Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Prochain SlideShare
Office365 ID管理のベストプラクティス(Office365勉強会#6)
Suivant

6

Partager

Manage ADFS on Office365

2012.09.22 @Microsoft Japan(SGT)

Manage ADFS on Office365

  1. 1. ADFS/Office365 連携の紹介 (Part2 ADFS/Office 365 連携の運用) Microsoft MVP (Office365) 渡辺 元気
  2. 2. Agenda • 前半 - ADFS/Office 365 連携の基礎 • Office 365 における ADFS の必要性と特徴 • Office 365 の実装 • 後半 – ADFS/Office 365 連携の運用 • ADFS/Office365連携における証明書の実装 • ADFS運用のトラブルシュート 2 Copyright 2012 Sophia Network Ltd.
  3. 3. ADFS/Office365連携での証明書① AD DS AD FS Microsoft Federation Gateway ②署名の検証 ②署名 ③復号化 ①SSL ③暗号化 ①サービス通信証明書 ADFSで利用する通信の暗号化で利用 ②トークン署名証明書 ADFSが発行するトークンの署名に利用 ③トークン暗号化解除証明書 暗号化(選択可能だが強く推奨)されたトークンの復号で利用 3 Copyright 2012 Sophia Network Ltd.
  4. 4. ADFS/Office365連携での証明書② インストール時意識するのは、ほぼサービス通信証明書のみ IISマネージャー ADFS構成ウィザード (または)MMC 証明書スナップイン 4 Copyright 2012 Sophia Network Ltd.
  5. 5. ADFS/Office365連携での証明書③ サービス通信はインストール時に指定した証明書、 トークン暗号化解除・トークン署名はそれぞれ自己証明書が自動設定 上記の証明書が設定されるADFSの「証明書利用者信頼」 とOffice365側の設定はPowerShellで実施 PS > New-MsolFederatedDomain -DomainName contoso.com 5 Copyright 2012 Sophia Network Ltd.
  6. 6. ADFS/Office365連携での証明書④  簡易なウィザードのみで難しいADFSの構成が完了 する  ユーザーが意識せずに証明書が構成されている ⇒メンテナンスフリー? No! 適切な運用が必要 6 Copyright 2012 Sophia Network Ltd.
  7. 7. ADFS運用の基本 If you’re having trouble setting up ADFS, it’s either a problem with PKI or a typo.(ADFSのセットアップでトラブル が起きたなら、PKIまたは入力ミスが問題の原因だ) Laura E. Hunter 運用においても原則は同じ ※ただし、動き出すと比較的安定して動作 (System Center Operating Manager管理パック参照) 7 Copyright 2012 Sophia Network Ltd.
  8. 8. 【参考】SCOMのADFSの管理パック ADFSサービスが 起動できない (当初は満たされ ていた) ADFSサービスの 前提条件が満た されていない 証明書の 問題 8 Copyright 2012 Sophia Network Ltd.
  9. 9. ADFSトラブルシュート① Office365のシングルサインオンを構成してから しばらく(1年弱)経った頃、 突然シングルサインオンができなくなる 証明書の更新がOffice365に伝送されない まま、ADFSの証明書が切り替わった ※Office365からの証明書の期限切れ通知のメールや ソースAD FS 2.0,イベントID 385の警告ログなどが予兆 Office365→ADFSはフェデレーションメタデータで更新不可の為 手動でUpdate-MsolFedetatedDomainコマンドレットで伝送 自動化ツールも有り 9 Copyright 2012 Sophia Network Ltd.
  10. 10. ADFSトラブルシュート② ①の対応後、社内からのOWAなどのアクセスは 回復したが、社外やOutlookなどからは引き続き アクセスできない 証明書更新後、ADFS⇔ADFS Proxy間の 構成が正しく再構成されていない ※ADFS Proxyで4時毎に行われるフェデレーションサービスの 更新が、成功(イベントID 392)→失敗(394)。エンドポイント の一覧を取得できません(イベントID 248)のエラーが発生 ADFSサーバのAD FS2.0 Windowsサービスの再起動により回復。 自動回復しない場合はADFS Proxy構成ウィザード再実行 10 Copyright 2012 Sophia Network Ltd.
  11. 11. ADFSトラブルシュート③ 証明書の更新の時期ではないのに、突然 社外やOutlookなどからアクセスできなくなった 時刻が5分以上ずれた為、Kerberos認証 が実施できなかった ADFS Proxyサーバの時刻がずれており、再設定より回復。(ADFSは ドメインから時刻同期できていたが、Proxyは非設定だった) 11 Copyright 2012 Sophia Network Ltd.
  12. 12. ADFSトラブルシュート④ FirewallのACLやSSL証明書のCAを変更したら ADFS ProxyやLyncクライアントが動作しなくなった CRLにアクセスできなくなり、ADFSで利用 している証明書の検証ができなかった 証明書を利用するクライアントは、証明書を検証できるよう Office365の他、CAが用意しているCRLへのアクセスを確保する 12 Copyright 2012 Sophia Network Ltd.
  13. 13. ADFSトラブルシュート⑤ 【その他】 • 外部から入れなくなった  Active Directoryのパスワード期限切れ。常時、社外にい るユーザのパスワード運用は要検討 • SSOがポップアップするようになった/フォーム 入力画面(ADFS Proxy)に行くようになった。  (前者)グループポリシー含めIEのゾーンの設定 (後者)DNSやIEのProxy設定などに影響 13 Copyright 2012 Sophia Network Ltd.
  14. 14. このセクションのまとめ  構成の難易度は低いが、トラブルシュートはサービス側含めた 構成、特性や動作原理を理解した上での対応が必要  クラウド側がどんどんバージョンアップしていくので、本番環境 とは別に、検証環境を用意しておくことを強く推奨  MicrosoftのK/Bの充実もまだこれからな感が有るので、情報の 更新は定期的にウォッチが必要(現場の技術者間でのナレッ ジの共有もどんどん実施して行きたい) 日々徒然 http://genkiw.wordpress.com 14 Copyright 2012 Sophia Network Ltd.
  • ShinyaYamaguchi

    May. 3, 2021
  • ssuser135575

    Dec. 4, 2017
  • takadayuuki

    Sep. 6, 2017
  • fumitakahirano75

    Jun. 28, 2017
  • hiroofujimaru1

    Apr. 11, 2017
  • hrstjp

    Mar. 1, 2013

2012.09.22 @Microsoft Japan(SGT)

Vues

Nombre de vues

5 881

Sur Slideshare

0

À partir des intégrations

0

Nombre d'intégrations

1 053

Actions

Téléchargements

0

Partages

0

Commentaires

0

Mentions J'aime

6

×