SlideShare une entreprise Scribd logo

Manage ADFS on Office365

Genki WATANABE
Genki WATANABE

2012.09.22 @Microsoft Japan(SGT)

Technologie
1  sur  14
ADFS/Office365 連携の紹介 (Part2 ADFS/Office 365 連携の運用) Microsoft MVP (Office365) 渡辺 元気
Agenda • 前半 - ADFS/Office 365 連携の基礎 • Office 365 における ADFS の必要性と特徴 • Office 365 の実装 • 後半 – ADFS/Office 365 連携の運用 • ADFS/Office365連携における証明書の実装 • ADFS運用のトラブルシュート 2 Copyright 2012 Sophia Network Ltd.
ADFS/Office365連携での証明書① AD DS AD FS Microsoft Federation Gateway ②署名の検証 ②署名 ③復号化 ①SSL ③暗号化 ①サービス通信証明書 ADFSで利用する通信の暗号化で利用 ②トークン署名証明書 ADFSが発行するトークンの署名に利用 ③トークン暗号化解除証明書 暗号化(選択可能だが強く推奨)されたトークンの復号で利用 3 Copyright 2012 Sophia Network Ltd.
ADFS/Office365連携での証明書② インストール時意識するのは、ほぼサービス通信証明書のみ IISマネージャー ADFS構成ウィザード (または)MMC 証明書スナップイン 4 Copyright 2012 Sophia Network Ltd.
ADFS/Office365連携での証明書③ サービス通信はインストール時に指定した証明書、 トークン暗号化解除・トークン署名はそれぞれ自己証明書が自動設定 上記の証明書が設定されるADFSの「証明書利用者信頼」 とOffice365側の設定はPowerShellで実施 PS > New-MsolFederatedDomain -DomainName contoso.com 5 Copyright 2012 Sophia Network Ltd.
ADFS/Office365連携での証明書④  簡易なウィザードのみで難しいADFSの構成が完了 する  ユーザーが意識せずに証明書が構成されている ⇒メンテナンスフリー? No! 適切な運用が必要 6 Copyright 2012 Sophia Network Ltd.
ADFS運用の基本 If you’re having trouble setting up ADFS, it’s either a problem with PKI or a typo.(ADFSのセットアップでトラブル が起きたなら、PKIまたは入力ミスが問題の原因だ) Laura E. Hunter 運用においても原則は同じ ※ただし、動き出すと比較的安定して動作 (System Center Operating Manager管理パック参照) 7 Copyright 2012 Sophia Network Ltd.
【参考】SCOMのADFSの管理パック ADFSサービスが 起動できない (当初は満たされ ていた) ADFSサービスの 前提条件が満た されていない 証明書の 問題 8 Copyright 2012 Sophia Network Ltd.
ADFSトラブルシュート① Office365のシングルサインオンを構成してから しばらく(1年弱)経った頃、 突然シングルサインオンができなくなる 証明書の更新がOffice365に伝送されない まま、ADFSの証明書が切り替わった ※Office365からの証明書の期限切れ通知のメールや ソースAD FS 2.0,イベントID 385の警告ログなどが予兆 Office365→ADFSはフェデレーションメタデータで更新不可の為 手動でUpdate-MsolFedetatedDomainコマンドレットで伝送 自動化ツールも有り 9 Copyright 2012 Sophia Network Ltd.
ADFSトラブルシュート② ①の対応後、社内からのOWAなどのアクセスは 回復したが、社外やOutlookなどからは引き続き アクセスできない 証明書更新後、ADFS⇔ADFS Proxy間の 構成が正しく再構成されていない ※ADFS Proxyで4時毎に行われるフェデレーションサービスの 更新が、成功(イベントID 392)→失敗(394)。エンドポイント の一覧を取得できません(イベントID 248)のエラーが発生 ADFSサーバのAD FS2.0 Windowsサービスの再起動により回復。 自動回復しない場合はADFS Proxy構成ウィザード再実行 10 Copyright 2012 Sophia Network Ltd.
ADFSトラブルシュート③ 証明書の更新の時期ではないのに、突然 社外やOutlookなどからアクセスできなくなった 時刻が5分以上ずれた為、Kerberos認証 が実施できなかった ADFS Proxyサーバの時刻がずれており、再設定より回復。(ADFSは ドメインから時刻同期できていたが、Proxyは非設定だった) 11 Copyright 2012 Sophia Network Ltd.
ADFSトラブルシュート④ FirewallのACLやSSL証明書のCAを変更したら ADFS ProxyやLyncクライアントが動作しなくなった CRLにアクセスできなくなり、ADFSで利用 している証明書の検証ができなかった 証明書を利用するクライアントは、証明書を検証できるよう Office365の他、CAが用意しているCRLへのアクセスを確保する 12 Copyright 2012 Sophia Network Ltd.
ADFSトラブルシュート⑤ 【その他】 • 外部から入れなくなった  Active Directoryのパスワード期限切れ。常時、社外にい るユーザのパスワード運用は要検討 • SSOがポップアップするようになった/フォーム 入力画面(ADFS Proxy)に行くようになった。  (前者)グループポリシー含めIEのゾーンの設定 (後者)DNSやIEのProxy設定などに影響 13 Copyright 2012 Sophia Network Ltd.
このセクションのまとめ  構成の難易度は低いが、トラブルシュートはサービス側含めた 構成、特性や動作原理を理解した上での対応が必要  クラウド側がどんどんバージョンアップしていくので、本番環境 とは別に、検証環境を用意しておくことを強く推奨  MicrosoftのK/Bの充実もまだこれからな感が有るので、情報の 更新は定期的にウォッチが必要(現場の技術者間でのナレッ ジの共有もどんどん実施して行きたい) 日々徒然 http://genkiw.wordpress.com 14 Copyright 2012 Sophia Network Ltd.

