Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
1
2
バージョン
1.00 2014/6/30 ・初版リリース
1.10 2014/9/30 ・2014年9月現在の情報に更新
1.20 2015/1/31 ・2015年1月現在の情報に更新
目次 (1/2)
• Azure 上に Active Directory 構築
3
目次 (2/2)
• Office 365 認証基盤の構築シナリオ
• Microsoft Azure Active Directory
• Appendix
4
5
Active Directory Domain Services
6
AD DS を Azure に構築するメリット (1/2)
コスト(維持費)低減
7
社内 データセンター
初期導入費
DC 費用
HW 保守費用
数年後にはリプレイス・・・
AD DS1号機 AD DS2号機
AD DS3号機
Microso...
認証の高速化によるサービス利便性の向上
AD DS を Azure に構築するメリット (2/2)
8
Microsoft Azure
AP サーバー
File サーバー
AD DS
社内
利用者が増えるとVPN越し
の通信負荷も増え、認証に
...
AD DS 1号機 AD DS 2号機
ハイブリッド環境における Azure 上での AD DS 構成例
9
※ 可用性セット
物理障害およびメンテナンスにより、
システムが落ちてしまうことを防ぐ設定
オンプレミス Microsoft Azur...
ハイブリット環境構築のための前提条件
10
Azure 上での AD DS の作り方(概要)
1. Azure 仮想ネットワークの作成
2. オンプレミスとの VPN 接続設定
3. Azure 仮想マシンの作成
4. オンプレミスのドメインへの参加
5. AD DS のインストール
11
Azure 仮想ネットワークの作成
Azure 管理ポータルから仮想ネットワークを作成
12
オンプレミスとの VPN 接続設定
オンプレミスの VPN 装置に Azure との IPsec 接続を設定
13
Azure 仮想マシンの作成
Azure 管理ポータルから仮想マシンを作成
14
オンプレミスへのドメイン参加
リモートデスクトップで仮想マシンに接続し、オンプレミスのドメイ
ンに参加
15
AD DS インストール
リモートデスクトップで仮想マシンに接続し、AD DS をインストール
16
Azure 上の AD DS リストアについて
• 仮想マシン上の AD DS でディレクトリ サービス 復元モードを利用
• Azure では、F8 キー押下による 復元モードの起動を行うことができない
そのため、bcdedit コマンドを利...
18
Office 365 シングル サインオンのために必要なコンポーネント
19
Windows Server 2012 R2 の場合
20
AD DS
S2S VPN
Device
ディレクトリ同期
社内ドメイン社内ドメイン
社外 DNS
HTTPS:443ポート
を許可
社内ネットワーク Microsoft Azure
...
Windows Server 2012 以前の場合
21
AD DS
S2S VPN
Device AD DS
AD FS
ディレクトリ同期
社内ドメイン社内ドメイン
社外 DNS
HTTPS:443ポート
を許可
社内ネットワーク Micro...
22
Microsoft Azure Active Directory とは (1/2)
• クラウドで ID 管理機能、およびアクセス管理機能を提供するマルチ
テナント型ディレクトリサービス
• 提供機能
23
Microsoft Azure Active Directory とは (2/2)
Microsoft Azure Active Directory ≠ Windows Server Active
Directory
24
• Active D...
Windows Server
Active Directory
or
Shibboleth
or
PingFederate
ディレクトリ
25
ディレクトリ
ID Store
(AD LDSに相当)
Federation
Gateway
(AD...
アプリケーションアクセス
• 既存 SaaS の認証を”インスタント”に MAAD に関連付ける
• Google Apps, Salesforce.com などは SSO/ID 同期も可能
26
Microsoft Azure
Active ...
アクセスコントロール
• 外部認証サービスから RP 側へのトークンゲートウェイ
• ACS 自身は認証プロバイダーではない
27アクセス コントロール
トークン
変換
RP(SP)側
CP(IdP)側
Windows Server
Activ...
多要素認証プロバイダー
• 既存 IdP に認証要素を追加することができる独立したプロバイダー
28
多要素認証プロバイダー
(Multi-factor Authentication Provider)
• ワンタイムパスワード(*)
• 通知...
29
AD DS データベース、ログファイル、SYSVOL の作成先
• 書き込みの整合性を確保するためにも AD DS を構築する際のデータ
ベースなどは、追加したディスクに作成する。
30
追加したディスク(ドライブ)を選択。
動的 IP 利用に関する警告
Active Directory ドメイン サービス構成ウィザードの警告
31
IP アドレスが変更されないために
基本的に内部 IP アドレスは DHCP による割当
32
IPアドレスは開放されない。
IPアドレスが開放されてしまう※。
※ 再度実行状態にすると、割り当てされていないIPアドレスが振り直される。
尚、「...
DNS の設定
DNS の設定は管理ポータル
※ OS 上で設定することも可能ですが、ポータルサイトからの停止(「割り当て解除済み」)やハードウェア障害による
ネットワークカード再構成などが発生すると OS 上のネットワーク設定が初期化されてし...
サイトとサブネット
• Azure 上に AD DS を構築後、AD DS の機能でサイトとサブネット
を適正に設定する必要がある。これにより Azure 側に AD DS の認
証を必要とするサーバーを構築した際に、適切な AD DS にて認...
Azure 上のみで AD DS を展開
Azure 上のみで AD DS を展開する場合の留意点
35
オンプレミス
ファイルサーバー
VPNに障害が発生してしまうとオンプレミス内の
リソースにアクセスできなくなってしまう。
Microsof...
AD のユーザー数による仮想マシンのサイジング
• 仮想ネットワークを構築し、その上に各サーバーを設置
• 仮想マシンのサイズの主な要因は、組織内のユーザー数によって決まる
• 可用性を向上させるために、ほとんどのサーバーで 2 台以上の仮想マ...
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
Prochain SlideShare
Chargement dans…5
×

