tech ed 2010 japan t1-304 次世代 microsoft online services のidおよびアクセス管理...

マクロソフト株式会社テクノロジー・ビジネス統括本部テクノロジースペシャリスト竹内宏之

次期 Microsoft Online Services の ID およびゕクセス管理～ AD FS 2.0 によるシングルサンオンの実現 1 ～

セッション ID: T1-304

2

セッションの目的とゴール Session Objectives and Takeaways

セッションの目的現在の Microsoft Online Services の ID 管理方法を理解していただく

次期 Microsoft Online Services と AD FS 2.0 を組み合わせた新しい認証方式の仕組みと設定方法を理解していただく

セッションのゴールこれまでの認証とどのように違うかを説明できるようになる

どのようなメリットがあるかを説明できるようになる

3

ご注意

本セッションでは、現在開発中の製品を取り扱っています。

仕様および機能は変更される可能性があります。

4

ゕジェンダ

現在の Microsoft Online Services の認証マクロソフトオンラン ID

次期 Microsoft Online Services の認証 AD FS 2.0 とは?

フェデレーション ID

まとめ

マクロソフトオンラン ID

現在の Microsoft Online Services の認証

6

企業ネットワーク

インターネット

マクロソフトオンラン ID クラウド上の ID を利用したサンン

マクロソフトオンラン ID デゖレクトリストゕ

入力・送信された ID, パスワードを確認

Microsoft Online Services サンンツール

ユーザー

ツールを使えば事前認証も可能

7

マクロソフトオンラン ID Microsoft Online Services サンンツール

Microsoft Online Services へのシームレスなゕクセスを提供するツール

パスワードの管理 (期限切れの通知、変更)

全てにチェックをつけることで、擬似的な SSO を実現

8

マクロソフトオンラン ID サンンツールシステム要件

OS Windows XP Professional Edition (Home Edition にはンストール不可)

Windows Vista

Windows 7

Windows Server 2003 SP2

Macintosh OS X (10.4)

ソフトウェゕ .NET Framework 3.0 SP1 または .NET Framework 3.5

Java client 1.4.2 (Macintosh OS X)

サンンツールを使ったユーザーの利便性の向上


10

DEMO サンンツールを使ったユーザーの利便性の向上




入力・送信された ID, パスワードを確認


ツールを使えば事前認証も可能

ユーザー

11

マクロソフトオンラン ID Microsoft Online Service への ID の登録方法

管理センター

デゖレクトリ同期ツール

PowerShell



管理者管理センター


PowerShell

12

マクロソフトオンラン ID 管理センター

Web ブラウザーを使ったユーザーの管理

CSV フゔルからのンポートも可能

13

マクロソフトオンラン ID デゖレクトリ同期ツール

Active Directory 上のユーザーをオンラン上に同期するツール

同期対象

ユーザーゕカウント

メール受信可能なグループ

連絡先

※注意: 同期対象を指定することはできない

同期間隔設定完了後、3 時間ごとに自動同期

手動で強制同期も可能

その他

初回同期時はゕカウントは無効状態 (ゕクテゖブ化が必要)

同期完了はベントログなどで確認可能

同期オブジェクトに非表示属性を適用したい場合、 Exchange のスキーマの拡張が必要

14

マクロソフトオンラン ID デゖレクトリ同期ツールで同期される属性 1/4

Active Directory Microsoft Online Services

15



16



17



18

マクロソフトオンラン ID デゖレクトリ同期ツールの考慮事項

システム要件 Windows Server 2003/2008 (x86 のみ)

同期を行う Active Directory にドメン参加

ドメンコントローラーへのンストールは不可

.NET Framework 2.0 以降

Windows PowerShell 1.0

同期にかかる予測時間オブジェクト数最初の同期 2 回目以降

500 個 5 分 30 秒

1,000 個 10 分 1 分

5,000 個 45 分 5 分

15,000 個 2.5 時間 10 分

※実際にかかる時間は、接続するンターネットの帯域幅によって異なる

19

マクロソフトオンラン ID PowerShell

マクロソフトオンラン ID を管理する専用のコマンド

PowerShell コマンドレット説明

Add-MSOnlineUser ユーザーゕカウントの作成 (作成後は無効な状態)

Enable-MSOnlineUser ユーザーの有効化とラセンスの割り当て

Remove-MSOnlineUser ユーザーゕカウントの削除

Set-MSOnlineUserPassword パスワードを設定

Get-MSOnlineSubscription 使用可能なサブスクリプションのリストを返し、ラセンスをユーザーに割り当て

Get-MSOnlineUser プロパテゖの表示

Set-MSOnlineUser プロパテゖの設定

マクロソフトオンラン ID の管理

管理センターデゖレクトリ同期ツール

21

DEMO マクロソフトオンラン ID の管理



管理者


管理センター

デゖレクトリの同期

ゕカウントの作成/有効化


22



マクロソフトオンラン ID デゖレクトリ同期ツールを使った ID 管理のメージ


管理者


管理センター

デゖレクトリの同期

ゕカウントの有効化

ゕカウントの編集/新規作成

23

マクロソフトオンラン ID Windows Azure と SQL Azure を使った ID 管理


ユーザー

LDAP サーバー管理端末

ID パスワード

takeuchi P@ssw0rd

… …

ID のメンテナンス b.


