AD DS

あなたのActive Directory内の組織的なパートナーは、フェデレーションサービス(AD FS)の展開が正常に共同作業を行うことができ、まず企業ネットワークインフラストラクチャはアカウント、名前解決、および証明書のAD FSの要件をサポートするように構成されていることを確認しなければならないようにします。 AD FSは、要件は、次の種類があります:

ヒント
あなたは、 Microsoft TechNetのウィキ上のAD FSのコンテンツマップのページで、追加のAD FSリソースへのリンクを見つけることができます。このページは、AD FSコミュニティのメンバーによって管理されているとAD FS製品チームによって定期的に監視されている。
ソフトウェア要件
AD FSは、Windows Serverに組み込まれているサーバ機能® 2012オペレーティングシステムに依存しています。
注意
フェデレーションサービスとフェデレーションサービスプロキシ役割サービスは、同じコンピュータ上に共存させることはできません。
証明書の要件

証明書は、フェデレーションサーバー、フェデレーションサーバープロキシ、要求に対応するアプリケーション、およびWebクライアント間の通信を確保する最も重要な役割を果たしています。証明書の要件は、フェデレーションサーバーまたはこの項で説明するようにフェデレーションサーバープロキシコンピュータを、設定されているかどうかによって異なります。

フェデレーションサーバー証明書

フェデレーションサーバーでは、次の表の証明書が必要。
フォームの始まり
展開する前に、あなたが知っておくべきこと

セキュアソケットレイヤー(SSL )証明書

このフェデレーション•サーバーとクライアント間の通信に固定するために使用される標準のSSL(Secure Sockets Layer)証明書である。

この証明書は、フェデレーションサーバーまたはフェデレーションサーバープロキシは、インターネットインフォメーションサービスの既定のWebサイト(IIS)にバインドする必要があります。フェデレーションサーバープロキシの場合は、結合前に正常フェデレーションサーバープロキシ構成ウィザードを実行するIISで設定する必要があります。

推奨事項:この証明書は、AD FSのクライアントから信頼されなければならないので、例えば、ベリサインのパブリック(サードパーティ)証明機関(CA)によって発行されたサーバー認証証明書を使用しています。

ヒントヒント

この証明書のサブジェクト名は、展開するAD FSの各インスタンスのフェデレーションサービス名を表すために使用されます。このような理由から、あなたは最高のあなたの会社やパートナーへの組織の名前を表す任意の新しいCA発行の証明書のサブジェクト名を選択することを検討する必要があります。

サービス通信証明書

この証明書は、フェデレーションサーバー間の通信を確保するためのWCFメッセージセキュリティを有効にします。

デフォルトでは、 SSL証明書は、サービス通信証明書として使用される。これは、 AD FSの管理コンソールを使用して変更できます。

トークン署名証明書

これは確実にすべてのトークンそのフェデレーションサーバーの問題を署名するために使用される標準的なX509証明書です。

トークン署名証明書は、秘密鍵が含まれている必要があり、そしてそれは、フェデレーションサービスで信頼されたルートにチェーンべき。デフォルトでは、 AD FSは、自己署名証明書を作成します。ただし、組織のニーズに応じて、スナップインをAD FSの管理]を使用してCA発行の証明書に後でこれを変更することができます。

トークン解読証明書

これは、復号化パートナーのフェデレーションサーバーによって暗号化されているすべての着信トークンに使用される標準的なSSL証明書です。また、フェデレーションメタデータで公開されています。

デフォルトでは、 AD FSは、自己署名証明書を作成します。ただし、組織のニーズに応じて、スナップインをAD FSの管理]を使用してCA発行の証明書に後でこれを変更することができます。

注意注意

トークン署名とトークンの復号化に使用される証明書は、フェデレーションサービスの安定性にとって重要です。この目的のために設定されているすべての証明書が失われたり、予定外の除去は、サービスを中断させることができるので、この目的のために設定されているすべての証明書をバックアップする必要があります。

フェデレーションサーバーを使用した証明書の詳細については、フェデレーションサーバーの証明書の要件を参照してください。

フェデレーションサーバープロキシの証明書

フェデレーションサーバープロキシは、次の表の証明書が必要。

証明書のタイプ

説明

展開する前に、あなたが知っておくべきこと

サーバー認証証明書

これは、フェデレーションサーバープロキシとインターネットクライアントコンピュータ間の通信に固定するために使用される標準のSSL(Secure Sockets Layer)証明書である。

