Contenu connexe Similaire à Manage ADFS on Office365 (20) Plus de Genki WATANABE (6) Manage ADFS on Office3652. Agenda
• 前半 - ADFS/Office 365 連携の基礎
• Office 365 における ADFS の必要性と特徴
• Office 365 の実装
• 後半 – ADFS/Office 365 連携の運用
• ADFS/Office365連携における証明書の実装
• ADFS運用のトラブルシュート
2 Copyright 2012 Sophia Network Ltd.
3. ADFS/Office365連携での証明書①
AD DS AD FS Microsoft Federation Gateway
②署名の検証
②署名
③復号化
①SSL
③暗号化
①サービス通信証明書
ADFSで利用する通信の暗号化で利用
②トークン署名証明書
ADFSが発行するトークンの署名に利用
③トークン暗号化解除証明書
暗号化(選択可能だが強く推奨)されたトークンの復号で利用
3 Copyright 2012 Sophia Network Ltd.
4. ADFS/Office365連携での証明書②
インストール時意識するのは、ほぼサービス通信証明書のみ
IISマネージャー
ADFS構成ウィザード
(または)MMC 証明書スナップイン
4 Copyright 2012 Sophia Network Ltd.
5. ADFS/Office365連携での証明書③
サービス通信はインストール時に指定した証明書、
トークン暗号化解除・トークン署名はそれぞれ自己証明書が自動設定
上記の証明書が設定されるADFSの「証明書利用者信頼」
とOffice365側の設定はPowerShellで実施
PS > New-MsolFederatedDomain -DomainName contoso.com
5 Copyright 2012 Sophia Network Ltd.
6. ADFS/Office365連携での証明書④
簡易なウィザードのみで難しいADFSの構成が完了
する
ユーザーが意識せずに証明書が構成されている
⇒メンテナンスフリー?
No!
適切な運用が必要
6 Copyright 2012 Sophia Network Ltd.
7. ADFS運用の基本
If you’re having trouble setting up ADFS, it’s either a
problem with PKI or a typo.(ADFSのセットアップでトラブル
が起きたなら、PKIまたは入力ミスが問題の原因だ)
Laura E. Hunter
運用においても原則は同じ
※ただし、動き出すと比較的安定して動作
(System Center Operating Manager管理パック参照)
7 Copyright 2012 Sophia Network Ltd.
8. 【参考】SCOMのADFSの管理パック
ADFSサービスが
起動できない
(当初は満たされ
ていた)
ADFSサービスの
前提条件が満た
されていない
証明書の
問題
8 Copyright 2012 Sophia Network Ltd.
9. ADFSトラブルシュート①
Office365のシングルサインオンを構成してから
しばらく(1年弱)経った頃、
突然シングルサインオンができなくなる
証明書の更新がOffice365に伝送されない
まま、ADFSの証明書が切り替わった
※Office365からの証明書の期限切れ通知のメールや
ソースAD FS 2.0,イベントID 385の警告ログなどが予兆
Office365→ADFSはフェデレーションメタデータで更新不可の為
手動でUpdate-MsolFedetatedDomainコマンドレットで伝送
自動化ツールも有り
9 Copyright 2012 Sophia Network Ltd.
10. ADFSトラブルシュート②
①の対応後、社内からのOWAなどのアクセスは
回復したが、社外やOutlookなどからは引き続き
アクセスできない
証明書更新後、ADFS⇔ADFS Proxy間の
構成が正しく再構成されていない
※ADFS Proxyで4時毎に行われるフェデレーションサービスの
更新が、成功(イベントID 392)→失敗(394)。エンドポイント
の一覧を取得できません(イベントID 248)のエラーが発生
ADFSサーバのAD FS2.0 Windowsサービスの再起動により回復。
自動回復しない場合はADFS Proxy構成ウィザード再実行
10 Copyright 2012 Sophia Network Ltd.
11. ADFSトラブルシュート③
証明書の更新の時期ではないのに、突然
社外やOutlookなどからアクセスできなくなった
時刻が5分以上ずれた為、Kerberos認証
が実施できなかった
ADFS Proxyサーバの時刻がずれており、再設定より回復。(ADFSは
ドメインから時刻同期できていたが、Proxyは非設定だった)
11 Copyright 2012 Sophia Network Ltd.
12. ADFSトラブルシュート④
FirewallのACLやSSL証明書のCAを変更したら
ADFS ProxyやLyncクライアントが動作しなくなった
CRLにアクセスできなくなり、ADFSで利用
している証明書の検証ができなかった
証明書を利用するクライアントは、証明書を検証できるよう
Office365の他、CAが用意しているCRLへのアクセスを確保する
12 Copyright 2012 Sophia Network Ltd.
13. ADFSトラブルシュート⑤
【その他】
• 外部から入れなくなった
Active Directoryのパスワード期限切れ。常時、社外にい
るユーザのパスワード運用は要検討
• SSOがポップアップするようになった/フォーム
入力画面(ADFS Proxy)に行くようになった。
(前者)グループポリシー含めIEのゾーンの設定
(後者)DNSやIEのProxy設定などに影響
13 Copyright 2012 Sophia Network Ltd.
14. このセクションのまとめ
構成の難易度は低いが、トラブルシュートはサービス側含めた
構成、特性や動作原理を理解した上での対応が必要
クラウド側がどんどんバージョンアップしていくので、本番環境
とは別に、検証環境を用意しておくことを強く推奨
MicrosoftのK/Bの充実もまだこれからな感が有るので、情報の
更新は定期的にウォッチが必要(現場の技術者間でのナレッ
ジの共有もどんどん実施して行きたい)
日々徒然 http://genkiw.wordpress.com
14 Copyright 2012 Sophia Network Ltd.