System Center User Group Japan

第13回 勉強会

ADFS With Cloud Service

～シングルサインオン最新手法～

2015.09.12

自己紹介

2

宮川 麻里 (Mari Miyakawa）

MCT (Microsoft Certificate Trainer)

MVP (Most Valuable Professional for Office 365)

㈱IPイノベーションズにて以下の研修を主に担当

Windows Server / Active Directory Office 365 / Microsoft Azure

http://www.ipii.co.jp

System Center User Group Japan 所属

ADFS のおさらい

3

ADFS とは

4

認証されたユーザーに（クレームセットを含む）セキュリティトークン

を発行する。

クレームのルールを管理する。

Active Directory Federation Service

By Microsoft Technet

ADFSとは

5

ADDSファイルサーバー

認証

①TGT

受取

②

TGT

提示し

ST受け

取り

③

④ ST提示してサーバーへ

アクセス

Active Directoryによる認証と認可の動き

ADFSとは

6

ADDS ADFS

認証

①ADDSで認証される。

認証結果

②認証結果を確認するとADFSがトークンを受け渡す。

トークンの提示

①②

③

③トークンを提示して該当するアプリケーションにアクセス。

トークンの受渡

（セキュリティ）トークン

クレーム

クレーム

クレーム

署名

クレーム

ユーザーID

資格情報

役職

部署

…

ADFS の構成

7

ADFSの構成

8

CP RPClaim Provider Relying Party

なにで認証するか トークンを利用する場所

※Winodws Server 2012 R2

要求プロバイダ信頼 証明書利用者信頼

ADFSの構成

9

CP

RP

Microsoft Office 365

Identity Platform

要求プロバイダ信頼

証明書利用者信頼

Active Directory

トークン受け渡しの制御方法

10

トークン受け渡しの制御方法

11

クレームルール

多要素認証

クレームルール

12

クレームルール = 要求規則

受信したクレームにさまざまな条件を付与

ユーザーアクセスの許可・拒否の承認

クレームの管理

13

クレームルール : クレームを定義する３種類のルール（規則）

受付

発行承認規則 発行変換規則

ADFS

受け付け変換規則

承認 発行

ADFS

CP RP RP

AD等から収集したクレーム

を集めてセキュリティトークン

を生成

トークンの発行を許可するか

拒否するかを評価する

利用するアプリ用に

トークンを変換する

① ② ③

クレームの管理

14

受け付け変換規則

[要求プロバイダー信頼]から構成

この値が証明書利用者信頼に渡す値

①

元々ある10個の属性は削除禁止！

クレームの管理

15

発行承認規則

次の処理「発行変換規則」へ行くか拒否かを判断。既定では[すべてのユーザーにアクセスを許可]

[証明書利用者信頼]から構成

②

クレームの管理

16

発行変換規則

[証明書利用者信頼]から構成

③

「受付変換規則」で作成したトークンの中のクレームの取り扱い（そのまま受け渡し？一部変更？）などを定義

クレームルール言語

17

クレームルールの定義方法は2種類

要求規則テンプレート

カスタムルールを定義

あらかじめ用意されているテンプレート

テンプレートにないものを作成

クレームルール言語（テンプレート利用例）

18

たとえば [ 営業部 ] だけセキュリティトークンを発行する

受付変換規則

発行承認規則

発行変換規則

要求記述 ① [部署]を追加

②トークンには氏名やメールアドレスもいれてみる

③ [部署]以外を制限

④氏名・メールアドレス・部署を定義

ＤＥＭＯ

19

カスタムリストを利用したクレーム言語

20

要求規則言語を直接記入する

より複雑な発行処理が可能

カスタムリストを利用したクレーム言語

21

●すべての条件がTrueだったら発行部へ

カスタムルールの構造

条件部 発行部

条件文

条件文

条件文

…

●条件無し → 無条件で[True]とする

発行文

True

●発行するトークンの種類、属性・値のチェック

カスタムリストを利用したクレーム言語

22

カスタムルール

発行部

条件部

クレーム言語が表示できるので参考になります

カスタムリストを利用したクレーム言語

23

カスタムルール例①

[Type = =“title”,Value = = “課長”]

=>issue(type = “Role”,value = “Leader”);

Titleというクレームに「課長」が入っていたら、Roleというクレームには「Leader」という値を入れて発行してね

カスタムリストを利用したクレーム言語

24

カスタムルール例②

C1:type = =“title”,Value = = “課長”]＆＆

=>issue(type = “Role”,value =c2.value + c1.value);

Titleというクレームに「課長」が入っていて、departmentというクレームに「Sales」が入っていたらRoleには2つの値を両方入れてクレームを発行してね

C2:type = =“department”,Value = = “Sales”]

