SlideShare a Scribd company logo

2014.09.11 よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」

Y
Yoshikazu Tsuji

2014.09.11にアマゾン大阪支社で開催した、よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」セミナーのプレゼン資料です。

Internet
1 of 29
Download to read offline
クラウドでのディレクトリ構築 〜~ Active Directory 連携 Amazon Data Services Japan株式会社 ⻄西⽇日本担当 Solution Architect 辻 義⼀一
ディレクトリとは ! ユーザに関わる各種情報を保管する仕組み • ユーザ名 • 姓・名、部署、電話番号 • メールアドレス • パスワード • グループ など ! ツリー状の構成とする事が多いことから、 ディレクトリと呼ばれる。 ! 関連⽤用語:LDAP、Active Directory、OpenLDAP
WorkSpacesのディレクトリ選択肢 Cloud Directory フルマネージドのディレクトリ サービス WorkSpaces用に独立したドメインを作成 Connect Directory 既存のディレクトリに接続 オンプレミスまたはVPC上の Active Directoryドメインと連携
1 Cloud Directory
Cloud Directory ! フルマネージド型のディレクトリサービス ! WorkSpaces/Zocalo⽤用でAWSだけで完結 ! 以下の情報をWebで指定するだけで簡単作成 • 組織名(AWS全体でユニークな名前) • ディレクトリDNS名 • NetBIOSドメイン名 • 管理理者パスワード • VPC • サブネット(アベイラビリティゾーンが異異なる2個以上) ! 簡単管理理、しかも無料料
作成されるCloud Directory環境 ! Active Directory互換のディレクトリ環境 ! Multi-‐‑‒AZ構成でVPC内の2つのサブネットに設置される • ドメインコントローラ・DNSサーバとして機能する。 • コントローラはEC2インスタンスとして表⽰示されない。ENIは表⽰示される。 ! Active Directoryの管理理ツールから操作可能 例例) • Active Directory ユーザーとコンピュータ • グループポリシーの管理理 ドメインコントローラ (PCoIP⽤用のテンプレートあり) サブネット アベイラビリティゾーン -‐‑‒ A ドメインコントローラ サブネット アベイラビリティゾーン -‐‑‒ B
Cloud Directoryのネットワーク接続 プライベートサブネット アベイラビリティゾーン WorkSpaces APIエンドポイント Public IP Public IP 個別ユーザの WorkSpace PCoIP Cloud Directory ドメイン参加・ ドメインログオン 認証
ユーザ管理理 ! Management ConsoleのWorkSpacesから • ユーザの追加 • ユーザの姓・名・メールアドレス変更更 ! Windows上にリモートサーバ管理理ツールをインストールして • ユーザの追加 • ユーザの性・名・メールアドレス変更更 • ユーザの削除 • ユーザのパスワードリセット ! WorkSpaces Clientからユーザ ⾃自⾝身でパスワードリセットも
Security Group ! デフォルトで設定されるSecurity Groupと 追加で指定できるSecurity Groupがある • ドメインコントローラ⽤用 ⎼ ⾃自動作成:directory id_̲controllers • WorkSpace⽤用 ⎼ ⾃自動作成:directory id_̲workspacesMembers ⎼ 追加指定:名前は任意 ! Management ConsoleのEC2から確認及び設定変更更が可能 ! WorkSpaceがドメインにログオンできるように、 ドメインコントローラとの通信はデフォルトで許可済み
ディレクトリ設定 ! Organizational Unit(OU)設定 • WorkSpaceのコンピュータアカウントが作成されるOUを指定 • デフォルトではComputersコンテナに作成される ! Security Group設定 • WorkSpaceのVPC内ENIに適⽤用されるSecurity Groupを指定 • デフォルトのSecurity Groupに加えて設定される
2 Connect Directory
Connect Directory ! 既存のActive Directoryと接続して、Active Directoryの ユーザでWorkSpaces/Zocaloでの認証を⾏行行える仕組み ! メリットがいろいろ • 社内のPCと同じユーザ名・パスワードを使⽤用できるので、 新しいユーザ名・パスワードを覚えずに済む。 • アカウントの管理理、パスワードのリセットなどの運⽤用が 追加にならないので、運⽤用コストを抑えられる。 • ファイルサーバなど既存のアクセス権をそのまま使える。
Connect Directoryの必要要件 ! Amazon VPC • インターネット ゲートウェイ • オンプレミス上のActive Directoryと連携させる場合、 VPN接続またはDirect Connect接続 ! ドメインアカウント • ユーザーとグループへの読み取り • コンピュータアカウントの作成 ! DNSサーバ(ドメインコントローラ)2台のIPアドレス ! Windows Server 2003以上の機能レベル