S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ

6 992 vues

Publié le

Publié dans : Technologie
  • Soyez le premier à commenter

S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ

  1. 1. 1
  2. 2. 2 バージョン 1.00 2014/6/30 ・初版リリース 1.10 2014/9/30 ・2014年9月現在の情報に更新 1.20 2015/1/31 ・2015年1月現在の情報に更新
  3. 3. 目次 (1/2) • Azure 上に Active Directory 構築 3
  4. 4. 目次 (2/2) • Office 365 認証基盤の構築シナリオ • Microsoft Azure Active Directory • Appendix 4
  5. 5. 5
  6. 6. Active Directory Domain Services 6
  7. 7. AD DS を Azure に構築するメリット (1/2) コスト(維持費)低減 7 社内 データセンター 初期導入費 DC 費用 HW 保守費用 数年後にはリプレイス・・・ AD DS1号機 AD DS2号機 AD DS3号機 Microsoft Azure社内 初期導入費:なし Azure 費用 < オンプレDC費用 HW 保守費用:Azure 費用に含む リプレイス:不要 AD DS3号機 AD DS1号機 AD DS2号機 VPN VPN
  8. 8. 認証の高速化によるサービス利便性の向上 AD DS を Azure に構築するメリット (2/2) 8 Microsoft Azure AP サーバー File サーバー AD DS 社内 利用者が増えるとVPN越し の通信負荷も増え、認証に 時間がかかってしまうよう になる。 Azure 上に AD DS がいれ ば、利用者が増えても認証 がスムーズ。 サービスへのログインもス トレス無く利用できる。 Microsoft Azure AP サーバー File サーバー AD DS 社内 AD DS VPN VPN
  9. 9. AD DS 1号機 AD DS 2号機 ハイブリッド環境における Azure 上での AD DS 構成例 9 ※ 可用性セット 物理障害およびメンテナンスにより、 システムが落ちてしまうことを防ぐ設定 オンプレミス Microsoft Azure 可用性セット(※) AD DS3号機 AD DS4号機 • オンプレミスの前提条件 • AD DS • Site-to-Site VPN を実現できるルーター (FW 等) 機器 VPN
  10. 10. ハイブリット環境構築のための前提条件 10
  11. 11. Azure 上での AD DS の作り方(概要) 1. Azure 仮想ネットワークの作成 2. オンプレミスとの VPN 接続設定 3. Azure 仮想マシンの作成 4. オンプレミスのドメインへの参加 5. AD DS のインストール 11
  12. 12. Azure 仮想ネットワークの作成 Azure 管理ポータルから仮想ネットワークを作成 12
  13. 13. オンプレミスとの VPN 接続設定 オンプレミスの VPN 装置に Azure との IPsec 接続を設定 13
  14. 14. Azure 仮想マシンの作成 Azure 管理ポータルから仮想マシンを作成 14
  15. 15. オンプレミスへのドメイン参加 リモートデスクトップで仮想マシンに接続し、オンプレミスのドメイ ンに参加 15
  16. 16. AD DS インストール リモートデスクトップで仮想マシンに接続し、AD DS をインストール 16
  17. 17. Azure 上の AD DS リストアについて • 仮想マシン上の AD DS でディレクトリ サービス 復元モードを利用 • Azure では、F8 キー押下による 復元モードの起動を行うことができない そのため、bcdedit コマンドを利用して、復元モードの起動を行う必要がある • これにより、システム状態のリストア作業を実施することができる • リストア作業が完了したら、通常起動するように以下のコマンドで元に戻す 17 再起動すると、セーフモードで起動される (注) ログイン時のアカウントは ”Administrator” となる
  18. 18. 18
