6. IdP としての Active Directory • Exchange Online
• SharePoint Online
• Lync Online
• Office Web Apps
LIVE
連携
Access Control(Hub)
Sync 3rd Party Services
Directory
Windows Server Graph
Active Directory Windows Azure
Authentication Library Apps in Azure
• kerberos Active Directory
• ldap
• CA
• ntlm
• SAML 6
7. Windows Azure AD を構成する 4 つのサービス
Authentication
Library
クレームベースの マルチテナントに Directory 用の Azure 用アプリ
ID 連携サービス 対応したクラウド Restful API ケーションに実装
ベースの ID スト するための認証用
ア&認証サーバー ライブラリ
7
8. Access Control
外部 IdP(含 AD DS)と連携したシングルサインオンを可能にする
User
どの IdP でログオンしてもアプ
リケーションが使える
Apps Developer
Access Control 用のコードを1種
類書けば自動的にすべての IdP
に対応
Administrator
オンプレミスの AD FSと信頼関
係を結ぶことで、ユーザーをオ
ンプレミスで集中管理
8
9. How it Works
入力クレームと
1 クレームルール 3 出力クレームを
を定義 クレームルール
でマピング
ACCESS
CONTROL 4 トークンを返信
(receive output claims)
0 信頼関係の確立
2 トークンを
リクエスト 認
(pass input claims)
証
6 トークン
を解析
5 トークンを送信
YOUR SERVICE CUSTOMER
9
15. Windows Azure Authentication Library
• Windows Azure Active Directory 専用の認証ライブラリ
• 初期リリースではリッチクライアントに対応
次期バージョンで WEB サービス、WEB アプリに対応予定
• 初期リリースでは .NET Framework に対応
次期バージョンで Node.JS, Java, PHP に対応予定
15
16. Protocols to Connect with Azure Active Directory
Protocol Purpose Details
REST/HTTP directory Create, Read, Update, Delete directory objects and Compatible with OData V3
access relationships Authenticate with OAuth 2.0
OAuth 2.0 Service to service authentication JWT token format
Delegated access
Open ID Connect Web application authentication Under investigation
Rich client authentication JWT token format
SAML 2.0 Web application authentication SAML 2.0 token format
WS-Federation 1.3 Web application authentication SAML 1.1 token format
SAML 2.0 token format
JWT token format
16
18. なぜ Azure 上に DC を展開するのか
• 異なる拠点でDCを分散
• Azureアプリ独自のフォレスト構築
• クラウドアプリの性能向上
AD DS
DNS
18
19. • Windows Azure アプリケーションの認証
• Azure
上の SharePoint Server や SQL Server の認証および名前解決の
パフォーマンス向上
• クラウドサービス固有のフォレスト作成
AD DS VPN
DNS AD DS
DNS
SharePoint
19
21. (参考)Images Available from the Gallery
Windows Server 2008 R2 OpenSUSE 12.1
SQL Server 2012 Eval CentOS 6.2
Ubuntu 12.04
Windows Server 2012 RC
SUSE Linux Enterprise Server 11 SP2
21
22. VM 展開の流れ
Data
OS
ISO
Cache
VM
Cache.VHD
HyperVisor 22
23. IaaS に DC を展開する際の留意点
• Windows Azure Virtual Network を使用する(ことを推奨)
• 仮想マシンに割り当てられる IP Address(Dynamic IP)は永続化される
Azure VM(DC)
Virtual
NIC
※DHCP有効にして
おく必要がある!
