Soumettre la recherche
Mettre en ligne
ADFS クレームルール言語 Deep Dive
•
6 j'aime
•
13,695 vues
Suguru Kunii
Suivre
2014年11月29日CLR/H勉強会の発表資料です。
Lire moins
Lire la suite
Internet
Signaler
Partager
Signaler
Partager
1 sur 24
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
AD FS deep dive - claim rule set
AD FS deep dive - claim rule set
junichi anno
Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説
Yusuke Kodama
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
Yusuke Kodama
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
Trainocate Japan, Ltd.
Azure AD の SaaS アプリケーション認証への活用
Azure AD の SaaS アプリケーション認証への活用
Yusuke Kodama
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
Yusuke Kodama
Microsoft 365 グループ 生まれた経緯とそのコントロール MICROSOFT 365 VIRTUAL MARATHON 2022
Microsoft 365 グループ 生まれた経緯とそのコントロール MICROSOFT 365 VIRTUAL MARATHON 2022
mokudai masayuki
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
株式会社クライム
Recommandé
AD FS deep dive - claim rule set
AD FS deep dive - claim rule set
junichi anno
Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説
Yusuke Kodama
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
Yusuke Kodama
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
Trainocate Japan, Ltd.
Azure AD の SaaS アプリケーション認証への活用
Azure AD の SaaS アプリケーション認証への活用
Yusuke Kodama
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
Yusuke Kodama
Microsoft 365 グループ 生まれた経緯とそのコントロール MICROSOFT 365 VIRTUAL MARATHON 2022
Microsoft 365 グループ 生まれた経緯とそのコントロール MICROSOFT 365 VIRTUAL MARATHON 2022
mokudai masayuki
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
株式会社クライム
ADFS With Cloud Service ~シングルサインオン最新手法~
ADFS With Cloud Service ~シングルサインオン最新手法~
Mari Miyakawa
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Yusuke Kodama
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
TAKUYA OHTA
今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識
Minoru Naito
Azure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しよう
Yusuke Kodama
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
Trainocate Japan, Ltd.
Active directoryと認証・認可
Active directoryと認証・認可
Hiroki Kamata
Microsoft Azure Storage 概要
Microsoft Azure Storage 概要
Takeshi Fukuhara
オンプレミス x Exchange Server 2016 という選択肢
オンプレミス x Exchange Server 2016 という選択肢
Genki WATANABE
Azure Network 概要
Azure Network 概要
Takeshi Fukuhara
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティ
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティ
MPN Japan
今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎
Trainocate Japan, Ltd.
Keycloakの最近のトピック
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Genki WATANABE
Azure Cosmos DB を使った高速分散アプリケーションの設計パターン
Azure Cosmos DB を使った高速分散アプリケーションの設計パターン
Kazuyuki Miyake
Azure Kubernetes Service Overview
Azure Kubernetes Service Overview
Takeshi Fukuhara
Share point における id管理と認証・認可
Share point における id管理と認証・認可
Naohiro Fujie
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
Shinya Yamaguchi
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
ShuheiUda
現場からみた Azure リファレンスアーキテクチャ答え合わせ
現場からみた Azure リファレンスアーキテクチャ答え合わせ
Kuniteru Asami
クラウドで始めるActive Directory
クラウドで始めるActive Directory
Suguru Kunii
Office365のための多要素認証
Office365のための多要素認証
Suguru Kunii
Contenu connexe
Tendances
ADFS With Cloud Service ~シングルサインオン最新手法~
ADFS With Cloud Service ~シングルサインオン最新手法~
Mari Miyakawa
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Yusuke Kodama
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
TAKUYA OHTA
今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識
Minoru Naito
Azure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しよう
Yusuke Kodama
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
Trainocate Japan, Ltd.
Active directoryと認証・認可
Active directoryと認証・認可
Hiroki Kamata
Microsoft Azure Storage 概要
Microsoft Azure Storage 概要
Takeshi Fukuhara
オンプレミス x Exchange Server 2016 という選択肢
オンプレミス x Exchange Server 2016 という選択肢
Genki WATANABE
Azure Network 概要
Azure Network 概要
Takeshi Fukuhara
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティ
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティ
MPN Japan
今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎
Trainocate Japan, Ltd.