Recommandé

Office 365 adfs環境の構築
Office 365 adfs環境の構築Office 365 adfs環境の構築
Office 365 adfs環境の構築
office365room
 
Office365のための多要素認証
Office365のための多要素認証Office365のための多要素認証
Office365のための多要素認証
Suguru Kunii
 
ADFS With Cloud Service ~シングルサインオン最新手法~
ADFS With Cloud Service ~シングルサインオン最新手法~ADFS With Cloud Service ~シングルサインオン最新手法~
ADFS With Cloud Service ~シングルサインオン最新手法~
Mari Miyakawa
 
ADFS+Office365によるセキュリティ強化~デバイス・多要素認証
ADFS+Office365によるセキュリティ強化~デバイス・多要素認証ADFS+Office365によるセキュリティ強化~デバイス・多要素認証
ADFS+Office365によるセキュリティ強化~デバイス・多要素認証
Suguru Kunii
 
Windows 10 の新機能 Azure AD Domain Join とは
Windows 10 の新機能 Azure AD Domain Join とはWindows 10 の新機能 Azure AD Domain Join とは
Windows 10 の新機能 Azure AD Domain Join とは
Mari Miyakawa
 
クラウドで始めるActive Directory
クラウドで始めるActive Directoryクラウドで始めるActive Directory
クラウドで始めるActive Directory
Suguru Kunii
 
Active directoryと認証・認可
Active directoryと認証・認可Active directoryと認証・認可
Active directoryと認証・認可
Hiroki Kamata
 
Microsoft Azure 自習書シリーズ No.6 企業内システムとMicrosoft AzureのVPN接続、ADFS、Office 365との連携
Microsoft Azure 自習書シリーズ No.6 企業内システムとMicrosoft AzureのVPN接続、ADFS、Office 365との連携Microsoft Azure 自習書シリーズ No.6 企業内システムとMicrosoft AzureのVPN接続、ADFS、Office 365との連携
Microsoft Azure 自習書シリーズ No.6 企業内システムとMicrosoft AzureのVPN接続、ADFS、Office 365との連携
kumo2010
 

