クラウドで始めるactive directory
DESCRIPTION
クラウドもしくはクラウドと共に利用可能なActive Directory関連技術と利用シナリオを紹介します。TRANSCRIPT
クラウドで始める Active Directory株式会社ソフィアネットワーク
国井 傑 (くにい すぐる)
スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/
自己紹介
Copyright 2014 Sophia Network Ltd.2
Microsoft MVP for Directory Services (2006~2015)
マイクロソフト認定トレーナー(1997~)
ブログAlways on the clock
@sophiakunii
株式会社ソフィアネットワーク 所属
連載~基礎から分かるActive Directory再入門
スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/
評価ガイドあります
Copyright 2014 Sophia Network Ltd.3
スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/
はじめに
Copyright 2014 Sophia Network Ltd.4
私たちが直面するID管理の現実
Copyright 2014 Sophia Network Ltd.5
認証とは、(主に)ユーザー名/パスワードを入力して本人確認を行うプロセス
Active DirectoryではKerberos(ケルベロス)と呼ばれるテクノロジーを使って、認証と承認(認可)を行う
認証のおさらい
Copyright 2014 Sophia Network Ltd.6
ID連携のおさらいトークンを利用してActive Directory ユーザーとクラウドサービス上のユーザーを関連付け
Copyright 2014 Sophia Network Ltd.7
【参考】用語解説 IdP/CPとSP/RP
Copyright 2014 Sophia Network Ltd.8
ID同期のおさらい
複数のディレクトリサービスに格納されるID情報を同期し、同じ情報を互いのサービスで利用できるようにすること
Copyright 2014 Sophia Network Ltd.9
3つのID管理テクノロジーをMS製品/サービスにマッピング
10
Microsoft Azure Active Directory (Azure AD)
Copyright 2014 Sophia Network Ltd.11
Azure 仮想マシンとして ADDS/ADFS を実装 基本的には、通常の仮想マシンを作成する操作と同じ操作で作成
仮想マシン作成時に提供されるディスクとは異なるディスクを用意して、Active Directoryをインストール
Azureから割り当てられる動的IPアドレスを利用
ドメイン参加する他の仮想マシンにはDHCPから割り当てられるDNSサーバーアドレスを利用する
Copyright 2014 Sophia Network Ltd.12
Azure AD 利用シナリオ
Copyright 2014 Sophia Network Ltd.13
現状のシステム構成から用途を考える Active Directoryドメインを保有していない場合
Active Directoryドメインを保有している場合
Copyright 2014 Sophia Network Ltd.14
Azure仮想マシンのADDS利用シナリオ
Copyright 2014 Sophia Network Ltd.15
Azure 仮想マシンでADDSを利用する上での注意事項 クラウドのみでのActive Directoryドメイン構成は非推奨
= Azure仮想マシンでのActive Directoryドメイン構成はオンプレミスとの組み合わせで利用することを前提
= オンプレミスとクラウドをAzure VPNで接続
Copyright 2014 Sophia Network Ltd.16
ローカルサブネット10.1.0.0/16
Subnet10.2.1.0/24
ドメインコントローラー10.2.1.4
Azure VNET10.2.0.0/16
サイト間VPN接続
利用シナリオを考える バックアップ/DRサイトとしての利用
クラウドで提供するサービスへのアクセスをドメインのIDで実現
Copyright 2014 Sophia Network Ltd.17
ローカルサブネット10.1.0.0/16
Subnet10.2.1.0/24
ドメインコントローラー10.2.1.4
Azure VNET10.2.0.0/16
サイト間VPN接続
ローカルサブネット10.1.0.0/16
Subnet10.2.1.0/24
ドメインコントローラー10.2.1.4
Azure VNET10.2.0.0/16
Webサーバー10.2.1.5
Azure仮想マシンのADFS利用シナリオ
Copyright 2014 Sophia Network Ltd.18
ADFSのシステム構成とAzureの相性 外部からのADFSサーバーへのアクセスにはプロキシの役割となるサーバーの設置が必須
= Webアプリケーションプロキシ(ADFSプロキシ)の設置が必須= 外部向けのIPアドレス(VIP)が自動的に割り当てられる
Azure仮想マシンはWebアプリケーションプロキシ実装を簡単にしてくれる
Copyright 2014 Sophia Network Ltd.19
ローカルサブネット10.1.0.0/16
Subnet10.2.1.0/24
ドメインコントローラー10.2.1.4
Azure VNET10.2.0.0/16
ADFSサーバー10.2.1.5
Subnet10.2.2.0/24
Webアプリケーションプロキシ10.2.2.4
ADFSの実装にAzure仮想マシンを積極活用 Office365との組み合わせの場合
Copyright 2014 Sophia Network Ltd.20
ローカルサブネット10.1.0.0/16
Subnet10.2.1.0/24
ドメインコントローラー10.2.1.4
Azure VNET10.2.0.0/16
ADFSサーバー10.2.1.5
Subnet10.2.2.0/24
Webアプリケーションプロキシ10.2.2.4
DirSyncサーバー10.2.1.6
使い始めると細かいことが気になり始める
Copyright 2014 Sophia Network Ltd.21
外出先からパスワードを変更したい
Azure 管理ポータルからパスワードリセットポリシーを有効にし、事前に携帯電話の番号を登録
アクセスパネルからパスワードリセットの登録を事前に行う
アクセスパネルからパスワードリセットが実行可能
リセットされたパスワードはDirSync によって AD ユーザーのパスワードが変更される
使い始めると細かいことが気になり始める
Copyright 2014 Sophia Network Ltd.22
デバイス種類に応じて接続を制限したい
Start
Start
登録されたデバイスだけを許可するためのADFS設定
Copyright 2014 Sophia Network Ltd.23
ADFSサーバーのクレームルール言語で多彩な制限が可能
Active Directoryに保存される情報
Copyright 2014 Sophia Network Ltd.24
まとめ ~ ID管理にAzureサービスを活用する
Copyright 2014 Sophia Network Ltd.25
ADFS トレーニングコース開催しています!http://www.crie-illuminate.jp/
Copyright 2014 Sophia Network Ltd.26
Active Directory フェデレーション サービス トレーニング
Office 365ユーザー認証ベストプラクティス (2日コース)Microsoft Azure を活用した ADFS 構築 (1日コース)
Microsoft Confidential27
We don’t even have to try,It’s always a good time.
from “good time” by owl city & carly rae jepsen