Keycloakの最近のトピック
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Genki WATANABE
Azure Cosmos DB を使った高速分散アプリケーションの設計パターン
Azure Cosmos DB を使った高速分散アプリケーションの設計パターン
Kazuyuki Miyake
Azure Kubernetes Service Overview
Azure Kubernetes Service Overview
Takeshi Fukuhara
Share point における id管理と認証・認可
Share point における id管理と認証・認可
Naohiro Fujie
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
Shinya Yamaguchi
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
ShuheiUda
現場からみた Azure リファレンスアーキテクチャ答え合わせ
現場からみた Azure リファレンスアーキテクチャ答え合わせ
Kuniteru Asami
Tendances
(20)
ADFS With Cloud Service ~シングルサインオン最新手法~
ADFS With Cloud Service ~シングルサインオン最新手法~
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識
Azure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しよう
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
Active directoryと認証・認可
Active directoryと認証・認可
Microsoft Azure Storage 概要
Microsoft Azure Storage 概要
オンプレミス x Exchange Server 2016 という選択肢
オンプレミス x Exchange Server 2016 という選択肢
Azure Network 概要
Azure Network 概要
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティ
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティ
今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎
Keycloakの最近のトピック
Keycloakの最近のトピック
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Azure Cosmos DB を使った高速分散アプリケーションの設計パターン
Azure Cosmos DB を使った高速分散アプリケーションの設計パターン
Azure Kubernetes Service Overview
Azure Kubernetes Service Overview
Share point における id管理と認証・認可
Share point における id管理と認証・認可
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
現場からみた Azure リファレンスアーキテクチャ答え合わせ
現場からみた Azure リファレンスアーキテクチャ答え合わせ
Similaire à ADFS クレームルール言語 Deep Dive
クラウドで始めるActive Directory
クラウドで始めるActive Directory
Suguru Kunii
Office365のための多要素認証
Office365のための多要素認証
Suguru Kunii
System Center 2012, Endpoint Protectionの運用
System Center 2012, Endpoint Protectionの運用
Suguru Kunii
ADFS+Office365によるセキュリティ強化~デバイス・多要素認証
ADFS+Office365によるセキュリティ強化~デバイス・多要素認証
Suguru Kunii
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
Hiroshi Tokumaru
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
Takashi Watanabe
UShareSoft_20130425
UShareSoft_20130425
Satoru Watanabe
UShareSoft_20130425
UShareSoft_20130425
Satoru Watanabe
Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩
Yusuke Kodama
安全なWebアプリ構築1回
安全なWebアプリ構築1回
Project Samurai
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
schoowebcampus
VIOPS09: その鐘を鳴らすのはあなた
VIOPS09: その鐘を鳴らすのはあなた
VIOPS Virtualized Infrastructure Operators group ARCHIVES
Microsoftの認証システムの歴史と過渡期におけるWAPの活用+Next Generation Credentials
Microsoftの認証システムの歴史と過渡期におけるWAPの活用+Next Generation Credentials
Naohiro Fujie
Azure DevOpsとセキュリティ
Azure DevOpsとセキュリティ
Kazushi Kamegawa
N18_大学におけるパンデミックからの復興 ~DX がパンデミック後の教育機関のコア価値を強化する [Microsoft Japan Digital Days]
N18_大学におけるパンデミックからの復興 ~DX がパンデミック後の教育機関のコア価値を強化する [Microsoft Japan Digital Days]
日本マイクロソフト株式会社
[デブサミ2012]趣味と実益の脆弱性発見
[デブサミ2012]趣味と実益の脆弱性発見
Yosuke HASEGAWA
Solution semniar vs2013_multi_device-1209-new
Solution semniar vs2013_multi_device-1209-new
Shotaro Suzuki
事業会社で働くエンジニアのマインドセット - DevLOVE関西
事業会社で働くエンジニアのマインドセット - DevLOVE関西
Tomoyuki Sugita
20141111 themi struct
20141111 themi struct
マジセミ by (株)オープンソース活用研究所
