Active Directory フェデレーション サービス (AD FS) におけるリソース アカウントは、ある Active Directory フォレスト (アカウント パートナー フォレスト) に格納されているもののうち、たとえば社員などによって頻繁に使用されるユーザー アカウントに成りすますことのみを目的として、別の Active Directory フォレスト (リソース パートナー フォレスト) に格納されているユーザー アカウントです。
アカウント パートナー フォレストに存在するユーザー アカウントを持っている社員が、AD FS を通して Web ベースである Windows NT トークン ベースのアプリケーションにアクセスできるように、リソース パートナー フォレスト内にリソース アカウントを作成する必要があります。リソース アカウントとリソース グループは、要求に対応するアプリケーションにも必要です。
リソース側の Web リソースは、リソース パートナー フォレスト上のユーザー アカウントまたはグループのアクセス制御リスト (ACL) で保護されます。管理者は、リソース アカウントを作成し、すべてのリソース アカウント用の ACL をリソースに追加する必要があります。
管理上のオーバーヘッドを削減するために、リソース側の管理者は、Active Directory ドメイン サービス (AD DS) 内に作成された 1 つまたは複数のセキュリティ グループを構成して、アカウント パートナーからの入力方向のグループの要求にマップするために使用できます。AD FS によって使用される入力方向のグループの要求にマップされたセキュリティ グループは、リソース グループと呼ばれます。
次の手順を使用して、リソース グループを構成できます。
リソース グループを構成するには |
リソース パートナー フォレスト内のドメイン コントローラー上の Active Directory ユーザーとコンピューター スナップインで、新しいセキュリティ グループを作成します。
AD FS によって保護された Web リソースからこのセキュリティ グループへのアクセスを適切に設定します。
Active Directory フェデレーション サービス スナップインで新しいグループの要求を作成し、新しく作成された要求のプロパティ ページで、[リソース グループ] タブをクリックします。[...] ボタンをクリックして、AD DS 内の新しいセキュリティ グループを新しいグループの要求にマップします。これ以降、この新しいセキュリティ グループを "リソース グループ" と呼びます。
フェデレーション サービス\信頼ポリシー\パートナーの組織\アカウント パートナー\<アカウント パートナー名>\ の下で、新しい入力方向のグループの要求のマッピングを作成して、新しいグループの要求とそれに関連するリソース グループを、アカウント パートナー フォレストからの任意の入力方向のグループの要求にマップします。
入力方向のグループの要求をリソース グループにマップすると、リソース パートナー フォレスト内の管理者は、AD FS によって保護されている Windows NT トークン ベースのアプリケーションにアクセスする必要のあるアカウント パートナー フォレスト内のユーザーごとに、リソース アカウントを作成する必要がなくなります。
既定では、リソース パートナーの管理者が入力方向のグループの要求を 1 つまたは複数のリソース グループにマップできるように、アカウント パートナーのプロパティが構成されます。ただし、次のリソース アカウント オプションの 1 つをオンにすることによって、この既定の動作を変更することができます。
-
[すべてのユーザーについてリソース アカウントが存在する] : リソース アカウントが、そのリソースにアクセスする必要のあるアカウント パートナーのユーザーごとに構成されるように指定します。この場合、リスース グループが構成されても、入力方向のグループの要求はリソース グループにマップされません。
-
[一部のユーザーにリソース アカウントが存在する (リソース アカウントを優先)] : リソース グループを一部のユーザー アカウントに対して使用するかどうかを指定します。これは、一部のユーザーは作成済みの個別のリソース アカウントを持ち、その他のユーザーはリソース グループを使用するように構成されている可能性があることを意味します。このオプションが選択されると、AD FS は、最初に、入力方向のトークンで指定された UPN 要求または電子メール要求と一致するリソース アカウントを検索します。このようなリソース アカウントが見つかると、AD FS はそれらのリソース アカウントを使用します。それ以外の場合は、リソース グループにマップされたグループの要求がトークンに含まれていれば、そのリソース グループを使用します。
-
[一部のユーザーにリソース アカウントが存在する (トークンのグループを優先)] : これは既定の設定です。AD FS が独自のロジックを使用して、入力方向のトークンごとにリソース グループにマップするかどうか、または入力方向のトークンごとにリソース アカウントを検索するかどうかを決定できるように指定します。このオプションが選択されると、AD FS は、最初に、リソース グループにマップ可能な入力方向のグループの要求をトークン内で調べます。このような入力方向のグループの要求が見つかると、ADFS はそのリソース グループを使用します。このような入力方向のグループの要求が存在しなければ、AD FS は使用するリソース アカウントを検索します。
-
[このアカウント パートナーにはリソース アカウントが存在しない] : 1 つまたは複数のリソース グループがこのアカウント パートナー内のすべてのユーザーに対して使用されるように指定します。これは、このアカウント パートナーから発行されるすべてのトークンに、リソース パートナー フォレスト内の 1 つまたは複数のリソース グループにマップする 1 つまたは複数のグループの要求が含まれていなければならないことを意味します。