パートナー組織の構成

Active Directory フェデレーション サービス (AD FS) で新しいパートナー組織を展開するには、AD FS の設計に応じて、「チェックリスト: リソース パートナー組織を構成する」または「アカウント パートナー組織の構成に関するチェックリスト」のタスクを実行します。

アカウント パートナー組織について

アカウント パートナーとは、AD FS でサポートされている属性ストアにユーザー アカウントを物理的に格納する、フェデレーション信頼関係を結んだ組織のことです。 アカウント パートナーは、ユーザーの資格情報の収集と認証、そのユーザー用の要求の作成、およびセキュリティ トークンへの要求のパッケージを行います。 このトークンをフェデレーションの信頼間で提示することにより、リソース パートナーの組織に配置されている Web ベースのリソースにアクセスできます。

つまり、アカウント パートナーは、アカウント側のフェデレーション サーバーがセキュリティ トークンを発行する対象となるユーザーの組織を表します。 アカウント パートナーの組織におけるフェデレーション サーバーでは、ローカル ユーザーが認証され、リソース パートナーが承認の判断を行う際に使用するセキュリティ トークンが作成されます。

属性ストアに関しては、AD FS におけるアカウント パートナーとは、物理的に別のフォレストにあるリソースへアクセスする必要のあるアカウントを持つ、単一の Active Directory フォレストと概念的に同じものです。 このフォレスト内にあるアカウントは、2 つのフォレスト間に外部の信頼関係またはフォレストの信頼関係が存在し、かつユーザーがアクセスしようとしているリソースに適切な承認アクセス許可が設定されていた場合にのみ、リソース フォレスト内のリソースにアクセスできます。

リソース パートナー組織について

リソース パートナーは、Web サーバーが配置される AD FS の展開内の組織です。 リソース パートナーは、アカウント パートナーを信頼して、ユーザーを認証します。 そのため、リソース パートナーは、アカウント パートナー内のユーザーから送信されるセキュリティ トークン内にパッケージされた要求を使用して、承認の判断を行います。

つまり、リソース パートナーは、リソース側のフェデレーション サーバーによって保護された Web サーバーを所有する組織を表します。 リソース パートナーにおけるフェデレーション サーバーでは、アカウント パートナーによって作成されたセキュリティ トークンを使用して、リソース パートナー内の Web サーバーに対して承認の判断を行います。

AD FS リソースとして機能するには、リソース パートナー組織の Web サーバーに、Windows Identity Foundation (WIF) がインストールされているか、または Active Directory フェデレーション サービス (AD FS) 1.x の要求対応 Web エージェントの役割サービスがインストールされている必要があります。 AD FS リソースとして機能する Web サーバーは、Web ブラウザー ベースまたは Web サービス ベースのアプリケーションをホストできます。