Active Directory フェデレーション サービス (AD FS) の展開を設計するプロセスの一部として、AD DS で保護するフェデレーション アプリケーションの種類を特定します。アプリケーションをフェデレーション アプリケーションにするには、アプリケーションを、次のセクションで説明しているアプリケーションの種類のうち少なくともその 1 つにする必要があります。

今回のバージョンの AD FS で改良されたアプリケーション サポートの詳細については、Windows Server 2008 での AD FS の最新機能に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=85684) 参照してください。

要求に対応するアプリケーション

要求とは、ユーザーに関して作成された説明 (名前、ID、キー、グループ、特権、機能など) であり、AD FS フェデレーションの両方のパートナーによって理解され、アプリケーションでの承認に使用されます。

要求に対応するアプリケーションとは、AD FS クラス ライブラリを使用して作成された Microsoft ASP.NET アプリケーションです。この種類のアプリケーションでは、AD FS 要求を使用して承認の判断を直接行うことができます。要求に対応するアプリケーションは、フェデレーション サービスが AD FS セキュリティ トークンで送信する要求を受け入れます。フェデレーション サービスによるセキュリティ トークンと要求の使用方法の詳細については、「フェデレーション サービス役割サービスとは」を参照してください。

要求のマッピングとは、要求をマッピングしたり、削除またはフィルター処理したり、あるいは入力方向の要求を出力方向の要求に渡したりする機能です。要求のマッピングは、要求がアプリケーションに送信されるときには実行されません。代わりに、リソース パートナー内のフェデレーション サービス管理者が指定した組織の要求のみが、アプリケーションに送信されます (組織の要求とは、組織の名前空間内にある、中間形式または標準化された形式での要求です)。要求および要求のマッピングの詳細については、「要求とは」を参照してください。

要求に対応するアプリケーションで使用可能な組織の要求は、次のとおりです。

  • ID 要求 (UPN、電子メール、共通名)

    アプリケーションの構成時に、これらの ID 要求の中から、アプリケーションに送信するものを指定します。マッピングまたはフィルター処理は実行されません。

  • グループの要求

    アプリケーションの構成時に、アプリケーションに送信する組織グループの要求を指定します。アプリケーションに送信するように指定されていない組織グループの要求は、破棄されます。

  • カスタム要求

    アプリケーションの構成時に、アプリケーションに送信する組織のカスタム要求を指定します。アプリケーションに送信するように指定されていない組織のカスタム要求は、破棄されます。

要求に対応する承認

要求に対応する承認は、Hypertext Transfer Protocol (HTTP) モジュールと、AD FS セキュリティ トークンに含まれる、要求を照会するためのオブジェクトで構成されます。要求に対応する承認は、Microsoft ASP.NET アプリケーションに対してのみサポートされます。

HTTP モジュールは、Web アプリケーションの Web.config ファイルの構成設定に基づいて、AD FS プロトコル メッセージを処理します。認証および承認のタスクは、Web ページによって実行されます。また、HTTP モジュールは Cookie を認証し、Cookie から要求を取得します。

Windows NT トークン ベースのアプリケーション

Windows NT トークン ベースのアプリケーションは、従来の Windows ネイティブ認証機構を使用するために記述されている、インターネット インフォメーション サービス (IIS) アプリケーションです。このアプリケーションの種類は AD FS 要求に対応していません。

Windows NT トークン ベースのアプリケーションは、ローカル領域またはローカル領域によって信頼されている任意の領域からの Windows ユーザーが使用できます。つまり、Windows NT トークン ベースの認証メカニズムを使用するコンピューターにログオンできるユーザーのみが使用できます。

フェデレーション デザインでは、このことによって、リソース アカウントまたはリソース グループが Windows NT トークン ベースの認証に必要となる場合があることになります。

Windows NT トークンベースのエージェントに送信される AD FS セキュリティ トークンには、次のいずれかの種類の要求が含まれる可能性があります。

  • ユーザーのユーザー プリンシパル名 (UPN) 要求

  • ユーザーの電子メール要求

  • グループの要求

  • ユーザーのカスタム要求

  • ユーザー アカウントのセキュリティ識別子 (SID) を含んでいる UPN、電子メール、組織、またはカスタム要求 ([Windows の信頼] オプションが有効な場合にのみ適用)

AD FS が有効な Web サーバーは、Windows の偽装レベル アクセス トークンを生成します。偽装レベル アクセス トークンは、クライアント プロセスのセキュリティ情報をキャプチャして、サービスがセキュリティ操作のクライアント プロセスを "偽装" できるようにします。

Windows NT トークン ベースのアプリケーションの場合、次のプロセスの順序によって、Windows NT トークンが生成される方法が決まります。

  1. SAML (Security Assertion Markup Language) トークンの SAML Advice 要素に SID が含まれている場合、Windows NT トークンを生成するために SID が使用されます。

  2. SAML トークンに SID が含まれておらず、その代わりに UPN ID 要求が含まれている場合には、Windows NT トークンを生成するために UPN 要求が使用されます。

  3. SAML トークンに SID が含まれておらず、電子メール ID 要求に UPN ID 要求が存在する場合には、これが UPN として解釈され、Windows NT トークンを生成するために使用されます。

この動作は、フェデレーション サービスで Web アプリケーションに対する信頼ポリシー エントリを作成する際に、Windows NT トークンを生成するために使用される ID 要求として UPN 要求が指定されているか、または電子メール ID 要求が指定されているかには関係ありません。

従来の Windows ベースの認証

AD FS セキュリティ トークンから偽装レベル Windows NT アクセス トークンへの変換をサポートするには、次のいくつかのコンポーネントが必要となります。

  • Internet Server Application Programming Interface (ISAPI) 拡張: このコンポーネントは、AD FS が動作するように、AD FS Cookie を確認し、フェデレーション サービスから AD FS セキュリティ トークンを確認し、適切なプロトコル リダイレクトを実行し、必要な Cookie を書き込みます。

  • AD FS 認証パッケージ: AD FS 認証パッケージは、ドメイン アカウントに対する UPN が提供されると、偽装レベル アクセス トークンを生成します。パッケージは、呼び出し側に Trusted Computing Base (TCB) 特権があることを要求します。

  • IIS マネージャー スナップインの [AD FS Web エージェント] および [フェデレーション サービスの URL] プロパティ ページ: これらのプロパティ ページを使用して、ADFS のセキュリティ トークンと Cookie を検証するポリシーおよび証明書を管理できます。

  • AD FS Web エージェント認証サービス: AD FS Web エージェント認証サービスは、Local System として実行され、S4U (Service-for-User) を使用するか、または、AD FS 認証パッケージを使用することで、トークンを生成します。ただし、Local System として実行するためにインターネット インフォメーション サービス (IIS) アプリケーション プールは必要ありません。AD FS Web Agent Authentication Service のインターフェイスは、ローカル リモート プロシージャ コール (LRPC) でのみ呼び出すことができ、リモート プロシージャ コール (RPC) では呼び出せません。サービスは、AD FS セキュリティ トークンまたは AD FS Cookie を受け取ると、偽装 Windows NT アクセス トークンを戻します。

  • AD FS Web エージェント ISAPI フィルター: 特定の従来の IIS Web アプリケーションは、Uniform Resource Locator (URL) などの着信データを変更できる ISAPI フィルターを使用します。この場合には、AD FS Web エージェント ISAPI フィルター を有効にして、最優先されるフィルターとして構成する必要があります。このフィルターは、既定では有効になっていません。


目次