概説 Data API v3
概説 Data API v3
Yuji Takayama
Similaire à ADFS クレームルール言語 Deep Dive
(20)
クラウドで始めるActive Directory
クラウドで始めるActive Directory
Office365のための多要素認証
Office365のための多要素認証
System Center 2012, Endpoint Protectionの運用
System Center 2012, Endpoint Protectionの運用
ADFS+Office365によるセキュリティ強化~デバイス・多要素認証
ADFS+Office365によるセキュリティ強化~デバイス・多要素認証
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
UShareSoft_20130425
UShareSoft_20130425
UShareSoft_20130425
UShareSoft_20130425
Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩
安全なWebアプリ構築1回
安全なWebアプリ構築1回
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
VIOPS09: その鐘を鳴らすのはあなた
VIOPS09: その鐘を鳴らすのはあなた
Microsoftの認証システムの歴史と過渡期におけるWAPの活用+Next Generation Credentials
Microsoftの認証システムの歴史と過渡期におけるWAPの活用+Next Generation Credentials
Azure DevOpsとセキュリティ
Azure DevOpsとセキュリティ
N18_大学におけるパンデミックからの復興 ~DX がパンデミック後の教育機関のコア価値を強化する [Microsoft Japan Digital Days]
N18_大学におけるパンデミックからの復興 ~DX がパンデミック後の教育機関のコア価値を強化する [Microsoft Japan Digital Days]
[デブサミ2012]趣味と実益の脆弱性発見
[デブサミ2012]趣味と実益の脆弱性発見
Solution semniar vs2013_multi_device-1209-new
Solution semniar vs2013_multi_device-1209-new
事業会社で働くエンジニアのマインドセット - DevLOVE関西
事業会社で働くエンジニアのマインドセット - DevLOVE関西
20141111 themi struct
20141111 themi struct
概説 Data API v3
概説 Data API v3
Plus de Suguru Kunii
Intuneによるパッチ管理
Intuneによるパッチ管理
Suguru Kunii
JPEMSUG × JOUG 合同勉強会 Azure AD について
JPEMSUG × JOUG 合同勉強会 Azure AD について
Suguru Kunii
失敗しない条件付きアクセス Season2
失敗しない条件付きアクセス Season2
Suguru Kunii
失敗しない条件付きアクセスの実装
失敗しない条件付きアクセスの実装
Suguru Kunii
Azure AD B2B の運用管理
Azure AD B2B の運用管理
Suguru Kunii
ADFS で実現する OpenID Connect の実装
ADFS で実現する OpenID Connect の実装
Suguru Kunii
仕組みがわかるActive Directory
仕組みがわかるActive Directory
Suguru Kunii
Plus de Suguru Kunii
(7)
Intuneによるパッチ管理
Intuneによるパッチ管理
JPEMSUG × JOUG 合同勉強会 Azure AD について
JPEMSUG × JOUG 合同勉強会 Azure AD について
失敗しない条件付きアクセス Season2
失敗しない条件付きアクセス Season2
失敗しない条件付きアクセスの実装
失敗しない条件付きアクセスの実装
Azure AD B2B の運用管理
Azure AD B2B の運用管理
ADFS で実現する OpenID Connect の実装
ADFS で実現する OpenID Connect の実装
仕組みがわかるActive Directory
仕組みがわかるActive Directory
ADFS クレームルール言語 Deep Dive
1.
クレームルール言語DeepDive 株式会社ソフィアネットワーク 国井傑(くにいすぐる)
スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
2.
自己紹介 2 Copyright
2014 Sophia Network Ltd. MicrosoftMVP for Directory Services (2006~2015) マイクロソフト認定トレーナー (1997~) ブログ Always on the clock @sophiakunii 株式会社ソフィアネットワーク所属 連載~基礎から分かる ActiveDirectory再入門 スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
3.
評価ガイドあります 3 Copyright
2014 Sophia Network Ltd. スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
4.
ADFSトレーニングコースがリニューアルしました 4 Copyright
2014 Sophia Network Ltd. ニーズに合わせて、2つのコースをご提供! Office 365ユーザー認証ベストプラクティス(2日コース) MicrosoftAzureを活用したADFS構築(1日コース) こんな人におすすめです。 テスト環境を用意するだけでも大変なので、手っ取り早く学習したい。 今はとりあえずADFSが動いているけど、トラブルが起きたらどうしよう。 ADFSでデバイス制御を行いたい。 詳しくはクリエ・イルミネートWebサイトでご確認ください。 http://www.crie-illuminate.jp
5.
はじめに 5 Copyright
2014 Sophia Network Ltd.
6.
ADFSとAzureActiveDirectory(AzureAD) ADFSによるID連携 AzureADによるID連携
6 Copyright 2014 Sophia Network Ltd.
7.
7 Copyright 2014
Sophia Network Ltd.
8.
クレームルールとは トークンに含まれるクレームの定義またはアクセス制御を行うためのルール 8
Copyright 2014 Sophia Network Ltd.
9.
クレームルールのお作法 9 Copyright
2014 Sophia Network Ltd.
10.
