6. マクロソフト オンラン ID
クラウド上の ID を利用したサンン
企業ネットワーク
マクロソフト
オンラン ID
デゖレクトリ ストゕ
Microsoft Online Services
サンン ツール
入力・送信された
ツールを使えば事前認証も可能 ID, パスワードを確認
ユーザー
インターネット
6
7. マクロソフト オンラン ID
Microsoft Online Services サンン ツール
Microsoft Online Services への
シームレスなゕクセスを提供するツール
パスワードの管理 (期限切れの通知、変更)
全てにチェックを
つけることで、
擬似的な SSO を実現
7
8. マクロソフト オンラン ID
サンン ツール システム要件
OS
Windows XP Professional Edition
(Home Edition にはンストール不可)
Windows Vista
Windows 7
Windows Server 2003 SP2
Macintosh OS X (10.4)
ソフトウェゕ
.NET Framework 3.0 SP1
または .NET Framework 3.5
Java client 1.4.2 (Macintosh OS X)
8
11. マクロソフト オンラン ID
Microsoft Online Service への ID の登録方法
管理センター
デゖレクトリ同期ツール
PowerShell
企業ネットワーク
PowerShell
マクロソフト
管理者 管理センター オンラン ID
デゖレクトリ ストゕ
デゖレクトリ
同期ツール
11
12. マクロソフト オンラン ID
管理センター
Web ブラウザーを使ったユーザーの管理
CSV フゔルからのンポートも可能
12
22. マクロソフト オンラン ID
デゖレクトリ同期ツールを使った ID 管理のメージ
企業ネットワーク
デゖレクトリの同期
マクロソフト
オンラン ID
デゖレクトリ ストゕ
デゖレクトリ
同期ツール
ゕカウントの
編集/新規作成
管理センター
ゕカウントの
管理者 有効化
インターネット
22
23. マクロソフト オンラン ID
Windows Azure と SQL Azure を使った ID 管理
企業ネットワーク
2. 取得した ID, パスワードで
OWA から自動ログン
ユーザー
1.LDAP の ID を使って
ID とパスワードを取得
a. パスワードを
定期的にリセット
ID パスワード
takeuchi P@ssw0rd
… …
LDAP b. ID のメンテナンス
サーバー 管理端末
インターネット
23
24. マクロソフト オンラン ID
現在の認証方式の特徴
クラウド上の ID を利用してサンン
クラウド上の Active Directory を利用
ツールを利用すると擬似的な SSO が利用可能
管理者は企業内とクラウド上の ID を管理
デゖレクトリ同期ツールを利用すると
企業内の Active Directory と同期が可能
パスワード ポリシーは変更不可
大文字、小文字、数字、記号を 3 つ以上組み
合わせた 7 文字以上
90 日に 1 回パスワード変更
過去 24 個のパスワードは利用不可
24
28. AD FS 2.0 とは?
トークン/クレーム方式のメリット
現在の多くのゕプリケーションは、
認証時に単純な ID 情報しか得られない
ユーザー ID/パスワード⇒認証結果 (OK/NG)
その他の情報 (部署、役職…) は、
別途 ID ストゕに問い合わせが必要
トークン/クレーム方式による認証と認可の統合
様々な情報 (名前、部署、役職…) を含めることが可能
認証処理と認可処理を同じゕプローチで実装が可能
28
29. AD FS 2.0 とは?
構成コンポーネント
AD FS 2.0 サーバー
ユーザーからの要求に応じてトークンを発行
セキュリテゖ トークン サービス (STS)
Windows Identity Foundation (WIF)