取得した ID, パスワードで OWA から自動ログン 2.

1. LDAP の ID を使って ID とパスワードを取得

パスワードを定期的にリセット a.

24

マクロソフトオンラン ID 現在の認証方式の特徴

クラウド上の ID を利用してサンンクラウド上の Active Directory を利用

ツールを利用すると擬似的な SSO が利用可能

管理者は企業内とクラウド上の ID を管理デゖレクトリ同期ツールを利用すると企業内の Active Directory と同期が可能

パスワードポリシーは変更不可大文字、小文字、数字、記号を 3 つ以上組み合わせた 7 文字以上

90 日に 1 回パスワード変更

過去 24 個のパスワードは利用不可

AD FS 2.0 とは?

フェデレーション ID

次期 Microsoft Online Services の認証

26

AD FS 2.0 とは? Active Directory フェデレーションサービス 2.0

ネットワーク境界を超えた認証環境の提供

AD FS 2.0 サーバー

自社ネットワーク

ユーザー


企業 A

AD FS 2.0 の特徴自社 ID 情報を使った SSO が可能

専用ネットワーク不要

標準規格 (WS-*, SAML ※) 準拠

※ Microsoft Online Services は SAML 1.1 対応 (SAML 2.0 は将来的にサポート)

27

AD FS 2.0 とは? トークン/クレーム方式

AD FS 2.0 認証はトークン/クレーム方式

クラゕント⇔ゕプリ間の認証データの通信をトークン/クレーム方式でやり取り

クレーム 1 (姓)

クレーム 2 (名)

クレーム 3 (部署)

クレーム 4 (役職)

…

トークン

発行元を示すデジタル署名を付けトークンの改ざんを防止

クレーム認証ユーザーの属性情報

トークン属性情報 (クレーム) をまとめたものクレーム n (…)

デジタル署名

28

AD FS 2.0 とは? トークン/クレーム方式のメリット

現在の多くのゕプリケーションは、認証時に単純な ID 情報しか得られない

ユーザー ID/パスワード⇒認証結果 (OK/NG)

その他の情報 (部署、役職…) は、別途 ID ストゕに問い合わせが必要

トークン/クレーム方式による認証と認可の統合様々な情報 (名前、部署、役職…) を含めることが可能

認証処理と認可処理を同じゕプローチで実装が可能

29

AD FS 2.0 とは? 構成コンポーネント

AD FS 2.0 サーバーユーザーからの要求に応じてトークンを発行

セキュリテゖトークンサービス (STS)

Windows Identity Foundation (WIF) クレームを取り出し、認証・認可処理を実施

.NET ベースのフレームワーク

独自 STS の実装も可能

30

AD FS 2.0 とは? トークン/クレーム方式の認証プロセス

AD FS 2.0 サーバー

ユーザー

3. トークンを作成

ゕプリケーション

WIF

姓

名

所属

役職

たけうち

ひろゆき

Microsoft

平社員

デジタル署名

6. トークンの署名を調べ信頼する STS か判断

31

フェデレーション ID 次期認証方式 (AD FS 2.0 連携) の特徴

企業内の ID を用いたシングルサンオン認証情報は、企業ネットワークの Active Directory を利用

管理者は企業内の ID のみを管理デゖレクトリ同期ツールを利用すると企業内の Active Directory と同期が可能

ゕクセス制御ゕクセスできる場所を指定

ゕクセスできるユーザーを指定組み合わせることで、社外からゕクセスできるユーザーを限定可能

32

フェデレーション ID 企業内の ID を用いたシングルサンオン 1/4

① Microsoft Online Services にゕクセス

② 認証のためにサービストークンをユーザーに要求

③ MFG にリダレクトされサービストークンを要求



Microsoft Federation Gateway (MFG)

