Microsoft Federation Gateway は、インターネット上で実行される ID サービスであり、組織や企業と、組織が使用したいと考える外部サービスとの間の仲介役となるものです。ゲートウェイは、Windows Azure に基づいて構築されたアプリケーションや、インターネット上で実行されている Microsoft アプリケーションなど、組織が使用したいと考えるアプリケーションへの多数の接続を確立するためのハブとして機能します。ゲートウェイは、ユーザーおよびその他の ID を、そのゲートウェイと共に使用されるサービスに接続します。その結果、組織では、単一の ID フェデレーション関係のみを管理すれば済むようになり、その ID を通じて、使用するすべての Microsoft サービスおよび Microsoft ベースのサービスにアクセスできるようになります。
Microsoft Federation Gateway は、SSL 証明書を使用してドメインの所有権を証明するという、異なる組織間で信頼を確立するための、簡単かつ標準に基づく方法をアプリケーションに提供します。それぞれの組織は、相互にフェデレーションするのではなく、ゲートウェイとフェデレーションするので、組織が複数のパートナーと信頼関係を確立することは、従来の一対一のフェデレーションや他の信頼関係を使用する場合と比較して、非常に容易になります。フェデレーションのスコープは、ライセンス用のユーザーとドメインの許可リストまたは拒否リストを作成し、発行ライセンスを受け取ることのできるドメインを指定することで、簡単に制御できます。これにより、適切な組織のみが、保護された情報にアクセスできるようになることが保証されます。
"フェデレーション ID 関係" は、組織間の、標準に基づく取り決めです。この関係においては、ある組織からの要求が、別の組織に渡され、その別の組織によって認識されます。この関係を通じて、ユーザーは、各自の ID プロバイダー (ユーザーの ID アカウントを管理する組織) にサインインし、その ID プロバイダーから認証を受けることができます。そして、その認証を、再度サインインする必要なく、フェデレーション アカウントに渡すことができます。
Microsoft Federation Gateway は、WS-Trust や WS-Security (これらは連係して、相互運用性を簡略化し、セキュリティを向上させます) などの Web サービス (WS-*) 仕様に基づいて、フェデレーション ID 関係を確立します。これらの業界標準のプロトコルを使用することで、同じプラットフォームやインフラストラクチャを使用していなくても、組織間でフェデレーション ID 関係を確立できます。
2 つの組織がフェデレーション ID 関係を確立すると、あるパートナー (ID プロバイダー) が自社のユーザー アカウントを制御し、その一方で別のパートナー (リソース プロバイダー) が、ID プロバイダーが実行した認証に基づいてそのリソースへのアクセスを許可します。ユーザーの ID は、要求のセット、つまりユーザーについてサーバーが作成するステートメントとして定義されます。そのような要求の例には、ユーザーの名前、グループ、アクセス許可などがあります。ID フェデレーションにより、これらの ID 要求を共有できるようになります。
Microsoft Federation Gateway では、ID プロバイダーからの認証は、SAML (Security Assertion Markup Language) と呼ばれる標準の形式を使用して、ゲートウェイに提供されます。Microsoft Federation Gateway はその後、認証情報を、Microsoft サービスが使用可能なサービス トークンに変換します。
Windows Server® 2008 R2 の Microsoft Federation Gateway Supportにより、AD RMS が Microsoft Federation Gateway からトークンを受け入れて、証明書とライセンスに対してユーザーを認証できるようになります。たとえば、Microsoft Exchange Server 2010 は、AD RMS によって保護されているメッセージを、Active Directory ドメイン サービス (AD DS) インフラストラクチャを共有していない複数の組織間で送信できるようにすることで、この機能を使用するように設計されています。Exchange Server 2010 インフラストラクチャがこれらの機能を使用するように構成されている場合、ユーザーは、AD RMS によって保護されている電子メール メッセージを、送信者の組織の外部にいる受信者に送信できます。受信者は、Exchange Server 2010 Outlook Web App または Microsoft Outlook を使用してメッセージを表示できます。さらに、送信者は、Exchange Server 2010 のアクセス許可を使用してジャーナルやマルウェア スキャンなどの目的でコンテンツを解読する受信者の組織に、アクセス許可を付与することもできます。
AD RMS 上での Microsoft Federation Gateway Supportの展開の詳細については、「チェック リスト: AD RMS と Microsoft Federation Gateway のサポートの展開」を参照してください。