作成されるConnect Directory環境 ! VPC内に認証⽤用のプロキシが作成される ! Multi-‐‑‒AZ構成でVPC内の2つのサブネットに設置される Connect Directory サブネット アベイラビリティゾーン -‐‑‒ A Connect Directory サブネット アベイラビリティゾーン -‐‑‒ B Direct Connect/ VPN接続 オンプレミス 社内AD ドメイン コントローラ
Connect Directoryのネットワーク接続 プライベートサブネット アベイラビリティゾーン A WorkSpaces ネットワーク VPN接続 Public IP Public IP オンプレミス 個別ユーザWorkSpace (社内AD参加) 社内AD PCoIP ユーザ情報確認 Connect Directory ドメイン参加・ ドメインログオン 認証
ユーザ管理理 ! これまでのActive Directoryのユーザ管理理と同じ • Management ConsoleのWorkSpacesからは⾏行行えない • WorkSpaces Clientのパスワードリセット機能は使えない
ディレクトリ設定 ! ドメイン・Organizational Unit(OU)設定 ! Security Group設定 ! Active Directoryへの接続に使⽤用するユーザ設定 ! Multi-‐‑‒Factor Authentication設定
3 Multi-‐‑‒Factor Authentication
多要素認証 Multi-‐‑‒Factor Authentication(MFA) ! Connect Directoryで利利⽤用可能 ! RADIUSサーバーを経由したMFAに対応 • ワンタイムパスワード等に対応 • スマートカードや証明書には未対応 • Symantec Validation and ID Protection Service (VIP) および Microsoft RADIUS Serverでテスト済 ! 既にお使いのワンタイムトークンがそのまま 使える可能性もあり
(例例) Google Authenticatorを使った⽅方法 ! スマートフォンに無料料でインストールできる Google Authenticatorをソフトウェアトークンとして利利⽤用 ! 仮想マシンEC2にオープンソースのFreeRADIUSと Google AuthenticatorのPAM(Pluggable Authentication Module)を連携させてRADIUSサーバを構築 ※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。
Demo ! ADでユーザ作成し、そのユーザにWorkSpaceを作成 ! スマホのGoogle Authenticatorで2要素認証してログイン
認証の流流れ -‐‑‒ 1 ! デバイスで初めて使う時、 招待メールに記載されていた 登録コードを⼊入⼒力力します。
認証の流流れ -‐‑‒ 2 ! Active Directoryで使っているのと 同じユーザ名とパスワード を⼊入⼒力力します。
認証の流流れ -‐‑‒ 3 ! トークンに表⽰示されている ワンタイムパスワードを 確認して⼊入⼒力力します。
まとめ ! Cloud Directory • ⾃自社にActive Directoryが無いユーザー向け • ディレクトリの管理理はAWSにお任せ • すぐにWorkSpacesを使いたい場合に利利⽤用 ! Connect Directory • 社内のActive Directoryと連携 • 既存のユーザーやセキュリティグループによる権限付与 • 多要素認証を利利⽤用
Tips – ソフトウェア配布 ! WSUSを使ってWindowsパッチ適⽤用を管理理 ! グループポリシーを使ったアプリ配布(.msi / .zap) http://docs.aws.amazon.com/workspaces/latest/adminguide/gpo_̲app_̲install.html ! ログオンスクリプトでインストール ! サードパーティソフトを使ってアプリ配布
Tips – デフォルトのWorkSpace環境 ! WorkSpaceには主に以下の内容のポリシーがデフォルトで 適⽤用済み • コンピューターの構成 -‐‑‒ 管理理⽤用テンプレート -‐‑‒ Windows コンポーネント -‐‑‒ リモート デスクトップ サービス 例例)オーディオのリダイレクトを許可 -‐‑‒ システム • ユーザーの構成 -‐‑‒ 管理理⽤用テンプレート -‐‑‒ Windows コンポーネント -‐‑‒ エクスプローラー 例例)Cドライブの⾮非表⽰示 -‐‑‒ コントロールパネル ! ユーザプロファイルはDドライブに保存される
Tips – Cloud Directoryの管理理⽅方法 ! Cloud Directoryのドメインに参加するEC2インスタンスを 作成して、Active Directory管理理ツールを使⽤用する。 • EC2インスタンスのネットワーク設定で、DNSサーバにはCloud DirectoryのDNSサーバを指定 • EC2インスタンスのドメイン参加操作時には、Cloud Directory作成時 に指定したAdministratorのパスワードを使⽤用する • 管理理作業が終われば、EC2インスタンスは停⽌止してOK
2014.09.11 よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」