AD FS 2.0

① ②

ユーザー

フェデレーション信頼

③

33


④ サービストークンを発行するために必要なログオントークンをユーザーに要求

⑤ AD FS 2.0 に接続しログオントークンを要求



AD FS 2.0

ユーザー

Microsoft Federation Gateway (MFG) フェデレーション信頼

④

⑤

34


⑥ AD に接続し、MFG から要求されているデータを収集

⑦ AD FS 2.0 から要求されたデータを送信

⑧ SAML 署名されたログオントークンをユーザーに送信



AD FS 2.0

ユーザー

Microsoft Federation Gateway (MFG) フェデレーション信頼 ⑦

⑥

⑧

ログオントークン

35


⑨ ログオントークンを送信、MFG が復元・署名の確認

⑩ ユーザーにサービストークンを送信

⑪ サービストークンを送信し、サービスの利用を開始



AD FS 2.0

ユーザー

Microsoft Federation Gateway (MFG) フェデレーション信頼

⑨

⑩

⑪

サービストークン

36

フェデレーション ID 外部からのゕクセス

AD FS 2.0 プロキシサーバー外部から AD FS 2.0 サーバーに要求を転送

ゕクセスするユーザーの限定も可能


AD FS 2.0 AD FS 2.0 プロキシサーバー

DMZ

社外ユーザー

37

フェデレーション ID システム要件 1/2

AD FS 2.0 サーバー OS: Windows Server 2008, 2008 R2

Internet Information Services (IIS) 7

.NET Framework 3.5 SP1

ドメン参加が必要

AD FS 2.0 プロキシサーバー OS: Windows Server 2008, 2008 R2

Internet Information Services (IIS) 7

.NET Framework 3.5 SP1

ドメン参加は不要

38

フェデレーション ID システム要件 2/2

接続クラゕント OS: Windows XP, Vista, 7

AD FS 2.0 サービスエージェントのンストールが必要

その他の要件ドメンコントローラーの OS: Windows Server 2003 以降

ドメン・フォレスト機能レベル: 2003 以上

39

フェデレーション ID フェデレーション ID の考慮点～内部ネットワーク

フェデレーション ID とマクロソフトオンラン ID は二者択一

シングルフォレストのみサポート

UPN はユーザー名@外部ドメンの形式内部ドメンが .local の場合、外部ドメンに一致した UPN サフックスをユーザーゕカウントに追加する必要がある

40

フェデレーション ID フェデレーション ID の考慮点～ AD FS の冗長化

AD FS 2.0 サーバーに障害が発生するとユーザーが Microsoft Online Services にゕクセスできない

AD FS 2.0 サーバー/プロキシサーバーの冗長化構成方法

ネットワーク負荷分散 (NLB)

H/W ロードバランサー

41

フェデレーション ID AD FS 2.0 サーバーの冗長化 (フゔームと構成 DB)

1. スタンドゕロン + WID

2. サーバーフゔーム + WID 各サーバーが WID を持つ

5 分に 1 回の更新チェック

3. サーバーフゔーム + SQL Server

fsconfig.exe コマンドで構成

WID からの移行は不可

SQL Server は 1 セット

クラスター構成可能

プラマリ AD FS 2.0

(R/W)

セカンダリ AD FS 2.0

(R/O)

AD FS 2.0

SQL Server (R/W)

NLB

NLB

WID: Windows Internal Database

低

高

可用性

クラスター

42


フェデレーション ID AD FS 2.0 利用時の構成例


同期ツール

AD FS 2.0 社内

ユーザー

社外ユーザー

AD FS 2.0 プロキシサーバー

DMZ

フェデレーション信頼


Microsoft Federation Gateway (MFG)

43

まとめ "現在" の認証方式と "次期" 認証方式の比較

マクロソフトオンラン ID クラウド上の ID を利用してサンン

管理者は企業内とクラウド上の ID を管理

クラウド上のパスワードポリシーは変更不可

フェデレーション ID 企業内の ID を利用してシングルサンオン

管理者は企業内の ID のみを管理

企業内のパスワードポリシーのみを管理

ゕクセス制御とユーザー制御が可能

2 因子認証を利用可能

44

関連セッション

T1-302: 次世代 Microsoft Online Services の最新情報

T1-303: Exchange Server 2010 と次世代 Exchange Online の共存

T1-310: Microsoft Online Services 展開時の実践テクニック

T1-306: Exchange Server のクラウド対応セキュリテゖ対策

T3-304: AD FS 2.0 のゕーキテクチャと Windows Azure 連携の実装

45

リフゔレンス

マクロソフトオンランサービス製品情報 http://www.microsoft.com/japan/online/default.mspx

Microsoft Online Services 開発者向け情報 http://msdn.microsoft.com/ja-jp/ms.online.aspx

Microsoft Online Services 技術者向け情報 (TechCenter) http://technet.microsoft.com/ja-jp/msonline/default.aspx

オンランサービスのトラゕルサト http://www.microsoft.com/japan/online/trial.mspx

オンランサービスの体験サト (手続きなしですぐ体験できる) http://www.microsoft.com/japan/online/trial2.mspx

tech ed 2010 japan t1-304 次世代 microsoft online services のidおよびアクセス管理...

Technology