 内に作成され、単一のフェデレーション ユーザーへのマップに使用される、単一のセキュリティ プリンシパル。通常はユーザー アカウントです。リソース アカウントは、Windows NT トークン ベースのアプリケーションのフェデレーションを行うときに必要です。これは、Windows トークンベースのエージェントでは、Windows NT アクセス トークンを生成し、それによってアプリケーションに関するアクセス制御権限を強制する場合に、リソース パートナー フォレスト内で Active Directory のセキュリティ プリンシパルを参照する必要があるためです。

リソース フェデレーション サーバー

リソース パートナー組織内のフェデレーション サーバー。通常、リソース フェデレーション サーバーでは、アカウント フェデレーション サーバーによって発行されたセキュリティ トークンに基づいて、ユーザーにセキュリティ トークンが発行されます。リソース フェデレーション サーバーでは次の処理が行われます。

  • セキュリティ トークンを受け取ります。

  • 署名を確認します。

  • 組織の要求をその信頼ポリシーに基づいて変換します。

  • 入力方向のセキュリティ トークン内の情報に基づいて、新しいセキュリティ トークンを生成します。

  • 新しいトークンに署名してユーザーに返し、最終的に Web アプリケーションに返します。

リソース フェデレーション サーバー プロキシ

リソース パートナー組織の境界ネットワークに設置されているフェデレーション サーバー プロキシ。リソース フェデレーション サーバー プロキシでは、インターネット クライアントのためのアカウント パートナー検出が実行され、入力方向のセキュリティ トークンがリソース フェデレーション サーバーにリダイレクトされます。

リソース グループ

AD DS 内に作成され、入力方向のグループの要求 (アカウント パートナーからの AD FS グループの要求) のマップ先となる、単一のセキュリティ グループ。フェデレーション ユーザーがリソース グループにマップされた後、AD FS が有効な Web サーバーでは、リソース グループのセキュリティ識別子 (SID) に割り当てられているアクセス許可に基づいて、Windows NT トークン ベースのアプリケーションに対する承認を決定できるようになります。

リソース パートナー

フェデレーション サービスを信頼するフェデレーション パートナー。アカウント パートナー内のユーザーがアクセスできる Web ベースのアプリケーション (リソース パートナー組織内のアプリケーション) について、要求ベースのセキュリティ トークンを発行します。

セキュリティ トークン

1 つ以上の要求を表す、暗号で署名されたデータ単位。AD FS の場合、署名されたセキュリティ トークンは、そのセキュリティ トークンを発行したフェデレーション サーバーによってフェデレーション ユーザーの信頼性が正常に確認されたことを示します。

セキュリティ トークン サービス (STS)

セキュリティ トークンを発行する Web サービス。STS では、信頼される証拠に基づいたアサーションが、それを信頼する相手 (または特定の受信者) に対して作成されます。信頼を伝達するために、サービスでは証拠 (1 つまたは一連のセキュリティ トークンの情報を証明する署名など) が必要になります。サービス自体がトークンを生成することもできますし、別の STS が、独自の信頼ステートメントを持つセキュリティ トークンを発行することもできます。これが信頼の仲介のベースとなります。AD FS の場合、フェデレーション サービスが STS に該当します。

サーバー認証証明書

AD FS が有効な Web サーバー、フェデレーション サーバー、およびフェデレーション サーバー プロキシでは、Web クライアントとの通信だけでなく、これらのサーバーやサーバー プロキシ間の相互通信について、Web サービス トラフィックをセキュリティで保護するために、サーバー認証証明書が使用されます。

サーバー ファーム

AD FS では、負荷分散されたフェデレーション サーバー、フェデレーション サーバー プロキシ、または AD FS Web エージェントをホストしている Web サーバーの集まりです。

シングル サインオン (SSO)

エンド ユーザーが繰り返しログオン操作を実行しなくても済むよう、最適化された認証手順。

トークン署名証明書

X.509 証明書。関連する公開キーと秘密キーのペアがフェデレーション サーバーで使用され、フェデレーション サーバーで生成されるすべてのセキュリティ トークンがデジタル署名されます。

Uniform Resource Identifier (URI)

抽象的または物理的リソースを識別する、簡潔な文字列。URI については、Request for Comments (RFC) 2396 (英語) (https://go.microsoft.com/fwlink/?LinkId=48289) で説明されています。AD FS では、URI を使用してパートナーおよびアカウント ストアを一意に特定します。

検証証明書

トークン署名証明書の公開キー部分を表す証明書。検証証明書は信頼ポリシー内に格納されます。組織内のフェデレーション サーバーでは検証証明書を使用して、入力方向のセキュリティ トークンが、その組織のファーム内および別の組織内の有効なフェデレーション サーバーによって発行されたことを検証します。

Web サービス

(WS-*)

簡易オブジェクト アクセス プロトコル (SOAP)、XML、Web サービス記述言語 (WSDL)、Universal Description, Discovery, and Integration (UDDI) などの業界標準に基づく Web サービス アーキテクチャの仕様。WS-* は、フェデレーション ID およびセキュリティの管理機能を含む、完全で、相互運用可能なビジネス ソリューションを提供するための基礎となります。

Web Services モデルは、企業システムはそれぞれ異なる言語および異なるプログラミング モデルを使用して記述されており、さまざまな種類のデバイス上で実行され、さまざまな種類のデバイスからアクセスされるという考えに基づいています。Web Services は、使用されている言語や実行されるプラットフォームに関係なく、インターネット経由で簡単かつ効率的に相互に接続および通信できる分散システムを構築するための手法です。

Web Services Security (WS-Security)

SOAP メッセージに署名および暗号化ヘッダーを添付する方法を記載した一連の仕様。セキュリティ トークン (X.509 証明書や Kerberos チケットなどのバイナリ セキュリティ トークンを含む) をメッセージに添付する方法についても記載されています。AD FS では、Kerberos でセキュリティ トークンに署名する場合に WS-Security が使用されます。

Windows NT トークン ベースのアプリケーション

Windows NT のトークンを使用してユーザーの承認を行う Windows アプリケーション。

WS-Federation

複数の信頼領域間において、信頼およびフェデレーション (ID と認証情報のフェデレーション) を仲介するための、モデルと一連のメッセージを定義する仕様。

WS-Federation 仕様では、信頼領域間でやり取りされる ID および認証要求のソースとして、次の 2 つを識別します。

  • SOAP 対応アプリケーションなどのアクティブな要求側

  • 広くサポートされている HTTP (HTTP 1.1 など) に対応する HTTP ブラウザーとして定義されたパッシブな要求側

WS-Federation のパッシブな要求側プロファイル (WS-F PRP)

パッシブ クライアント (Web ブラウザーなど) がフェデレーション フレームワークを実装する方法を決めるための標準プロトコルを提案する、WS-Federation 仕様の実装。このプロトコルでは、Web サービスの要求側が新しいセキュリティ機構を受け入れ、Web サービス プロバイダーと対話可能であることが前提とされています。

関連項目

目次