Recommended

AWS Black Belt Techシリーズ Amazon Workspaces
AWS Black Belt Techシリーズ Amazon WorkspacesAWS Black Belt Techシリーズ Amazon Workspaces
AWS Black Belt Techシリーズ Amazon WorkspacesAmazon Web Services Japan
 
Amazon WorkSpaces Deep Dive
Amazon WorkSpaces Deep DiveAmazon WorkSpaces Deep Dive
Amazon WorkSpaces Deep DiveGenta Watanabe
 
AWS Black Belt Techシリーズ AWS Directory Service
AWS Black Belt Techシリーズ AWS Directory ServiceAWS Black Belt Techシリーズ AWS Directory Service
AWS Black Belt Techシリーズ AWS Directory ServiceAmazon Web Services Japan
 
Amazon WorkSpacesによるワークスタイル改革
Amazon WorkSpacesによるワークスタイル改革Amazon WorkSpacesによるワークスタイル改革
Amazon WorkSpacesによるワークスタイル改革Genta Watanabe
 
Amazon WorkSpacesをつかってみた
Amazon WorkSpacesをつかってみたAmazon WorkSpacesをつかってみた
Amazon WorkSpacesをつかってみたGenta Watanabe
 
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMailAWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMailAmazon Web Services Japan
 
AWS Black Belt Techシリーズ AWS re:Invent 2014 最新情報のアップデート
AWS Black Belt Techシリーズ AWS re:Invent 2014 最新情報のアップデートAWS Black Belt Techシリーズ AWS re:Invent 2014 最新情報のアップデート
AWS Black Belt Techシリーズ AWS re:Invent 2014 最新情報のアップデートAmazon Web Services Japan
 
[AWS Summit 2012] クラウドデザインパターン#3 CDP Eコマース編 (EC-CUBE)
[AWS Summit 2012] クラウドデザインパターン#3 CDP Eコマース編 (EC-CUBE)[AWS Summit 2012] クラウドデザインパターン#3 CDP Eコマース編 (EC-CUBE)
[AWS Summit 2012] クラウドデザインパターン#3 CDP Eコマース編 (EC-CUBE)Amazon Web Services Japan
 

Recommended

AWS Black Belt Techシリーズ Amazon Workspaces
AWS Black Belt Techシリーズ Amazon WorkspacesAWS Black Belt Techシリーズ Amazon Workspaces
AWS Black Belt Techシリーズ Amazon WorkspacesAmazon Web Services Japan
 
Amazon WorkSpaces Deep Dive
Amazon WorkSpaces Deep DiveAmazon WorkSpaces Deep Dive
Amazon WorkSpaces Deep DiveGenta Watanabe
 
AWS Black Belt Techシリーズ AWS Directory Service
AWS Black Belt Techシリーズ AWS Directory ServiceAWS Black Belt Techシリーズ AWS Directory Service
AWS Black Belt Techシリーズ AWS Directory ServiceAmazon Web Services Japan
 
Amazon WorkSpacesによるワークスタイル改革
Amazon WorkSpacesによるワークスタイル改革Amazon WorkSpacesによるワークスタイル改革
Amazon WorkSpacesによるワークスタイル改革Genta Watanabe
 
Amazon WorkSpacesをつかってみた
Amazon WorkSpacesをつかってみたAmazon WorkSpacesをつかってみた
Amazon WorkSpacesをつかってみたGenta Watanabe
 
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMailAWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMailAmazon Web Services Japan
 
AWS Black Belt Techシリーズ AWS re:Invent 2014 最新情報のアップデート
AWS Black Belt Techシリーズ AWS re:Invent 2014 最新情報のアップデートAWS Black Belt Techシリーズ AWS re:Invent 2014 最新情報のアップデート
AWS Black Belt Techシリーズ AWS re:Invent 2014 最新情報のアップデートAmazon Web Services Japan
 
