ID フェデレーションについて

適用先: Exchange Server 2010 SP2

シングル サインオンによりユーザーは、1 つのユーザー名とパスワードで、社内とクラウドベースの両方の組織にアクセスすることができます。シングル サインオンは、ユーザーにとってなじみのあるサインオン エクスペリエンスであり、これにより管理者は、社内の Active Directory 管理ツールを使用してクラウドベース組織のメールボックスのアカウント ポリシーを簡単に制御できます。

詳細については、シングル サインオンを準備する

ハイブリッド展開でのシングル サインオン

シングル サインオンの展開には、社内の Active Directory フェデレーション サービス (AD FS) サーバーと Microsoft Federation Gateway 間の信頼関係を構成するためのコンポーネントがいくつか含まれます。この信頼関係の確立および構成のために必要なハイレベルのコンポーネントを以下に示します。

• Active Directory フェデレーション サービス   AD FS は、Microsoft フェデレーション ゲートウェイが、さまざまなタイプの認証を対象に、クライアントを AD FS サーバーにリダイレクトするために使用する各種エンドポイントを提供します。AD FS は、社内ネットワーク組織を構成する独立した物理サーバーにインストールする必要があります。

• Microsoft ID フェデレーション PowerShell モジュール   このモジュールは、社内 AD FS サーバーと Microsoft フェデレーション ゲートウェイの信頼確立のための構成を自動化します。エンドポイントと証明書のデータが AD FS から集められ、組織ドメインの Microsoft フェデレーション ゲートウェイに提供されます。

必須ではありませんが、シングル サインオンの展開を計画している場合は、組織に Active Directory の同期をインストールすることを強くお勧めします。ディレクトリ同期は、社内ユーザーの Active Directory アカウント プロパティとクラウドベース サービスの同期を取るために使用します。シングル サインオンでは、ユーザーのログイン要求と照合するため、Microsoft Federation Gateway でクラウドベースの ID を利用できるようになっている必要があります。ディレクトリ同期を社内組織に展開することにより、管理者は、新しいユーザー アカウント、連絡先、およびグループをクラウドベースの組織に自動でレプリケートし、Microsoft Federation Gateway のログイン リダイレクトに関わる問題を防止できます。

 © 2010 Microsoft Corporation.All rights reserved.