Understanding Key AD FS Concepts

Active Directory フェデレーション サービス (AD FS) の重要な概念について学習し、その機能セットに習熟することをお勧めします。

ヒント

その他の AD FS リソースリンクについては、「AD FS の主要な概念」を参照してください。

このガイドで使用される AD FS の用語

AD FS の用語 定義
アカウント パートナー組織 フェデレーション サービスにおいて、要求プロバイダー信頼で表されるフェデレーション パートナー組織。 アカウント パートナー組織には、リソース パートナーの Web ベース アプリケーションにアクセスするユーザーが含まれます。
アカウント フェデレーション サーバー アカウント パートナー組織のフェデレーション サーバー。 アカウント フェデレーション サーバーは、ユーザー認証に基づいてユーザーにセキュリティ トークンを発行します。 このサーバーは、ユーザーを認証し、関連する属性およびグループ メンバーシップ情報を属性ストアから抽出します。次に、この情報を要求としてパッケージ化し、セキュリティ トークン (要求を含む) を生成および署名してユーザーに返します。このトークンは自身の組織で使用したり、パートナー組織に送信することができます。
AD FS 構成データベース 1 つの AD FS インスタンスまたはフェデレーション サービスを表す構成データすべてを格納するために使用されるデータベース。 この構成データは、SQL Server データベースに格納するか、または Windows Internal Database 機能 (Windows Server 2016、Windows Server 2012 および 2012 R2、Windows Server 2008 および 2008 R2 に付属) を使用して格納できます。

SQL Server では Fsconfig.exe コマンド ライン ツールを、Windows Internal Database では AD FS フェデレーション サーバー構成ウィザードを使用して、AD FS 構成データベースを作成することができます。
要求プロバイダー 要求をユーザーに提供する組織。 アカウント パートナー組織を参照してください。
要求プロバイダー信頼 AD FS 管理スナップインにおける要求プロバイダー信頼とは、通常はリソース パートナー組織内に作成される信頼オブジェクトです。このオブジェクトは、リソース パートナー組織のリソースにアクセスするアカウントを持つ、信頼関係内の組織を表します。 要求プロバイダー信頼オブジェクトは、ローカルのフェデレーション サービスに対してこのパートナーを識別する各種の ID、名前、および規則で構成されています。
ローカルの要求プロバイダー信頼 AD LDS を表す、または AD FS ファーム内のサード パーティの LDAP ベースのディレクトリ を表す信頼オブジェクト。 ローカルの要求プロバイダー信頼オブジェクトは、ローカルのフェデレーション サービスに対してこの LDAP ベースのディレクトリを識別する各種の ID、名前、および規則で構成されています。
フェデレーション メタデータ 要求プロバイダー信頼と証明書利用者信頼を正しく構成できるように、要求プロバイダーと証明書利用者の間で構成情報の通信を行うためのデータ形式。 このデータ形式は、SAML (Security Assertion Markup Language) 2.0 で定義され、WS-Federation で拡張されています。
フェデレーション サーバー AD FS フェデレーション サーバー構成ウィザードを使用して、フェデレーション サーバーの役割で動作するように構成されている Windows Server。 フェデレーション サーバーはトークンを発行し、フェデレーション サービスの一部として機能します。
フェデレーション サーバー プロキシ AD FS フェデレーション サーバー プロキシ構成ウィザードを使用して、インターネット クライアントと、企業ネットワーク上のファイアウォールの背後にあるフェデレーション サービスとの間の中間プロキシ サービスとして動作するように構成されている Windows Server。
プライマリ フェデレーション サーバー AD FS フェデレーション サーバー構成ウィザードを使用して、フェデレーション サーバーの役割で動作するように構成された Windows Server。AD FS 構成データベースの読み書き可能なコピーが格納されています。

AD FS フェデレーション サーバー構成ウィザードを使用し、新しいフェデレーション サービスを作成して、そのコンピューターに、ファーム内の最初のフェデレーション サーバーを作成するオプションを選択すると、プライマリ フェデレーション サーバーが作成されます。 このファーム内の他のすべてのフェデレーション サーバーは、プライマリ フェデレーション サーバーに対して行われた変更を、ローカルに格納されている AD FS 構成データベースの読み取り専用コピーにレプリケートする必要があります。 AD FS 構成データベースが SQL Server データベースに格納されている場合は、すべてのフェデレーション サーバーが、SQL Server に格納されている構成データベースで均等に読み書きできるため、"プライマリ フェデレーション サーバー" という用語には該当しません。
証明書利用者 要求を受け取って処理する組織。 リソース パートナー組織を参照してください。
証明書利用者信頼 AD FS 管理スナップインにおける証明書利用者信頼とは、一般的に次の組織で作成される信頼オブジェクトです。

- アカウント パートナー組織。リソース パートナー組織のリソースにアクセスするアカウントを持つ、信頼関係内の組織を表します。
- リソース パートナー組織。フェデレーション サービスと、1 つの Web ベース アプリケーションとの間の信頼を表します。

証明書利用者信頼オブジェクトは、ローカルのフェデレーション サービスに対して上記のパートナーまたは Web アプリケーションを識別する各種の ID、名前、および規則で構成されています。

リソース フェデレーション サーバー リソース パートナー組織のフェデレーション サーバー。 リソース フェデレーション サーバーは通常、アカウント フェデレーション サーバーによって発行されたセキュリティ トークンに基づいて、ユーザーにセキュリティ トークンを発行します。 このサーバーは、セキュリティ トークンを受信して署名を検証し、パッケージ化されていない要求に要求規則ロジックを適用して、必要な出力方向の要求を作成します。次に、受信セキュリティ トークンの情報に基づいて新しいセキュリティ トークン (出力方向の要求を含む) を生成し、新しいトークンに署名してユーザーおよび最終的に Web アプリケーションに返します。
リソース パートナー組織 フェデレーション サービスにおいて、証明書利用者信頼で表されるフェデレーション パートナー。 リソース パートナーは要求ベースのセキュリティ トークンを発行します。このトークンには、アカウント パートナーのユーザーがアクセスできる公開された Web ベース アプリケーションが含まれています。

AD FS の概要

AD FS は、ユーザー アカウントとアプリケーションが完全に別のネットワークまたは組織に配置されている場合でも、クライアント コンピューター (ネットワークの内部または外部にある) に対し、保護されたインターネット接続アプリケーションまたはサービスへのシームレスな SSO アクセスを提供する ID アクセス ソリューションです。

アプリケーションまたはサービスとユーザー アカウントが別のネットワークに存在する場合、ユーザーがアプリケーションまたはサービスにアクセスしようとすると、通常は 2 次的な資格情報の入力を求められます。 この 2 次的な資格情報は、アプリケーションまたはサービスが存在する領域内でのユーザー情報を表します。 通常、これらの情報はアプリケーションまたはサービスをホストする Web サーバーによって要求され、最適な承認判断を下すために使用されます。

AD FS では、信頼関係 (フェデレーション信頼) を提供することで、2 次的な資格情報の要求を組織で省略することができます。この信頼関係を使用して、組織は、ユーザーのデジタル ID と信頼されたパートナーへのアクセス権を提示できます。 このフェデレーション環境では、各組織は自身の組織の ID を引き続き管理しますが、他の組織からの ID を安全に提示したり受け入れることができるようになります。