Recommandé

Office 365 adfs環境の構築
Office 365 adfs環境の構築Office 365 adfs環境の構築
Office 365 adfs環境の構築
office365room
 
Office365のための多要素認証
Office365のための多要素認証Office365のための多要素認証
Office365のための多要素認証
Suguru Kunii
 
ADFS With Cloud Service ~シングルサインオン最新手法~
ADFS With Cloud Service ~シングルサインオン最新手法~ADFS With Cloud Service ~シングルサインオン最新手法~
ADFS With Cloud Service ~シングルサインオン最新手法~
Mari Miyakawa
 
ADFS+Office365によるセキュリティ強化~デバイス・多要素認証
ADFS+Office365によるセキュリティ強化~デバイス・多要素認証ADFS+Office365によるセキュリティ強化~デバイス・多要素認証
ADFS+Office365によるセキュリティ強化~デバイス・多要素認証
Suguru Kunii
 
Windows 10 の新機能 Azure AD Domain Join とは
Windows 10 の新機能 Azure AD Domain Join とはWindows 10 の新機能 Azure AD Domain Join とは
Windows 10 の新機能 Azure AD Domain Join とは
Mari Miyakawa
 
クラウドで始めるActive Directory
クラウドで始めるActive Directoryクラウドで始めるActive Directory
クラウドで始めるActive Directory
Suguru Kunii
 
Active directoryと認証・認可
Active directoryと認証・認可Active directoryと認証・認可
Active directoryと認証・認可
Hiroki Kamata
 
Microsoft Azure 自習書シリーズ No.6 企業内システムとMicrosoft AzureのVPN接続、ADFS、Office 365との連携
Microsoft Azure 自習書シリーズ No.6 企業内システムとMicrosoft AzureのVPN接続、ADFS、Office 365との連携Microsoft Azure 自習書シリーズ No.6 企業内システムとMicrosoft AzureのVPN接続、ADFS、Office 365との連携
Microsoft Azure 自習書シリーズ No.6 企業内システムとMicrosoft AzureのVPN接続、ADFS、Office 365との連携
kumo2010
 
Office 365 管理者が押さえておきたい PowerShell コマンド
Office 365 管理者が押さえておきたい PowerShell コマンドOffice 365 管理者が押さえておきたい PowerShell コマンド
Office 365 管理者が押さえておきたい PowerShell コマンド
Mari Miyakawa
 
Office 365 Proplus の展開 ~2016~
Office 365 Proplus の展開 ~2016~Office 365 Proplus の展開 ~2016~
Office 365 Proplus の展開 ~2016~
Mari Miyakawa
 
AADDs Came to Azure
AADDs Came to AzureAADDs Came to Azure
AADDs Came to Azure
Mari Miyakawa
 
ADFS の vNext
ADFS の vNext ADFS の vNext
ADFS の vNext
Mari Miyakawa
 
あなたの環境は大丈夫?来月に迫る Exchange Online 接続への変更点
あなたの環境は大丈夫?来月に迫る Exchange Online 接続への変更点あなたの環境は大丈夫?来月に迫る Exchange Online 接続への変更点
あなたの環境は大丈夫?来月に迫る Exchange Online 接続への変更点
Mari Miyakawa
 
Office365最新動向と運用管理tips
Office365最新動向と運用管理tipsOffice365最新動向と運用管理tips
Office365最新動向と運用管理tips
Mari Miyakawa
 
Prd004 office 365_における_id_統合と
Prd004 office 365_における_id_統合とPrd004 office 365_における_id_統合と
Prd004 office 365_における_id_統合と
Tech Summit 2016
 
Windows Server 2019 Active Directory related information
Windows Server 2019 Active Directory related informationWindows Server 2019 Active Directory related information
Windows Server 2019 Active Directory related information
Mari Miyakawa
 