あなたが正常にAD FSフェデレーションサーバープロキシの構成ウィザードを実行する前に、この証明書は、インターネットインフォメーションサービスの既定のWebサイト(IIS)にバインドする必要があります。

推奨事項:この証明書は、AD FSのクライアントから信頼されなければならないので、例えば、ベリサインのパブリック(サードパーティ)証明機関(CA)によって発行されたサーバー認証証明書を使用しています。

ヒント:この証明書のサブジェクト名は、展開するAD FSの各インスタンスのフェデレーションサービス名を表すために使用されます。このような理由から、あなたは最高のあなたの会社やパートナーへの組織の名前を表すサブジェクト名を選択することを検討する必要があります。

フェデレーションサーバープロキシが使用する証明書の詳細については、フェデレーションサーバープロキシの証明書の要件を参照してください。

ブラウザの要件

JavaScriptの機能を備えた任意の現在のWebブラウザがAD FSクライアントとして動作させることができますが、デフォルトで提供されるWebページは、 Internet Explorerバージョン7.0 、 8.0および9.0は、Windows上のMozilla Firefoxの3.0 、およびSafari 3.1に対してテストされています。 JavaScriptを有効にする必要があり、クッキーは、ブラウザベースのために有効にする必要がサインインし、正しく動作するようにサインアウト。

MicrosoftのAD FS製品チームに成功を次の表に、ブラウザとオペレーティングシステム構成をテストした。

ブラウザ

Windows 7の

Windows Vistaの

インターネットエクスプローラ7.0

X

X

インターネットエクスプローラ8.0

X

X

インターネットエクスプローラ9.0

X

未テスト

FireFoxの3.0

X

X

サファリ3.1

X

X

メモに注意してください

AD FSは、上記の表に示したすべてのブラウザの32ビットおよび64ビット版の両方をサポートしています。

クッキー

AD FSは、サインイン提供するために、クライアントコンピュータ上に格納されている必要があり、セッションベースと永続的なCookieを作成し、サインアウト、シングルサインオン(SSO) 、およびその他の機能。したがって、クライアントブラウザがCookieを受け入れるように設定する必要があります。認証に使用されるクッキーは、常に元のサーバーのために書かれているハイパーテキスト転送プロトコル(HTTPS)セッションクッキーセキュアです。クライアントのブラウザがこれらのクッキーを許可するように設定されていない場合、 AD FSが正常に機能することはできません。永続的なクッキーは、特許請求の範囲プロバイダのユーザ選択を保持するために使用される。あなたは、AD FSページのサインインの構成ファイルに構成設定を使用してそれらを無効にすることができます。

TLS / SSLのサポートは、セキュリティ上の理由から必要とされる。

ネットワーク要件

次のネットワークサービスを適切に設定することにより、組織内のAD FSの展開を成功させるために重要である。

TCP / IPネットワーク接続

関数へのAD FSの場合、 TCP / IPネットワーク接続では、クライアントとの間に存在する必要があります。ドメインコントローラ、およびホストフェデレーションサービス、フェデレーションサービスプロキシ(それが使用されている場合) 、およびAD FS Webエージェントをコンピュータを。

DNS

Active Directoryドメインサービス(AD DS )以外のAD FSの動作にとって重要であるプライマリ•ネットワーク•サービスは、ドメインネームシステム(DNS)です。 DNSがデプロイされると、ユーザは、 IPネットワーク上のコンピュータやその他のリソースに接続するために覚えやすいフレンドリーなコンピュータ名を使用することができます。

Windows Server 2008には、代わりにWindows NT 4.0ベースのネットワークで使用されていたWindowsインターネットネームサービス(WINS) NetBIOS名前解決の名前解決にDNSを使用しています。それを必要とするアプリケーションにWINSを使用することが可能である。しかし、 AD DSおよびAD FSには、DNSの名前解決が必要です。