静的IPは通信エ
Virtual IP ラーとなる
Dynamic IP
Internet データセンター Host
23
25. • 異なる Virtual Network 同志は直接通信できない
※ 異なるデータセンター間で1つの Virtual Network を共有できない
East Asia South US
Virtual Network 1 Virtual Network 2
On-premise
25
26. • Active Directory データベースは Data-Disk に配置すること
Program
Writeキャッシュ無効
Database
(DIT/Sysvol)
26
27. • その他の主な留意点
• Windows Server 2012 DC クローン機能はサポートされていない
• DCクローン機能は Hypervisor 側で VM Generation ID のサポー
トが必要(Windows Azure は現在未サポート)
• HBI(High Business Impact Data)/PII(Personally identifiable
information)は複製しない
• バックアップは「システム状態」を。VHD はバックアップしても戻せ
ない(Azure上では回復モード利用不可)。
• サイトトポロジーは管理者が目視、調整すること
• コスト重視ならば複製回数を削減することをお勧め
27
28. Windows Server 2012 Active Directory
• ドメインコントローラーの仮想化 • Active Directory ベースのアクティベーション
• DC 展開方法のバリエーション • Kerberos の拡張
• ダイナミックアクセスコントロール • Group Managed Service Account
• 使いやすくなったゴミ箱
• Windows PowerShell からの管理
• パスワードポリシーの管理
• ADMC の機能向上
28
38. • パフォーマンスの考慮点
• Windows Server 2008 の場合約10%の性能減
Measurement Test Physical Virtual Delta
Searches/sec Search for common name in base scope (L1) 11508 10276 -10.71%
Searches/sec Search for a set of attributes in base scope (L2) 10123 9005 -11.04%
Searches/sec Search for all attributes in base scope (L3) 1284 1242 -3.27%
Searches/sec Search for common name in subtree scope (L6) 8613 7904 -8.23%
Successful binds/sec Perform fast binds (B1) 1438 1374 -4.45%
Successful binds/sec Perform simple binds (B2) 611 550 -9.98%
Successful binds/sec Use NTLM to perform binds (B5) 1068 1056 -1.12%
Writes/sec Write multiple attributes (W2) 6467 5885 -9.00%
Adtest.exe 使用 http://www.microsoft.com/en-us/download/details.aspx?id=15275
38
44. USN ロールバック
Invocation ID がリセットされると...
V-DC1 が把握している V- DC2 が把握している High Water Mark
DC1(自分自身)の状態 V-DC1 の状態 と呼ばれる
USN = 1000
V-DC1(A)@USN1000
InvocationID = A
USN = 500 V-DC1(A)@USN1000
頭から複製
InvocationID = B V-DC1(B)@USN500
DIT変更
USN = 600 V-DC1(A)@USN1000
差分複製
InvocationID = B V-DC1(B)@USN500
44
45. USN ロールバックの検知
• 「USN がロールバック」だけが発生すると、複製は停止する
• 古いVHDファイルをリストアした場合
• 古い Export ファイルをインポートした場合
• Windows Server Backup から古いDITをリストアした場合
Event ID 2103:Active Directory データベースがサポートされていな
い方法で復元されました。Active Directory はこの状態が継続している間、
ユーザーのログオンを処理できません。
複製を開始するには同時に Invocation ID のリセットが必要
=> これが、Authoritative Restore(権限のある復元)
45
46. スナップショットによるUSNロールバック
スナップショットをリストアした場合にはロールバックが検知されない
Create
Snapshot
• +100 users rollback
USN added は回避されない: 50ユーザーが複製されてしまう
TIME: T2 • All others are either on one or the other DC
USN: 200
• ID: A RID Pool: 600- 1000
100 ユーザーは(RID = 500 - 599)は SIDupdates: USNs >100
DC2 receives
競合
T1 Snapshot USN: 100
Applied!