仕組みがわかるActive Directory
仕組みがわかるActive Directory仕組みがわかるActive Directory
仕組みがわかるActive Directory
Suguru Kunii
 
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオS05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
Microsoft Azure Japan
 
ADFSのEOSに向けたTips
ADFSのEOSに向けたTipsADFSのEOSに向けたTips
ADFSのEOSに向けたTips
Mari Miyakawa
 
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しようIP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
Yusuke Kodama
 
Mdm for office365
Mdm for office365Mdm for office365
Mdm for office365
Mari Miyakawa
 
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
junichi anno
 
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキAzure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
Tetsuya Yokoyama
 
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
Yusuke Kodama
 
Active Directory のおさらいをしましょう!~グループポリシー編~
Active Directory のおさらいをしましょう!~グループポリシー編~Active Directory のおさらいをしましょう!~グループポリシー編~
Active Directory のおさらいをしましょう!~グループポリシー編~
Mari Miyakawa
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
Shinichiro Kosugi
 
Prd008 日本初!“windows 10_team”_os_
Prd008 日本初!“windows 10_team”_os_Prd008 日本初!“windows 10_team”_os_
Prd008 日本初!“windows 10_team”_os_
Tech Summit 2016
 
ADFS クレームルール言語 Deep Dive
ADFS クレームルール言語 Deep DiveADFS クレームルール言語 Deep Dive
ADFS クレームルール言語 Deep Dive
Suguru Kunii
 
Office365のID連携の機能の移り変わりについて
Office365のID連携の機能の移り変わりについてOffice365のID連携の機能の移り変わりについて
Office365のID連携の機能の移り変わりについて
Genki WATANABE
 
ADFSの証明書入れ替えではまった話
ADFSの証明書入れ替えではまった話ADFSの証明書入れ替えではまった話
ADFSの証明書入れ替えではまった話
Genki WATANABE
 

Contenu connexe

Tendances

S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオS05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
Microsoft Azure Japan
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
Shinichiro Kosugi
 

Tendances (20)

Office 365 管理者が押さえておきたい PowerShell コマンド
Office 365 管理者が押さえておきたい PowerShell コマンドOffice 365 管理者が押さえておきたい PowerShell コマンド
Office 365 管理者が押さえておきたい PowerShell コマンド
 
Office 365 Proplus の展開 ~2016~
Office 365 Proplus の展開 ~2016~Office 365 Proplus の展開 ~2016~
Office 365 Proplus の展開 ~2016~
 
AADDs Came to Azure
AADDs Came to AzureAADDs Came to Azure
AADDs Came to Azure
 
ADFS の vNext
ADFS の vNext ADFS の vNext
ADFS の vNext
 
あなたの環境は大丈夫?来月に迫る Exchange Online 接続への変更点
あなたの環境は大丈夫?来月に迫る Exchange Online 接続への変更点あなたの環境は大丈夫?来月に迫る Exchange Online 接続への変更点
あなたの環境は大丈夫?来月に迫る Exchange Online 接続への変更点
 
Office365最新動向と運用管理tips
Office365最新動向と運用管理tipsOffice365最新動向と運用管理tips
Office365最新動向と運用管理tips
 
Prd004 office 365_における_id_統合と
Prd004 office 365_における_id_統合とPrd004 office 365_における_id_統合と
Prd004 office 365_における_id_統合と
 
Windows Server 2019 Active Directory related information
Windows Server 2019 Active Directory related informationWindows Server 2019 Active Directory related information
Windows Server 2019 Active Directory related information
 
仕組みがわかるActive Directory
仕組みがわかるActive Directory仕組みがわかるActive Directory
仕組みがわかるActive Directory
 
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオS05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
 
ADFSのEOSに向けたTips
ADFSのEOSに向けたTipsADFSのEOSに向けたTips
ADFSのEOSに向けたTips
 
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しようIP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
 
