Active Directory フェデレーション サービス (AD FS) Web エージェントは、AD FS の役割サービスの 1 つで、AD FS の他の役割サービスとは別にインストールできます。AD FS Web エージェント役割サービスをコンピューターにインストールすると、そのコンピューターは AD FS が有効な Web サーバーになります。

AD FS が有効な Web サーバーは、セキュリティ トークンを使用して、Web アプリケーションへのユーザー アクセスを許可または拒否します。そのためには、AD FS が有効な Web サーバーは必要に応じてユーザーをフェデレーション サービスに向けられるように、リソースのフェデレーション サービスとの間に関係がなければなりません。

AD FS Web エージェントは、次の 2 種類の異なるアプリケーションに対して使用できます。

  • 要求対応型アプリケーション: AD FS セキュリティ トークン要求の照会が可能な、公開されている AD FS オブジェクトに書き込まれた Microsoft ASP.NET アプリケーション。アプリケーションは、この要求に基づいて承認の判断を行います。

  • Windows NT トークン ベースのアプリケーション: Windows ベースの承認機構を使用するアプリケーション。AD FS Web エージェントは、AD FS セキュリティ トークンから偽装レベルの Windows NT® アクセス トークンへの変換をサポートします。

また、AD FS が有効な Web サーバーはシングル サインオン (SSO) を容易にするために Hypertext Transfer Protocol (HTTP) Cookie を必要としているクライアントに、それらの Cookie も格納します。AD FS Web エージェントは、次の 2 つの個別のコンポーネントで構成されています。

  • AD FS Windows トークンベースのエージェント拡張

  • AD FS Web エージェント認証サービス

AD FS Windows トークンベースのエージェント拡張

AD FS Windows トークンベースのエージェント拡張は、インターネット インフォメーション サービス (IIS) メタベースで情報を構成するために使用できる、Internet Server Application Programming Interface (ISAPI) 拡張です。IIS マネージャーでは、[フェデレーション サービス URL] および [AD FS Web エージェント] プロパティ ページを使用して、AD FS のセキュリティ トークンと Cookie を検証するポリシーおよび証明書を管理できます。

次の表に記載する AD FS Web エージェントのプロパティは、継承可能です。ISAPI 拡張で WS-Federation のパッシブな要求側プロファイル (WS-F PRP) プロトコルをサポートしようとする場合、IIS リソース上にこれらのプロパティが必要になります。

プロパティ 説明

フェデレーション サービス URL

フェデレーション サービスの Uniform Resource Locator (URL)。この URL は、信頼情報について照会するために必要です。

Cookie パス

認証 Cookie が書き込まれるときに指定されるパス。

Cookie ドメイン

Cookie が有効なドメイン。

戻り先 URL

フェデレーション サービスでの認証後に、フェデレーション サービスのトークンが戻される URL。この URL は、トークンの "対象ユーザー" 要素と一致していなければなりません。"対象ユーザー" 要素との照合は、Windows サービスによって実行されます。

AD FS Web エージェント認証サービス

AD FS Web エージェント認証サービスは、入力方向のトークンおよび Cookie を検証します。このサービスは Local System として実行され、S4U (Service-for-User) または AD FS 認証パッケージを使用して、トークンを生成します。S4U を使用する場合は、パスワードを入力しなくてもユーザー プリンシパル名 (UPN) を入力することによって、クライアントの Windows トークンを取得できます。ただし、Local System として実行するために IIS アプリケーション プールは必要ありません。

AD FS Web エージェント認証サービスのインターフェイスは、ローカル リモート プロシージャ コール (LRPC) でのみ呼び出すことができ、リモート プロシージャ コール (RPC) では呼び出せません。このサービスは、AD FS セキュリティ トークンまたは AD FS Cookie を受け取ると、偽装 Windows NT アクセス トークンを戻します。

関連項目


目次