クレームを取り出し、認証・認可処理を実施
.NET ベースのフレームワーク
独自 STS の実装も可能
29
30. AD FS 2.0 とは?
トークン/クレーム方式の認証プロセス
3. トークンを作成
6. トークンの署名を調べ
AD FS 2.0 信頼する STS か判断
サーバー
WIF
ゕプリケーション
姓 たけうち
名 ひろゆき
所属 Microsoft
役職 平社員
ユーザー デジタル署名
30
31. フェデレーション ID
次期認証方式 (AD FS 2.0 連携) の特徴
企業内の ID を用いたシングル サンオン
認証情報は、企業ネットワークの
Active Directory を利用
管理者は企業内の ID のみを管理
デゖレクトリ同期ツールを利用すると
企業内の Active Directory と同期が可能
ゕクセス制御
ゕクセスできる場所を指定
ゕクセスできるユーザーを指定
組み合わせることで、
社外からゕクセスできるユーザーを限定可能
31
32. フェデレーション ID
企業内の ID を用いたシングル サンオン 1/4
① Microsoft Online Services にゕクセス
② 認証のためにサービス トークンをユーザーに要求
③ MFG にリダレクトされサービス トークンを要求
企業ネットワーク
AD FS 2.0
Microsoft Federation
フェデレーション信頼
Gateway (MFG)
③
②
ユーザー ①
インターネット
32
33. フェデレーション ID
企業内の ID を用いたシングル サンオン 2/4
④ サービス トークンを発行するために必要な
ログオン トークンをユーザーに要求
⑤ AD FS 2.0 に接続しログオン トークンを要求
企業ネットワーク
AD FS 2.0
Microsoft Federation
フェデレーション信頼
Gateway (MFG)
④
⑤
ユーザー
インターネット
33
34. フェデレーション ID
企業内の ID を用いたシングル サンオン 3/4
⑥ AD に接続し、MFG から要求されているデータを収集
⑦ AD FS 2.0 から要求されたデータを送信
⑧ SAML 署名されたログオン トークンをユーザーに送信
企業ネットワーク
AD FS 2.0
⑥ Microsoft Federation
フェデレーション信頼
⑦ Gateway (MFG)
⑧
ログオン
トークン
ユーザー
インターネット
34
35. フェデレーション ID
企業内の ID を用いたシングル サンオン 4/4
⑨ ログオントークンを送信、MFG が復元・署名の確認
⑩ ユーザーにサービス トークンを送信
⑪ サービス トークンを送信し、サービスの利用を開始
企業ネットワーク
AD FS 2.0
Microsoft Federation
フェデレーション信頼
Gateway (MFG)
⑩ サービス
トークン
⑨
⑪
ユーザー
インターネット
35
36. フェデレーション ID
外部からのゕクセス
AD FS 2.0 プロキシ サーバー
外部から AD FS 2.0 サーバーに要求を転送
ゕクセスするユーザーの限定も可能
企業ネットワーク DMZ
AD FS 2.0 AD FS 2.0 社外
プロキシ サーバー ユーザー
36
37. フェデレーション ID
システム要件 1/2
AD FS 2.0 サーバー
OS: Windows Server 2008, 2008 R2
Internet Information Services (IIS) 7
.NET Framework 3.5 SP1
ドメン参加が必要
AD FS 2.0 プロキシ サーバー
OS: Windows Server 2008, 2008 R2
Internet Information Services (IIS) 7
.NET Framework 3.5 SP1
ドメン参加は不要
37
38. フェデレーション ID
システム要件 2/2
接続クラゕント
OS: Windows XP, Vista, 7
AD FS 2.0 サービス エージェントの
ンストールが必要
その他の要件
ドメン コントローラーの OS:
Windows Server 2003 以降
ドメン・フォレスト機能レベル: 2003 以上
38
39. フェデレーション ID
フェデレーション ID の考慮点 ~ 内部ネットワーク
フェデレーション ID と
マクロソフト オンラン ID は二者択一
シングル フォレストのみサポート
UPN は ユーザー名@外部ドメン の形式
内部ドメンが .local の場合、
外部ドメンに一致した UPN サフックスを
ユーザー ゕカウントに追加する必要がある
39
40. フェデレーション ID
フェデレーション ID の考慮点 ~ AD FS の冗長化
AD FS 2.0 サーバーに障害が発生すると
ユーザーが Microsoft Online Services に
ゕクセスできない
AD FS 2.0 サーバー/プロキシ サーバーの
冗長化構成方法
ネットワーク負荷分散 (NLB)
H/W ロード バランサー
40
41. フェデレーション ID
AD FS 2.0 サーバーの冗長化 (フゔームと構成 DB)
低 1. スタンドゕロン + WID
NLB
可
2. サーバー フゔーム + WID
用 各サーバーが WID を持つ プラマリ セカンダリ
性 AD FS 2.0 AD FS 2.0
5 分に 1 回の更新チェック (R/W) (R/O)
NLB
高 3. サーバー フゔーム AD FS
+ SQL Server 2.0
fsconfig.exe コマンドで構成
WID からの移行は不可
SQL Server
SQL Server は 1 セット (R/W)
クラスター構成可能 クラスター
41 WID: Windows Internal Database
42. フェデレーション ID
AD FS 2.0 利用時の構成例
企業ネットワーク
同期
ツール マクロソフト
オンラン ID
デゖレクトリ ストゕ
社内
ユーザー AD FS 2.0
Microsoft Federation
フェデレーション信頼
Gateway (MFG)
AD FS 2.0
DMZ
プロキシ サーバー
社外
ユーザー
インターネット
42
43. まとめ
"現在" の認証方式と "次期" 認証方式の比較
マクロソフト オンラン ID
クラウド上の ID を利用してサンン
管理者は企業内とクラウド上の ID を管理
クラウド上のパスワード ポリシーは変更不可
フェデレーション ID
企業内の ID を利用してシングル サンオン
管理者は企業内の ID のみを管理
企業内のパスワード ポリシーのみを管理
ゕクセス制御とユーザー制御が可能
2 因子認証を利用可能
43
44. 関連セッション
T1-302: 次世代 Microsoft Online Services の 最新情報
T1-303:
Exchange Server 2010 と次世代 Exchange Online の共存
T1-310: Microsoft Online Services 展開時の実践テクニック
T1-306: Exchange Server のクラウド対応セキュリテゖ対策
T3-304:
AD FS 2.0 のゕーキテクチャと Windows Azure 連携の実装
44