Mdm for office365
Mdm for office365Mdm for office365
Mdm for office365
 
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
 
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキAzure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
 
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
 
Active Directory のおさらいをしましょう!~グループポリシー編~
Active Directory のおさらいをしましょう!~グループポリシー編~Active Directory のおさらいをしましょう!~グループポリシー編~
Active Directory のおさらいをしましょう!~グループポリシー編~
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
 
Prd008 日本初!“windows 10_team”_os_
Prd008 日本初!“windows 10_team”_os_Prd008 日本初!“windows 10_team”_os_
Prd008 日本初!“windows 10_team”_os_
 
ADFS クレームルール言語 Deep Dive
ADFS クレームルール言語 Deep DiveADFS クレームルール言語 Deep Dive
ADFS クレームルール言語 Deep Dive
 

En vedette

Preparing for an Exchange 2013 Hybrid
Preparing for an Exchange 2013 HybridPreparing for an Exchange 2013 Hybrid
Preparing for an Exchange 2013 Hybrid
Jethro Seghers
 
仮想化した DC を PowerShell で複製する
仮想化した DC を PowerShell で複製する仮想化した DC を PowerShell で複製する
仮想化した DC を PowerShell で複製する
junichi anno
 
Dynamic Access Control 解説編
Dynamic Access Control 解説編Dynamic Access Control 解説編
Dynamic Access Control 解説編
junichi anno
 
Dynamic Access Control 演習編
Dynamic Access Control 演習編Dynamic Access Control 演習編
Dynamic Access Control 演習編
junichi anno
 
Vdi を より使いやすいインフラにするためのセキュリティ設計
Vdi を より使いやすいインフラにするためのセキュリティ設計Vdi を より使いやすいインフラにするためのセキュリティ設計
Vdi を より使いやすいインフラにするためのセキュリティ設計
junichi anno
 
SaaS としての IDM の役割
SaaS としての IDM の役割SaaS としての IDM の役割
SaaS としての IDM の役割
junichi anno
 
Shared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」についてShared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」について
junichi anno
 

En vedette (20)

Office365のID連携の機能の移り変わりについて
Office365のID連携の機能の移り変わりについてOffice365のID連携の機能の移り変わりについて
Office365のID連携の機能の移り変わりについて
 
ADFSの証明書入れ替えではまった話
ADFSの証明書入れ替えではまった話ADFSの証明書入れ替えではまった話
ADFSの証明書入れ替えではまった話
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理
 
運用を見据えた失敗しないOffice365導入
運用を見据えた失敗しないOffice365導入運用を見据えた失敗しないOffice365導入
運用を見据えた失敗しないOffice365導入
 
Office365の概要、google apps比較
Office365の概要、google apps比較Office365の概要、google apps比較
Office365の概要、google apps比較
 
ビジネスコミュニケーションを迅速化させるモバイルデバイスを活用した情報共有ソリューション ~タブレット端末とOffice 365~
ビジネスコミュニケーションを迅速化させるモバイルデバイスを活用した情報共有ソリューション ~タブレット端末とOffice 365~ビジネスコミュニケーションを迅速化させるモバイルデバイスを活用した情報共有ソリューション ~タブレット端末とOffice 365~
ビジネスコミュニケーションを迅速化させるモバイルデバイスを活用した情報共有ソリューション ~タブレット端末とOffice 365~
 
Preparing for an Exchange 2013 Hybrid
Preparing for an Exchange 2013 HybridPreparing for an Exchange 2013 Hybrid
Preparing for an Exchange 2013 Hybrid
 
AgileJapan-Saga-Prefecture
AgileJapan-Saga-PrefectureAgileJapan-Saga-Prefecture
AgileJapan-Saga-Prefecture
 
Microsoft の ID 連携技術
Microsoft の ID 連携技術Microsoft の ID 連携技術
Microsoft の ID 連携技術
 
Microsoft と Digital Identity
Microsoft と Digital IdentityMicrosoft と Digital Identity
Microsoft と Digital Identity
 
Ultimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPS
Ultimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPSUltimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPS
Ultimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPS
 
仮想化した DC を PowerShell で複製する
仮想化した DC を PowerShell で複製する仮想化した DC を PowerShell で複製する
仮想化した DC を PowerShell で複製する
 
Dynamic Access Control 解説編
Dynamic Access Control 解説編Dynamic Access Control 解説編
Dynamic Access Control 解説編
 
Dynamic Access Control 演習編
Dynamic Access Control 演習編Dynamic Access Control 演習編
Dynamic Access Control 演習編
 
Vdi を より使いやすいインフラにするためのセキュリティ設計
Vdi を より使いやすいインフラにするためのセキュリティ設計Vdi を より使いやすいインフラにするためのセキュリティ設計
Vdi を より使いやすいインフラにするためのセキュリティ設計
 
SaaS としての IDM の役割
SaaS としての IDM の役割SaaS としての IDM の役割
SaaS としての IDM の役割
 
Active Directory 最新情報 2012.8.31 暫定版
Active Directory 最新情報 2012.8.31 暫定版Active Directory 最新情報 2012.8.31 暫定版
Active Directory 最新情報 2012.8.31 暫定版
 
カジュアルにセキュリティテストはじめよう
カジュアルにセキュリティテストはじめようカジュアルにセキュリティテストはじめよう
カジュアルにセキュリティテストはじめよう
 
Shared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」についてShared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」について
 
Otrsによるシステム運用管理の導入事例
Otrsによるシステム運用管理の導入事例Otrsによるシステム運用管理の導入事例
Otrsによるシステム運用管理の導入事例
 

Similaire à Manage ADFS on Office365

[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
de:code 2017
 
Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版
junichi anno
 
Aws summits2014 ガリバーインターナショナル社内システムのaws化
Aws summits2014 ガリバーインターナショナル社内システムのaws化Aws summits2014 ガリバーインターナショナル社内システムのaws化
Aws summits2014 ガリバーインターナショナル社内システムのaws化
Boss4434
 
【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!
【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!
【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!
日本マイクロソフト株式会社
 

Similaire à Manage ADFS on Office365 (20)

[Japan Tech summit 2017] SEC 006
[Japan Tech summit 2017] SEC 006[Japan Tech summit 2017] SEC 006
[Japan Tech summit 2017] SEC 006
 
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
 
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
 
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
 
OSSによるマッシュアップ&サービス化を実現するOpen棟梁サービス開発基盤
OSSによるマッシュアップ&サービス化を実現するOpen棟梁サービス開発基盤OSSによるマッシュアップ&サービス化を実現するOpen棟梁サービス開発基盤
OSSによるマッシュアップ&サービス化を実現するOpen棟梁サービス開発基盤
 
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
 
20171011_最新のハイブリッドID管理基盤パターン
20171011_最新のハイブリッドID管理基盤パターン20171011_最新のハイブリッドID管理基盤パターン
20171011_最新のハイブリッドID管理基盤パターン
 
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)
 
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
 
Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版
 
ここまで進歩したMicrosoftのSaaSソリューション 公開用
ここまで進歩したMicrosoftのSaaSソリューション 公開用ここまで進歩したMicrosoftのSaaSソリューション 公開用
ここまで進歩したMicrosoftのSaaSソリューション 公開用
 
Aws summits2014 ガリバーインターナショナル社内システムのaws化
Aws summits2014 ガリバーインターナショナル社内システムのaws化Aws summits2014 ガリバーインターナショナル社内システムのaws化
Aws summits2014 ガリバーインターナショナル社内システムのaws化
 
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
 
Azure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しようAzure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しよう
 
適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手
 
Horizon Cloud on Microsoft Azure 概要 (2018年12月版)
Horizon Cloud on Microsoft Azure 概要 (2018年12月版)Horizon Cloud on Microsoft Azure 概要 (2018年12月版)
Horizon Cloud on Microsoft Azure 概要 (2018年12月版)
 