[AWS Summit 2012] クラウドデザインパターン#3 CDP Eコマース編 (EC-CUBE)
[AWS Summit 2012] クラウドデザインパターン#3 CDP Eコマース編 (EC-CUBE)[AWS Summit 2012] クラウドデザインパターン#3 CDP Eコマース編 (EC-CUBE)
[AWS Summit 2012] クラウドデザインパターン#3 CDP Eコマース編 (EC-CUBE)Amazon Web Services Japan
 
COD2012 九州会場 Active Directory 障害対策
COD2012 九州会場 Active Directory 障害対策COD2012 九州会場 Active Directory 障害対策
COD2012 九州会場 Active Directory 障害対策wintechq
 
AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)
AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)
AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)Amazon Web Services Japan
 
AWS最新サービスのご紹介 ~デスクトップも、クラウドで。~
AWS最新サービスのご紹介 ~デスクトップも、クラウドで。~AWS最新サービスのご紹介 ~デスクトップも、クラウドで。~
AWS最新サービスのご紹介 ~デスクトップも、クラウドで。~Genta Watanabe
 
AWS OpsWorksハンズオン
AWS OpsWorksハンズオンAWS OpsWorksハンズオン
AWS OpsWorksハンズオンAmazon Web Services Japan
 
AWS初心者向けWebinar AWSクラウドにおけるVDIソリューション
AWS初心者向けWebinar AWSクラウドにおけるVDIソリューションAWS初心者向けWebinar AWSクラウドにおけるVDIソリューション
AWS初心者向けWebinar AWSクラウドにおけるVDIソリューションAmazon Web Services Japan
 
WebサービスStartUP向け AWSスケーラブルな構成例
WebサービスStartUP向け AWSスケーラブルな構成例WebサービスStartUP向け AWSスケーラブルな構成例
WebサービスStartUP向け AWSスケーラブルな構成例Amazon Web Services Japan
 
AWS Black Belt Techシリーズ AWS Data Pipeline
AWS Black Belt Techシリーズ AWS Data PipelineAWS Black Belt Techシリーズ AWS Data Pipeline
AWS Black Belt Techシリーズ AWS Data PipelineAmazon Web Services Japan
 
Amazon Glacierのご紹介(機能編)
Amazon Glacierのご紹介(機能編) Amazon Glacierのご紹介(機能編)
Amazon Glacierのご紹介(機能編) Amazon Web Services Japan
 
[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編
[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編
[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編Amazon Web Services Japan
 
[AWS Summit 2012] クラウドデザインパターン#6 CDP クラウド監視編
[AWS Summit 2012] クラウドデザインパターン#6 CDP クラウド監視編[AWS Summit 2012] クラウドデザインパターン#6 CDP クラウド監視編
[AWS Summit 2012] クラウドデザインパターン#6 CDP クラウド監視編Amazon Web Services Japan
 
Lv1から始めるWebサービスのインフラ構築
Lv1から始めるWebサービスのインフラ構築Lv1から始めるWebサービスのインフラ構築
Lv1から始めるWebサービスのインフラ構築伊藤 祐策
 
[AWS Summit 2012] クラウドデザインパターン#2 CDP 画像・動画配信編
[AWS Summit 2012] クラウドデザインパターン#2 CDP 画像・動画配信編 [AWS Summit 2012] クラウドデザインパターン#2 CDP 画像・動画配信編
[AWS Summit 2012] クラウドデザインパターン#2 CDP 画像・動画配信編 Amazon Web Services Japan
 
AWS IoT アップデート 2016.02.16
AWS IoT アップデート 2016.02.16AWS IoT アップデート 2016.02.16
AWS IoT アップデート 2016.02.16Amazon Web Services Japan
 
AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...
AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...
AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...Amazon Web Services Japan
 
ゲームプラットフォーム on AWS
ゲームプラットフォーム on AWSゲームプラットフォーム on AWS
ゲームプラットフォーム on AWSAmazon Web Services Japan
 
AWS Blackbelt 2015シリーズ RDS
AWS Blackbelt 2015シリーズ RDSAWS Blackbelt 2015シリーズ RDS
AWS Blackbelt 2015シリーズ RDSAmazon Web Services Japan
 