AD FSをサポートするためにDNSを構成するプロセスは、かどうかに応じて異なります。
あなたの組織では、既存のDNSインフラストラクチャを持っています。企業ネットワーク内のWebブラウザクライアントがインターネットへのアクセス権を持つようにほとんどのシナリオでは、 DNSがすでにネットワーク全体で設定されています。インターネットアクセスと名前解決がAD FSの要件であるため、このインフラストラクチャがあなたのAD FSの展開のための場所であると見なされます。

あなたの会社のネットワークに、フェデレーテッド•サーバーを追加していきます。企業ネットワーク内のユーザを認証するために、企業ネットワークフォレストの内部DNSサーバーは、フェデレーションサービスを実行している内部サーバーのCNAMEを返すように構成する必要があります。詳細については、フェデレーションサーバーの名前解決の要件を参照してください。

あなたの境界ネットワークへのフェデレーテッド•サーバーのプロキシを追加する予定。あなたのアイデンティティパートナー組織の企業ネットワークに配置されているユーザーアカウントを認証する場合は、企業ネットワークフォレストの内部DNSサーバーは、内部のCNAMEを返すように構成されている必要がありフェデレーションサーバープロキシ。フェデレーションサーバープロキシの追加に対応するようにDNSを構成する方法については、フェデレーションサーバープロキシのための解決の要件に名前を参照してください。

あなたは、テストラボ環境にDNSを設定している。あなたが単一のルートDNSサーバが正式でないテストラボ環境でAD FSを使用する予定がある場合、それはあなたが2つ以上のフォレスト間で名前のクエリが適切に転送されるようにDNSフォワーダを設定しなければならない可能性が高い。 AD FSのテストラボ環境をセットアップする方法に関する一般的な情報については、 AD FSのステップバイステップと使い方ガイド( http://go.microsoft.com/fwlink/?LinkId=180357 )へを参照してください。

属性ストアの要件

AD FSは、少なくとも1つの属性ストアがユーザーを認証し、それらのユーザーのためのセキュリティクレームを抽出するために使用されている必要があります。 AD FSがサポートする属性ストアのリストについては、 AD FSの設計ガイドの属性ストアの役割を参照してください。

メモに注意してください

AD FSは、デフォルトで自動的に、 Active Directoryの属性ストアを作成します。

属性ストアの要件は、組織がアカウントパートナー(フェデレーションユーザーをホストしている)、またはリソースパートナー(フェデレーションアプリケーションをホストしている)として機能しているかによって異なります。

AD DS

AD FSが正常に動作するには、アカウントパートナー組織またはリソースパートナー組織のどちらかのドメインコントローラは、Windows Server 2003 SP1は、Windows Server 2003 R2は、Windows Server 2008 、またはWindows Server 2012を実行している必要があります。

AD FSをインストールし、ドメインに参加しているコンピュータ上で構成されている場合、そのドメインのActive Directoryユーザーアカウントストアは、選択可能な属性ストアとして利用できるようになります。

重要重要

AD FSは、インターネットインフォメーションサービス( IIS)をインストールする必要がありますので、我々はあなたがセキュリティ上の理由から、本番環境でドメインコントローラにAD FSのソフトウェアをインストールしないことをお勧めします。ただし、この構成は、マイクロソフトカスタマーサービス•サポートでサポートされています。

スキーマ要件

AD FSは、AD DSのスキーマの変更または機能レベルの変更を必要としません。

機能レベルの要件

ほとんどのAD FS機能は、 AD DSの機能レベルの変更が正常に動作する必要はありません。ただし、Windows Server 2008のドメイン機能レベル以上は、証明書が明示的にAD DSにユーザーのアカウントにマップされている場合、正常に動作するようにクライアント証明書の認証に必要です。

サービスアカウントの要件

フェデレーションサーバーファームを作成している場合は、最初にフェデレーションサービスが使用できるAD DSに専用のドメインベースのサービスアカウントを作成する必要があります。後で、このアカウントを使用するには、ファーム内の各フェデレーションサーバーを構成します。これを実行する方法の詳細については、参照して手動でAD FSの展開ガイドのフェデレーションサーバーファームのサービスアカウントを設定します。

LDAP

あなたは他のライトウェイトディレクトリアクセスプロトコル(LDAP)ベースの属性を格納で作業するときは、 Windows統合認証をサポートしているLDAPサーバーに接続する必要があります。 RFC 2255に記載されているようにLDAP接続文字列はまた、 LDAP URLの形式で記述する必要があります。

