Active Directory フェデレーション サービス (AD FS) の信頼ポリシー ファイルを使用して、パートナー、証明書、アカウント ストア、要求、およびフェデレーション サービスに関連するエンティティの各種のプロパティを識別する場合に必要となる、フェデレーション サービス用のパラメーターのセットを定義します。

同じネットワークに 2 つ以上のフェデレーション サーバーを作成し、同じ信頼ポリシー ファイルを使用するようにそれぞれのサーバーを構成して、各サーバーのトークン署名証明書 (検証証明書) の公開キーを信頼ポリシーに追加することによって、フェデレーション サーバー ファームが形成されます。

ファームのシナリオでは、そのファームでフェデレーション サーバーとして参加しないコンピューターでも信頼ポリシー ファイルが共有されることが重要になります。Microsoft ネットワーク負荷分散 (NLB) では、ファームに参加しているどのコンピューターも相互に通信することはできません。

trustpolicy.xml ファイルを共有フォルダーに配置することにより、その共有が適切なアクセス許可によって保護されるようになります。このため、新しいフェデレーション サーバーのそれぞれが、信頼ポリシー ファイルを適切に共有できるようにするには、ファーム内のすべてのフェデレーション サーバーにある各コンピューター アカウントに対して、少なくとも読み取り専用のアクセス許可を与える必要があります。コンピューター アカウントが持つアクセス許可が読み取り専用のアクセス許可の場合でも、フェデレーション サービスの管理者は信頼ポリシー ファイルに変更を加えることができます。


目次