多要素認証

25

多要素認証

26

通常の認証にさらに別の要素を加えて認証を強化

多要素認証

27

ADFSにおける多要素認証

② Azure Active Directory の多要素認証を使う

① ADFS 本体が持っている多要素認証

2種類の実装方法

多要素認証

28

①ADFS本体の多要素認証

証明書による多要素認証

適正な証明書をもっているか確認できたらトークン発行

多要素認証

29

②Azure Active Directoryの多要素認証を使う

オンプレミスサーバーへMFAServerをインストール

Azure AD Premium

多要素認証

30

②Azure Active Directoryの多要素認証を使う

・誰に対して

・登録されたデバイスを使用しているか？

・社内から？社外から？

Azure AD Premium

Powershell +クレームルールでさらに柔軟な設定も可能

多要素認証を利用させるための条件設定

多要素認証

31

②Azure Active Directoryの多要素認証を ADFS で使う

モバイルアプリ 通話 SMS

ワンタイムパスワード

多要素認証に利用できる手段が増える

モバイルアプリ 通話 SMS

ワンタイムパスワード

Azure AD Premium

Azure AD Connect

32

Azure AD Connect Health

による ADFS の構成と監視

AADConnect

33

ディレクトリ同期

ADFSの構成

ADFS監視

DirSync

AADSync

ADFS

FIM+Azure AD Connector

AADConnect

AADConnect Health

従来の機能

軽量、高速、シンプルなソリューション

（参考)ディレクトリ同期ツールの変革

34

DirSync AADSync AAD Connect

ディレクトリ同期を行うためのツール

Office 365管理ポータル

2015.09上旬現在

MicrosoftDownload Center

MicrosoftDownload Center

アップグレード終了のお知らせ

AADConnect

35

従来の方法でOffice 365へのSSOをADFSへ構成するには・・・

ADFSインストール

ディレクト同期

Convert-MsolDomainToFederatedでADFSを有効化

証明書・サービスアカウント準備・ドメイン登録・DNS設定

フェデレーションドメインを構成

ADFS構成

AADConnect

36AADConnectが実施する範囲

ADFSインストール

ディレクト同期

証明書・サービスアカウント準備・ドメイン登録・DNS設定

フェデレーションIDを構成

ADFS構成

AADConnect

37

Microsoft Download センター

機能要件Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2

AADConnect

38

インストール

ディレクトリ同期のみADFSも構成

AADConnect

39

Synchronization Service Managerでフィルタリングした同期処理も可能

Miisclient.exe

AADConnect

40

ADDS AADConnect

LDAP Directory

Coming Soon（予定） Active Directory 以外のID

ストアの同期もサポート（予定）

ADFS

AzureAD Connect Health

41

AzureAD Premium 必要

Azure新ポータル-MarketPlace – セキュリティ＋ID

42

AzureAD Premium 必要AzureAD Connect Health

エージェントをここからダウンロードしてADFS へインストール

エージェントが情報を収集してAzure ADへ送る

43

AzureAD Connect Health

収集された情報をAzure上で確認

AzureAD Premium 必要

ADFS On Windows Server 2016

44

Technical Preview 3

2015/8/20 リリース

ADFS on Window Server 2016の 新機能

45

LDAP v3 ディレクトリからの認証

OpenID Connect

access control policies の GUI 改良

多数のアップデートの中から、以下をピックアップ

LDAP v3 ディレクトリからの認証

SQLServer

LDAP V3 Directory からの認証

47

ADFS

Office 365

Active Directory

SaaS

Azure

ADLDS

Windows Server 2012 R2 時代に対応していた認証ストア

SQLServer

LDAP V3 Directory からの認証

48

ADFS

Office 365

LDAP Directory

Active Directory

SaaS

Azure

ApachDS

OpenLDAP

ADLDS

Windows Server 2016 TP3では増加

LDAP Directory からの認証

49

Office 365LDAP Directory への接続の構成

New-AdfsLdapServerConnection

クレーム属性とのマッピング

New-AdfsLdapAttributeToClaimMapping

ローカルクレームプロバイダの登録

Add-AdfsLocalClaimsProviderTrust

https://technet.microsoft.com/ja-jp/library/dn823754.aspx

Open ID Connect のサポート

51

OpenID Connect

oAuth2.0をベースに認証やセッション管理ができるように拡張したプロトコル

OpenID1.0

OpenID2.0

OpenIDConnect

oAuth2.0oAuth1.0

OpenID 2.0・・・Webアプリ間でのアカウント連携

oAuth 2.0・・・・WebアプリとNativeアプリ間とのAPI連携

2015.04.20

OpenID 2.0 サポート終了

OpenID Connect へ

52

ADFS

Office 365

OpenID Connect のサポート

WS-Federation/SAML

OpenID Connect

ADFSからクラウドサービスへの接続

エンドポイント

API

53

ADFS

OpenID Connect のサポート

ADFS Management [Application Groups]へアプリケーションの登録

App

PowerShellのみでなく

GUIでも登録可能に！

Access Contorol Policies

Access Contorol Policies

55

認証方法の詳細をGUIにて構成可能

・接続場所（NetWork）制限

・利用デバイス制限

・クレームリクエスト

・多要素認証

など

まとめ

56

クラウドサービスとの連携において、より扱いやすいように進化しています。

ADFSはWindows Server 2016で不要になったわけではありません。

ぜひご活用下さい。