  19. 19. Office 365 シングル サインオンのために必要なコンポーネント 19
  20. 20. Windows Server 2012 R2 の場合 20 AD DS S2S VPN Device ディレクトリ同期 社内ドメイン社内ドメイン 社外 DNS HTTPS:443ポート を許可 社内ネットワーク Microsoft Azure Web Application Proxy WORKGROUP AD DS+AD FS AD FS Proxy機能を 兼ね備えたリバース プロキシ Site to Site VPN VPN AD FSをAD DSと同 じサーバーに同居可 ※IIS不要 Web Application Proxy のFQDN名前 解決 ②AD FSに接続し、 認証要求 ④認証完了 ①Office 365にアク セス、認証要求 AD オブジェクト 同期 ③認証応答を返信
  21. 21. Windows Server 2012 以前の場合 21 AD DS S2S VPN Device AD DS AD FS ディレクトリ同期 社内ドメイン社内ドメイン 社外 DNS HTTPS:443ポート を許可 社内ネットワーク Microsoft Azure AD FS Proxy WORKGROUP Site to Site VPN VPN Web Application Proxy のFQDN名前 解決 ②AD FSに接続し、 認証要求 ③認証応答を返信 ④認証完了 ①Office 365にアク セス、認証要求 AD オブジェクト 同期
  22. 22. 22
  23. 23. Microsoft Azure Active Directory とは (1/2) • クラウドで ID 管理機能、およびアクセス管理機能を提供するマルチ テナント型ディレクトリサービス • 提供機能 23
  24. 24. Microsoft Azure Active Directory とは (2/2) Microsoft Azure Active Directory ≠ Windows Server Active Directory 24 • Active Directory ドメインサー ビス • Windows 認証が可能 • Office 365 や Windows Intune などが使用しているマ ルチテナント型の認証サービス • Windows 認証はできない • 認証 HUB • IDaaS / IDMaaS Microsoft Azure Active Directory Windows Server Active Directory (on premise / on Azure IaaS)
  25. 25. Windows Server Active Directory or Shibboleth or PingFederate ディレクトリ 25 ディレクトリ ID Store (AD LDSに相当) Federation Gateway (AD FSに相当) CP(IdP)側 RP(SP)側 WS-Federation SAML 2.0 (ECP Profile) WS-Federation OAuth 2.0 SAML 2.0 ID同期 アカウント情報の管理 • ユーザー • グループ • デバイス Graph API (REST API) 自社開発アプリ 3rd Party SaaS 認証
  26. 26. アプリケーションアクセス • 既存 SaaS の認証を”インスタント”に MAAD に関連付ける • Google Apps, Salesforce.com などは SSO/ID 同期も可能 26 Microsoft Azure Active Directory IDフェデレーション ID同期 パスワード連携 ※事前にID/Passwordを登録 Federation-Based Apps Password-Based Apps
  27. 27. アクセスコントロール • 外部認証サービスから RP 側へのトークンゲートウェイ • ACS 自身は認証プロバイダーではない 27アクセス コントロール トークン 変換 RP(SP)側 CP(IdP)側 Windows Server Active Directory ADFS Microsoft Azure Active Directory (ディレクトリ) Federation Gateway WS-Federation OpenID OAuth 2.0 Identity Providers Application A Application B WS-Federation OAuth Wrap
