Active Directory フェデレーション サービス (AD FS) は Windows Server® 2003 R2、Windows Server 2008、および Windows Server 2008 R2 オペレーティング システムの機能で、1 回のオンライン セッションの間に、関連する複数の Web アプリケーションに対してユーザーを認証する、Web シングル サインオン (SSO) テクノロジを提供します。AD FS は、デジタル ID とアクセス権、または "要求" を、セキュリティおよびエンタープライズの境界を越えて安全に共有することで、これを実現します。

AD FS の機能

Windows Server 2008 および Windows Server 2008 R2 の AD FS には、Windows Server 2003 R2 にない新しい機能が追加されています。これらの新機能の詳細については、Windows Server 2008 での AD FS の最新機能に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=85684) を参照してください。

AD FS の主な機能は次のとおりです。

  • フェデレーションと Web SSO

    ある組織が Active Directory ドメイン サービス (AD DS) を使用する場合、その組織のセキュリティやエンタープライズの境界内での統合 Windows 認証を通して、SSO 機能のメリットを体験できます。AD FS では、この機能がインターネット対応アプリケーションにまで拡張されており、顧客、パートナー、およびサプライヤーが、組織の Web ベースのアプリケーションにアクセスしたときに、各ユーザーが同様のわかりやすい Web SSO の体験を持つことができるようになっています。さらに、フェデレーション サーバーを複数の組織に展開して、パートナー組織間の企業間 (B2B) フェデレーション トランザクションを促進できます。AD FS フェデレーションの詳細については、「フェデレーション デザインとは」を参照してください。

  • Web Services (WS)-* の相互運用性

    AD FS は、WS-* Web Services アーキテクチャをサポートする他のセキュリティ製品と相互運用する、フェデレーション ID 管理ソリューションを提供します。AD FS は、WS-Federation と呼ばれる WS-* のフェデレーション仕様を採用することで、これを実行します。WS-Federation 仕様は、Microsoft® Windows® の ID モデルを使用しない環境と Windows 環境とのフェデレーションを可能にします。WS-* 仕様の詳細については、「AD FS の参照情報」を参照してください。

  • 拡張可能なアーキテクチャ

    AD FS は、SAML (Security Assertion Markup Language) 1.1 のトークンの種類と (フォレストの信頼のあるフェデレーション Web SSO デザインでの) Kerberos 認証をサポートする、拡張可能なアーキテクチャを提供します。また AD FS は、要求のマッピングも実行でき、たとえば、カスタムのビジネス ロジックをアクセス要求の変数として使用して、要求の変更を実行できます。各組織は、この拡張性を利用して、現在のセキュリティ インフラストラクチャやビジネス ポリシーと共存するように、AD FS を変更できます。要求の変更の詳細については、「要求とは」を参照してください。

AD DS のインターネットへの拡張

AD DS は、多くの組織で主要な識別および認証サービスとしての役割を果たしています。Windows Server 2003 の Active Directory および Windows Server 2008 と Windows Server 2008 R2の AD DS では、フォレストの信頼を複数の Windows Server 2003 フォレスト、Windows Server 2008 フォレスト、または Windows Server 2008 R2 フォレスト間に作成して、別々の事業ユニットや組織に配置されたリソースへのアクセスを提供できます。フォレストの信頼の詳細については、ドメインとフォレストの信頼に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=35356) を参照してください。

ただし、フォレストの信頼が実行可能なオプションとならないデザインがあります。たとえば、複数の組織間のアクセスを、フォレストのすべてのメンバーではなく、ごく一部のユーザーに限定しなければならない場合などです。

AD FS を採用することにより、各組織は、既存の Active Directory インフラストラクチャを拡張して、インターネット上の信頼されたパートナーが提供するリソースへのアクセスを提供できます。これらの信頼されたパートナーには、外部のサード パーティや同じ組織内の他の部門や子会社が含まれます。

AD FS は、インターネット経由の分散された認証および承認をサポートします。AD FS は、組織または部門の既存のアクセス管理ソリューションに統合して、組織内で使用されている要求を、フェデレーションの一環として同意された要求に変換できます。AD FS は、組織間を移動する要求の作成、セキュリティでの保護、および検証が可能です。また、組織および部門間の通信活動を監査および監視して、セキュリティで保護されたトランザクションの保証に役立てることができます。

AD FS の詳細については、次のトピックを参照してください。


目次