クレームルールのお作法 10 Copyright
2014 Sophia Network Ltd.
11.
クレームルールのお作法 条件を指定しないで役割クレームにmanagerの値を発行 役職が設定されていない場合、役職クレームに一般社員の値を発行
役職が部長の場合、役職クレームを発行 11 Copyright 2014 Sophia Network Ltd.
12.
クレームルールのお作法 役職が部長の場合、役割クレームにも役職クレームと同じ値を発行 役職と名前を組み合わせた値を指定名クレームとして発行
12 Copyright 2014 Sophia Network Ltd.
13.
クレームルールのお作法 SQLServerのWorkerIDTableテーブルからemailaddressをキーに してWorkerID列を取得し、WorkerIDクレームにセット
【注意】SQLServer属性ストアの定義が事前に必要 ADFSのクレームにSQLServerデータベースを使う方法 http://tinyurl.com/lm4gkyz 13 Copyright 2014 Sophia Network Ltd.
14.
クレームルールのお作法 発行承認規則で許可を発行 発行承認規則で拒否を発行
14 Copyright 2014 Sophia Network Ltd.
15.
【参考】承認規則利用可能な主な要求記述 15 Copyright
2014 Sophia Network Ltd.
16.
クレームルールのお作法 正規表現 16
Copyright 2014 Sophia Network Ltd.
17.
多要素認証利用のためのアクセス制御設定 Set-ADFSAdditionalAuthenticationRuleコマンドレットで設定 基本的な構文
条件=>処理 条件部分の書き方 ここでの「処理」とは「多要素認証を行いなさい」ということ 17 Copyright 2014 Sophia Network Ltd. issue(Type = “http://schemas.microsoft.com/ws/2008/06/identity/ claims/authenticationmethod”, Value = “http://schemas.microsoft.com/claims/multipleauthn”); Exists([Type==○○, Value==××]) c:[Type==○○, Value==××]
18.
多要素認証利用のためのアクセス制御設定 条件のシナリオ1:社内ネットワークからブラウザーでアクセスした場合 条件のシナリオ2:Workplace
Joinによるデバイス認証をしていない場合 18 Copyright 2014 Sophia Network Ltd. exists([Type == "http://schemas.microsoft.com/2012/01/ requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"]) c:[Type == "http://schemas.microsoft.com/2012/01/ devicecontext/claims/isregistereduser", Value == "false"] NOT EXISTS([Type == "http://schemas.microsoft.com/2012/01/ devicecontext/claims/isregistereduser"])
19.
多要素認証利用のためのアクセス制御設定 条件のシナリオ1の場合における、アクセス制御設定の全文 19
Copyright 2014 Sophia Network Ltd. ‘exists([Type == "http://schemas.microsoft.com/2012/01/ requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"]) => issue(Type = “http://schemas.microsoft.com/ws/2008/06/ identity/claims/authenticationmethod”, Value = “http://schemas.microsoft.com/claims/multipleauthn”);’
20.
デバイス認証利用のためのアクセス制御設定 Microsoft Office365
Identity Platform証明書利用者信頼の 発行承認規則で設定 クレームルールの書き方 処理部の書き方 条件部の書き方は次のスライドから 20 Copyright 2014 Sophia Network Ltd. issue (Type = “http://schemas.microsoft.com/authorization/claims/permit”,value= “true”);
21.
デバイス認証利用のためのアクセス制御設定 条件のシナリオ1:デバイスクレームがある場合 条件のシナリオ2:iOSの場合
21 Copyright 2014 Sophia Network Ltd. exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/ identifier”]) exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/ ostype”, Value == “iOS”])
22.
デバイス認証利用のためのアクセス制御設定 条件のシナリオ1の場合における、アクセス制御設定の全文 22
Copyright 2014 Sophia Network Ltd. exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/ identifier”]) => issue (Type = “http://schemas.microsoft.com/authorization/claims/permit”,value= “true”);
23.
ADFSトレーニングコース開催しています! http://www.crie-illuminate.jp/ 23
Copyright 2014 Sophia Network Ltd. ActiveDirectory フェデレーションサービストレーニング Office 365ユーザー認証ベストプラクティス(2日コース) MicrosoftAzureを活用したADFS構築(1日コース)
24.
24 Microsoft Confidential
We don’t even have to try, It’s alwaysa good time. from “good time” by owl city & carlyraejepsen
Télécharger maintenant