  28. 28. 多要素認証プロバイダー • 既存 IdP に認証要素を追加することができる独立したプロバイダー 28 多要素認証プロバイダー (Multi-factor Authentication Provider) • ワンタイムパスワード(*) • 通知(*) • 電話 • テキストメッセージ ID / Password Identity Providers IE 管理ポータル 3rd Party Webサービス クラウドサービス Web Application オンプレミス Microsoft Azure Active Directory AD DS AD FS (WS 2012 R2) (*):スマートフォン専用 (iOS, Android, Windows Phone) アプリ
  29. 29. 29
  30. 30. AD DS データベース、ログファイル、SYSVOL の作成先 • 書き込みの整合性を確保するためにも AD DS を構築する際のデータ ベースなどは、追加したディスクに作成する。 30 追加したディスク(ドライブ)を選択。
  31. 31. 動的 IP 利用に関する警告 Active Directory ドメイン サービス構成ウィザードの警告 31
  32. 32. IP アドレスが変更されないために 基本的に内部 IP アドレスは DHCP による割当 32 IPアドレスは開放されない。 IPアドレスが開放されてしまう※。 ※ 再度実行状態にすると、割り当てされていないIPアドレスが振り直される。 尚、「割り当て解除済み」となっている仮想マシンは課金されない。 Get-AzureVM -ServiceName <クラウドサービス名> -Name <仮想マシン名> | Set-AzureStaticVNetIP -IPAddress <IPアドレス> | Update-AzureVM
  33. 33. DNS の設定 DNS の設定は管理ポータル ※ OS 上で設定することも可能ですが、ポータルサイトからの停止(「割り当て解除済み」)やハードウェア障害による ネットワークカード再構成などが発生すると OS 上のネットワーク設定が初期化されてしまいます。 33 ポータルサイトの仮想ネットワークを選択して対象の仮想ネットワークの構成で設定。
  34. 34. サイトとサブネット • Azure 上に AD DS を構築後、AD DS の機能でサイトとサブネット を適正に設定する必要がある。これにより Azure 側に AD DS の認 証を必要とするサーバーを構築した際に、適切な AD DS にて認証が 行われるようになる。 34 オンプレミス側のサイト Azure側のサイト オンプレミス側のサブネット Azure側のサブネット ※ サイト間のレプリケーションは、同じ サイト内でのレプリケーション間隔と 比べ遅延が発生。 サイト内のデフォルト:リアルタイム サイト間のデフォルト:180分
  35. 35. Azure 上のみで AD DS を展開 Azure 上のみで AD DS を展開する場合の留意点 35 オンプレミス ファイルサーバー VPNに障害が発生してしまうとオンプレミス内の リソースにアクセスできなくなってしまう。 Microsoft Azure 可用性セット AD DS1号機 AD DS2号機 VPN
  36. 36. AD のユーザー数による仮想マシンのサイジング • 仮想ネットワークを構築し、その上に各サーバーを設置 • 仮想マシンのサイズの主な要因は、組織内のユーザー数によって決まる • 可用性を向上させるために、ほとんどのサーバーで 2 台以上の仮想マシンを用意 36 サーバーの役割 インスタンス 5,000 ユーザー未満 5,001 ~ 15,000 ユーザー 15,001 ~ 50,000 ユーザー 50,001 ユーザー以上 AD DS 標準 A1 (S) × 2 台 A2 (M) × 2 台 A3 (L) × 2 台 A3 (L) × 2 台 ディレクトリ 同期 標準 A2 (M) × 1 台 A2 (M) × 1 台 A2 (M) × 1 台 A3 (L) × 1 台 AD FS 標準 A1 (S) × 2 台 A1 (S) × 2 台 A2 (M) × 2 台以上 A3 (L) × 2 台以上 AD FS Proxy 標準 A1 (S) × 2 台 A1 (S) × 2 台 A2 (M) × 2 台以上 A3 (L) × 2 台以上

×