+150 more users created
TIME: T4
DC2 receives updates: USNs >200
46
47. Windows Server 2012 では
VM-Generation ID が Hyper-V ホストに提供されている
• ユニークな 128 ビットの ID
• 専用ドライバーによりゲストOSに通知できるようになっている
WS 2012 仮想 DC は VM-Generation ID をトラックする
• Active Directory database (DIT) に保存
• DITへの変更をコミットする前に、
• DIT 内部の VM-Generation ID と ホストが認識している VM-Generation ID を比較
• 異なれば DC の invocation ID と RID pool をリセットしてから、コミット
同じ操作を、起動時に実行する
47
48. Windows Server 2012 ではこうなる
DC2
DC1
Timeline of events
Create USN: 100
TIME: T1
Snapshot ID: A savedVMGID: G1 VMGID: G1
+100 users added
TIME: T2 USN: 200
ID: A savedVMGID: G1 VMGID: G1
DC1(A)@USN = 200
DC2 receives updates: USNs >100
T1 Snapshot USN: 100
TIME: T3
Applied! ID: A savedVMGID: G1 VMGID: G2
… missing users replicate
+150 users created: VM generation ID difference detected: EMPLOY SAFETIES>100
DC2 again accepts updates: USNs back to DC1
USN: 101-250
TIME: T4
ID: B savedVMGID: G2 VMGID: G2 DC1(A)@USN = 200
DC1(B)@USN = 250
USN re-use avoided and USN rollback PREVENTED : all 250 users converge correctly across both DCs
48
53. Step1. 非互換のあるアプリを確認
DC上で以下のコマンドレットを実行して、
C:¥Windows¥NTDS¥CustomDCCloneAllowList.xml ファイルを作成する
Get-ADDCCloningExcludedApplicationList
Name : Active Directory Management Pack Type : Service
Helper Object
Type : Program Name : QWAVE
Type : Service
Name : System Center Operations Manager
2012 Agent Name : System Center Management APM
Type : Program Type : Service
Name : Microsoft Silverlight Name : wlidsvc
Type : WoW64Program Type : Service
Name : AdtAgent
Type : Service
Name : HealthService 53
65. RBAC(Role-Based Access Control)
• アクセスコントロール(アクセス制御)とは...
...ユーザーがアクセスしてもよいかどうかを評価するためのプロセス
• RBAC とは...
...ユーザー単位ではなく役割単位でアクセス制御すること
ACL(Access Control List)によるアクセス管理
ACL ACE
ACE
Resource
ACE
ユーザー単位
ACE Read Only RBACの例
ACL ACE
ACE グループ(役割)単位
Resource A
ACE ※ 組織(役割)がグループに反
ACE Read Only 映されている必要がある
65
66. グループベース RBAC の限界
• リソースの増加とグループの増加
• 複雑なメンバーシップ管理(1グループ1人 !?)
• イレギュラーでダイナミックな組織構造
• リソース管理者 ≠ ID 管理者
アクセス管理 連携が必要 ID 管理(インフラ管理者)
(リソース管理者)
ACL
A A
Resource ACE
ACE
A A A
ACL A
Resource ACE A A
ACE
A
A A
A
66
67. Enterprise Dynamic Access Control へのニーズ
• EDAC...
...利用者のキャラクター(属性)によってアクセスを制御する
• リソース管理者は条件(Condition)を管理するだけ
アクセス管理 互いに素 ID 管理(インフラ管理者)
(リソース管理者)
condition
営業部 IT部 A 人事部 A
Read
condition
IT部 経理部 A
Resource
Backup
condition
営業部 A 企画部 A
経理部
R/W
67
68. Windows Server 2012 Dynamic Access Control
DAC によってそれぞれのテクノロジーを結びつける
アクセス
• アクセスポリシーの ID管理
ポリシー • クレームベースのアクセス制御
集中管理
• 自動識別と自動暗号化 • 監査ポリシーの集中管理
暗号化 監査
68
79. Connected Account
• Active Directory アカウントと Windows Live ID(Microsoft Account) を連携
• 移動ユーザープロファイルを使用すれば複数のデバイスで利用可能
Connected
Login SSO
Windows Server
Active Directory Windows 8 Login
Windows Live
79
80. Business Windows と Social Network
Enterprise Consumer
SkyDrive Hotmail Store Facebook Linked-in Twitter Google
(RP) (RP) (RP) (RP) (RP) (RP) (RP)
Yammer
Enterprise Personal
Idp Idp Idp Idp
AD Live(MS Account)
(IdP)
Office Instant OUTLOOK
Drive Mail People Message
Windows
80
81. まとめ
認証とアクセス制御がインフラの命です
全てのインフラで Active Directory が使えるようになります
• Active Directory Server (On-premise)
• Active Directory in Windows Azure VM (IaaS)
• Windows Azure Active Directory (PaaS)
81