SQLサーバー

AD FSが正常に動作するには、構造化照会言語( SQL) Server属性ストアは、Microsoft SQL Server 2005またはSQL Server 2008のいずれかを実行している必要があり、ホストコンピュータ。あなたは、SQLベースの属性を格納で作業するときは、接続文字列を設定する必要があります。

カスタム属性を格納

あなたは、高度なシナリオを有効にするには、カスタム属性ストアを開発することができます。 AD FSに組み込まれているポリシー言語は、次のシナリオのいずれかに高めることができるように、カスタム属性ストアを参照できます。
ローカルで認証されたユーザのクレームを作成する

外部的に認証されたユーザーのために補足するクレーム

ユーザはトークンを取得する承認

ユーザの行動にトークンを取得するサービスを認可

カスタム属性ストアで作業するときは、接続文字列を設定する必要があります。この状況では、カスタム属性ストアへの接続を可能にするあなたが好きなカスタムコードを入力することができます。この状況での接続文字列は、カスタム属性ストアの開発者が実装のように解釈されます。名前/値のペアのセットです。

カスタム属性ストアを開発し、使用方法の詳細については、属性ストアの概要( http://go.microsoft.com/fwlink/?LinkId=190782 )を参照してください。

募集要項

フェデレーションサーバーと通信し、そのような要求に対応するアプリケーションなどのフェデレーションアプリケーションを保護することができます。

認証要件

AD FSは、既存のWindows認証を使用して自然に統合され、例えば、 Kerberos認証は、 NTLM、スマートカード、 X.509 v3のクライアント側の証明書。フェデレーションサーバーでは、ドメインに対してユーザーを認証するために標準のKerberos認証を使用しています。クライアントは、認証の設定方法に応じて、フォームベースの認証、スマートカード認証、 Windows統合認証を使用して認証することができます。

AD FSフェデレーションサーバープロキシの役割は、ユーザーが外部からSSLクライアント認証を使用して認証することが可能なシナリオになります。一般的にほとんどのシームレスなユーザー•エクスペリエンスは、Windows統合認証用のアカウントフェデレーションサーバーを構成することによって達成されたがまた、 SSLクライアント認証を要求するようにフェデレーションサーバーの役割を構成することができます。この状況では、 AD FSは、ユーザーがWindowsのデスクトップのログオン用に採用して何の資格を制御できません。

スマートカードログオン

AD FSは、認証(パスワード、 SSLクライアント認証、または統合Windows認証)に使用する資格情報の種類を強制することができますが、それは直接スマートカードによる認証を強制しません。したがって、 AD FSは、スマートカードの個人識別番号(PIN )の資格を得るために、クライアント側ユーザインタフェース(UI )を提供しない。 Windowsベースのクライアントが意図的にフェデレーションサーバーsまたはWebサーバーにユーザーの資格情報の詳細を提供しないためです。

スマートカード認証

スマートカード認証は、アカウントフェデレーションサーバーへの認証にKerberosプロトコルを使用しています。 AD FSは、新たな認証方式を追加するように拡張することができない。スマートカードでの証明書は、クライアントコンピュータ上の信頼されたルートにチェーンアップする必要はありません。 AD FSでスマートカードベースの証明書を使用するには、次の条件を満たす必要があります。
スマートカードのリーダーおよび暗号化サービスプロバイダ(CSP )は、ブラウザが存在するコンピュータ上で動作する必要があります。

スマートカード証明書は口座に信頼されたルートまで連鎖する必要がありフェデレーションサーバーとアカウントフェデレーションサーバープロキシ。

証明書には、次のいずれかの方法でAD DSにユーザーアカウントにマップする必要があります:
証明書のサブジェクト名は、AD DSのユーザーアカウントのLDAP識別名に対応しています。
証明書のサブジェクトALTNAME拡張は、AD DSのユーザーアカウントのユーザープリンシパル名( UPN)を持っています。一部のシナリオで特定の認証強度要件をサポートするためには、ユーザが認証された方法を示すクレームを作成するAD FSを構成することも可能である。依拠当事者はその後、承認決定を行うためにこの主張を使用することができます。

カテゴリー: 未分類

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。