[Japan Tech summit 2017] DEP 009
[Japan Tech summit 2017] DEP 009[Japan Tech summit 2017] DEP 009
[Japan Tech summit 2017] DEP 009
 
TFSUG 20151126
TFSUG 20151126TFSUG 20151126
TFSUG 20151126
 
もうはじまっている ”クラウド ファースト VDI” ~ 一問一答形式で Citrix on Azure を徹底解説! ~
もうはじまっている ”クラウド ファースト VDI” ~ 一問一答形式で Citrix on Azure を徹底解説! ~もうはじまっている ”クラウド ファースト VDI” ~ 一問一答形式で Citrix on Azure を徹底解説! ~
もうはじまっている ”クラウド ファースト VDI” ~ 一問一答形式で Citrix on Azure を徹底解説! ~
 
【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!
【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!
【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!
 

Plus de Genki WATANABE

Plus de Genki WATANABE (6)

第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~
第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~
第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~
 
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
 
オンプレミス x Exchange Server 2016 という選択肢
オンプレミス x Exchange Server 2016 という選択肢オンプレミス x Exchange Server 2016 という選択肢
オンプレミス x Exchange Server 2016 という選択肢
 
Office 365との上手な付き合い方と今年度のトピックス
Office 365との上手な付き合い方と今年度のトピックスOffice 365との上手な付き合い方と今年度のトピックス
Office 365との上手な付き合い方と今年度のトピックス
 
Office365とオンプレミス製品の共存(MVP Community Camp 2015)
Office365とオンプレミス製品の共存(MVP Community Camp 2015)Office365とオンプレミス製品の共存(MVP Community Camp 2015)
Office365とオンプレミス製品の共存(MVP Community Camp 2015)
 
Office365 Customize
Office365 CustomizeOffice365 Customize
Office365 Customize
 

Dernier

Dernier (7)

NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 

Manage ADFS on Office365

  • 1. ADFS/Office365 連携の紹介 (Part2 ADFS/Office 365 連携の運用) Microsoft MVP (Office365) 渡辺 元気
  • 2. Agenda • 前半 - ADFS/Office 365 連携の基礎 • Office 365 における ADFS の必要性と特徴 • Office 365 の実装 • 後半 – ADFS/Office 365 連携の運用 • ADFS/Office365連携における証明書の実装 • ADFS運用のトラブルシュート 2 Copyright 2012 Sophia Network Ltd.
  • 3. ADFS/Office365連携での証明書① AD DS AD FS Microsoft Federation Gateway ②署名の検証 ②署名 ③復号化 ①SSL ③暗号化 ①サービス通信証明書 ADFSで利用する通信の暗号化で利用 ②トークン署名証明書 ADFSが発行するトークンの署名に利用 ③トークン暗号化解除証明書 暗号化(選択可能だが強く推奨)されたトークンの復号で利用 3 Copyright 2012 Sophia Network Ltd.
  • 4. ADFS/Office365連携での証明書② インストール時意識するのは、ほぼサービス通信証明書のみ IISマネージャー ADFS構成ウィザード (または)MMC 証明書スナップイン 4 Copyright 2012 Sophia Network Ltd.
  • 5. ADFS/Office365連携での証明書③ サービス通信はインストール時に指定した証明書、 トークン暗号化解除・トークン署名はそれぞれ自己証明書が自動設定 上記の証明書が設定されるADFSの「証明書利用者信頼」 とOffice365側の設定はPowerShellで実施 PS > New-MsolFederatedDomain -DomainName contoso.com 5 Copyright 2012 Sophia Network Ltd.
  • 6. ADFS/Office365連携での証明書④  簡易なウィザードのみで難しいADFSの構成が完了 する  ユーザーが意識せずに証明書が構成されている ⇒メンテナンスフリー? No! 適切な運用が必要 6 Copyright 2012 Sophia Network Ltd.
  • 7. ADFS運用の基本 If you’re having trouble setting up ADFS, it’s either a problem with PKI or a typo.(ADFSのセットアップでトラブル が起きたなら、PKIまたは入力ミスが問題の原因だ) Laura E. Hunter 運用においても原則は同じ ※ただし、動き出すと比較的安定して動作 (System Center Operating Manager管理パック参照) 7 Copyright 2012 Sophia Network Ltd.
  • 8. 【参考】SCOMのADFSの管理パック ADFSサービスが 起動できない (当初は満たされ ていた) ADFSサービスの 前提条件が満た されていない 証明書の 問題 8 Copyright 2012 Sophia Network Ltd.
  • 9. ADFSトラブルシュート① Office365のシングルサインオンを構成してから しばらく(1年弱)経った頃、 突然シングルサインオンができなくなる 証明書の更新がOffice365に伝送されない まま、ADFSの証明書が切り替わった ※Office365からの証明書の期限切れ通知のメールや ソースAD FS 2.0,イベントID 385の警告ログなどが予兆 Office365→ADFSはフェデレーションメタデータで更新不可の為 手動でUpdate-MsolFedetatedDomainコマンドレットで伝送 自動化ツールも有り 9 Copyright 2012 Sophia Network Ltd.
  • 10. ADFSトラブルシュート② ①の対応後、社内からのOWAなどのアクセスは 回復したが、社外やOutlookなどからは引き続き アクセスできない 証明書更新後、ADFS⇔ADFS Proxy間の 構成が正しく再構成されていない ※ADFS Proxyで4時毎に行われるフェデレーションサービスの 更新が、成功(イベントID 392)→失敗(394)。エンドポイント の一覧を取得できません(イベントID 248)のエラーが発生 ADFSサーバのAD FS2.0 Windowsサービスの再起動により回復。 自動回復しない場合はADFS Proxy構成ウィザード再実行 10 Copyright 2012 Sophia Network Ltd.
  • 11. ADFSトラブルシュート③ 証明書の更新の時期ではないのに、突然 社外やOutlookなどからアクセスできなくなった 時刻が5分以上ずれた為、Kerberos認証 が実施できなかった ADFS Proxyサーバの時刻がずれており、再設定より回復。(ADFSは ドメインから時刻同期できていたが、Proxyは非設定だった) 11 Copyright 2012 Sophia Network Ltd.
  • 12. ADFSトラブルシュート④ FirewallのACLやSSL証明書のCAを変更したら ADFS ProxyやLyncクライアントが動作しなくなった CRLにアクセスできなくなり、ADFSで利用 している証明書の検証ができなかった 証明書を利用するクライアントは、証明書を検証できるよう Office365の他、CAが用意しているCRLへのアクセスを確保する 12 Copyright 2012 Sophia Network Ltd.
  • 13. ADFSトラブルシュート⑤ 【その他】 • 外部から入れなくなった  Active Directoryのパスワード期限切れ。常時、社外にい るユーザのパスワード運用は要検討 • SSOがポップアップするようになった/フォーム 入力画面(ADFS Proxy)に行くようになった。  (前者)グループポリシー含めIEのゾーンの設定 (後者)DNSやIEのProxy設定などに影響 13 Copyright 2012 Sophia Network Ltd.
  • 14. このセクションのまとめ  構成の難易度は低いが、トラブルシュートはサービス側含めた 構成、特性や動作原理を理解した上での対応が必要  クラウド側がどんどんバージョンアップしていくので、本番環境 とは別に、検証環境を用意しておくことを強く推奨  MicrosoftのK/Bの充実もまだこれからな感が有るので、情報の 更新は定期的にウォッチが必要(現場の技術者間でのナレッ ジの共有もどんどん実施して行きたい) 日々徒然 http://genkiw.wordpress.com 14 Copyright 2012 Sophia Network Ltd.