adfs with cloud service ~シングルサインオン最新手法~
TRANSCRIPT
自己紹介
2
宮川 麻里 (Mari Miyakawa)
MCT (Microsoft Certificate Trainer)
MVP (Most Valuable Professional for Office 365)
㈱IPイノベーションズにて以下の研修を主に担当
Windows Server / Active Directory Office 365 / Microsoft Azure
http://www.ipii.co.jp
System Center User Group Japan 所属
ADFS とは
4
認証されたユーザーに(クレームセットを含む)セキュリティトークン
を発行する。
クレームのルールを管理する。
Active Directory Federation Service
By Microsoft Technet
ADFSとは
6
ADDS ADFS
認証
①ADDSで認証される。
認証結果
②認証結果を確認するとADFSがトークンを受け渡す。
トークンの提示
①②
③
③トークンを提示して該当するアプリケーションにアクセス。
トークンの受渡
(セキュリティ)トークン
クレーム
クレーム
クレーム
署名
クレーム
ユーザーID
資格情報
役職
部署
…
ADFSの構成
8
CP RPClaim Provider Relying Party
なにで認証するか トークンを利用する場所
※Winodws Server 2012 R2
要求プロバイダ信頼 証明書利用者信頼
クレームの管理
13
クレームルール : クレームを定義する3種類のルール(規則)
受付
発行承認規則 発行変換規則
ADFS
受け付け変換規則
承認 発行
ADFS
CP RP RP
AD等から収集したクレーム
を集めてセキュリティトークン
を生成
トークンの発行を許可するか
拒否するかを評価する
利用するアプリ用に
トークンを変換する
① ② ③
クレームルール言語(テンプレート利用例)
18
たとえば [ 営業部 ] だけセキュリティトークンを発行する
受付変換規則
発行承認規則
発行変換規則
要求記述 ① [部署]を追加
②トークンには氏名やメールアドレスもいれてみる
③ [部署]以外を制限
④氏名・メールアドレス・部署を定義
カスタムリストを利用したクレーム言語
21
●すべての条件がTrueだったら発行部へ
カスタムルールの構造
条件部 発行部
条件文
条件文
条件文
…
●条件無し → 無条件で[True]とする
発行文
True
●発行するトークンの種類、属性・値のチェック
カスタムリストを利用したクレーム言語
23
カスタムルール例①
[Type = =“title”,Value = = “課長”]
=>issue(type = “Role”,value = “Leader”);
Titleというクレームに「課長」が入っていたら、Roleというクレームには「Leader」という値を入れて発行してね
カスタムリストを利用したクレーム言語
24
カスタムルール例②
C1:type = =“title”,Value = = “課長”]&&
=>issue(type = “Role”,value =c2.value + c1.value);
Titleというクレームに「課長」が入っていて、departmentというクレームに「Sales」が入っていたらRoleには2つの値を両方入れてクレームを発行してね
C2:type = =“department”,Value = = “Sales”]
多要素認証
30
②Azure Active Directoryの多要素認証を使う
・誰に対して
・登録されたデバイスを使用しているか?
・社内から?社外から?
Azure AD Premium
Powershell +クレームルールでさらに柔軟な設定も可能
多要素認証を利用させるための条件設定
多要素認証
31
②Azure Active Directoryの多要素認証を ADFS で使う
モバイルアプリ 通話 SMS
ワンタイムパスワード
多要素認証に利用できる手段が増える
モバイルアプリ 通話 SMS
ワンタイムパスワード
Azure AD Premium
AADConnect
33
ディレクトリ同期
ADFSの構成
ADFS監視
DirSync
AADSync
ADFS
FIM+Azure AD Connector
AADConnect
AADConnect Health
従来の機能
軽量、高速、シンプルなソリューション
(参考)ディレクトリ同期ツールの変革
34
DirSync AADSync AAD Connect
ディレクトリ同期を行うためのツール
Office 365管理ポータル
2015.09上旬現在
MicrosoftDownload Center
MicrosoftDownload Center
アップグレード終了のお知らせ
AADConnect
35
従来の方法でOffice 365へのSSOをADFSへ構成するには・・・
ADFSインストール
ディレクト同期
Convert-MsolDomainToFederatedでADFSを有効化
証明書・サービスアカウント準備・ドメイン登録・DNS設定
フェデレーションドメインを構成
ADFS構成
AADConnect
37
Microsoft Download センター
機能要件Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2
AADConnect
40
ADDS AADConnect
LDAP Directory
Coming Soon(予定) Active Directory 以外のID
ストアの同期もサポート(予定)
ADFS
42
AzureAD Premium 必要AzureAD Connect Health
エージェントをここからダウンロードしてADFS へインストール
エージェントが情報を収集してAzure ADへ送る
ADFS on Window Server 2016の 新機能
45
LDAP v3 ディレクトリからの認証
OpenID Connect
access control policies の GUI 改良
多数のアップデートの中から、以下をピックアップ
SQLServer
LDAP V3 Directory からの認証
47
ADFS
Office 365
Active Directory
SaaS
Azure
ADLDS
Windows Server 2012 R2 時代に対応していた認証ストア
SQLServer
LDAP V3 Directory からの認証
48
ADFS
Office 365
LDAP Directory
Active Directory
SaaS
Azure
ApachDS
OpenLDAP
ADLDS
Windows Server 2016 TP3では増加
LDAP Directory からの認証
49
Office 365LDAP Directory への接続の構成
New-AdfsLdapServerConnection
クレーム属性とのマッピング
New-AdfsLdapAttributeToClaimMapping
ローカルクレームプロバイダの登録
Add-AdfsLocalClaimsProviderTrust
https://technet.microsoft.com/ja-jp/library/dn823754.aspx
51
OpenID Connect
oAuth2.0をベースに認証やセッション管理ができるように拡張したプロトコル
OpenID1.0
OpenID2.0
OpenIDConnect
oAuth2.0oAuth1.0
OpenID 2.0・・・Webアプリ間でのアカウント連携
oAuth 2.0・・・・WebアプリとNativeアプリ間とのAPI連携
2015.04.20
OpenID 2.0 サポート終了
OpenID Connect へ
52
ADFS
Office 365
OpenID Connect のサポート
WS-Federation/SAML
OpenID Connect
ADFSからクラウドサービスへの接続
エンドポイント
API
53
ADFS
OpenID Connect のサポート
ADFS Management [Application Groups]へアプリケーションの登録
App
PowerShellのみでなく
GUIでも登録可能に!