AWS Black Belt Techシリーズ Amazon ElastiCache
AWS Black Belt Techシリーズ Amazon ElastiCacheAWS Black Belt Techシリーズ Amazon ElastiCache
AWS Black Belt Techシリーズ Amazon ElastiCacheAmazon Web Services Japan
 
AWS Black Belt Techシリーズ AWS Elastic Beanstalk
AWS Black Belt Techシリーズ AWS Elastic BeanstalkAWS Black Belt Techシリーズ AWS Elastic Beanstalk
AWS Black Belt Techシリーズ AWS Elastic BeanstalkAmazon Web Services Japan
 
MongoDB on AWSクラウドという選択
MongoDB on AWSクラウドという選択MongoDB on AWSクラウドという選択
MongoDB on AWSクラウドという選択Yasuhiro Matsuo
 
AWS Black Belt Tech シリーズ 2016 - WorkSpaces
AWS Black Belt Tech シリーズ 2016 - WorkSpacesAWS Black Belt Tech シリーズ 2016 - WorkSpaces
AWS Black Belt Tech シリーズ 2016 - WorkSpacesAmazon Web Services Japan
 
active directory-slideshare
active directory-slideshareactive directory-slideshare
active directory-slideshareTrainocate Japan, Ltd.
 
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...kekekekenta
 

More Related Content

What's hot

COD2012 九州会場 Active Directory 障害対策
COD2012 九州会場 Active Directory 障害対策COD2012 九州会場 Active Directory 障害対策
COD2012 九州会場 Active Directory 障害対策wintechq
 
AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)
AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)
AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)Amazon Web Services Japan
 
AWS最新サービスのご紹介 ~デスクトップも、クラウドで。~
AWS最新サービスのご紹介 ~デスクトップも、クラウドで。~AWS最新サービスのご紹介 ~デスクトップも、クラウドで。~
AWS最新サービスのご紹介 ~デスクトップも、クラウドで。~Genta Watanabe
 
AWS初心者向けWebinar AWSクラウドにおけるVDIソリューション
AWS初心者向けWebinar AWSクラウドにおけるVDIソリューションAWS初心者向けWebinar AWSクラウドにおけるVDIソリューション
AWS初心者向けWebinar AWSクラウドにおけるVDIソリューションAmazon Web Services Japan
 
WebサービスStartUP向け AWSスケーラブルな構成例
WebサービスStartUP向け AWSスケーラブルな構成例WebサービスStartUP向け AWSスケーラブルな構成例
WebサービスStartUP向け AWSスケーラブルな構成例Amazon Web Services Japan
 
AWS Black Belt Techシリーズ AWS Data Pipeline
AWS Black Belt Techシリーズ AWS Data PipelineAWS Black Belt Techシリーズ AWS Data Pipeline
AWS Black Belt Techシリーズ AWS Data PipelineAmazon Web Services Japan
 
[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編
[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編
[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編Amazon Web Services Japan
 
[AWS Summit 2012] クラウドデザインパターン#6 CDP クラウド監視編
[AWS Summit 2012] クラウドデザインパターン#6 CDP クラウド監視編[AWS Summit 2012] クラウドデザインパターン#6 CDP クラウド監視編
[AWS Summit 2012] クラウドデザインパターン#6 CDP クラウド監視編Amazon Web Services Japan
 
Lv1から始めるWebサービスのインフラ構築
Lv1から始めるWebサービスのインフラ構築Lv1から始めるWebサービスのインフラ構築
Lv1から始めるWebサービスのインフラ構築伊藤 祐策
 
[AWS Summit 2012] クラウドデザインパターン#2 CDP 画像・動画配信編
[AWS Summit 2012] クラウドデザインパターン#2 CDP 画像・動画配信編 [AWS Summit 2012] クラウドデザインパターン#2 CDP 画像・動画配信編
[AWS Summit 2012] クラウドデザインパターン#2 CDP 画像・動画配信編 Amazon Web Services Japan
 
AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...
AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...
AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...Amazon Web Services Japan
 
AWS Black Belt Techシリーズ Amazon ElastiCache
AWS Black Belt Techシリーズ Amazon ElastiCacheAWS Black Belt Techシリーズ Amazon ElastiCache
AWS Black Belt Techシリーズ Amazon ElastiCacheAmazon Web Services Japan
 
AWS Black Belt Techシリーズ AWS Elastic Beanstalk
AWS Black Belt Techシリーズ AWS Elastic BeanstalkAWS Black Belt Techシリーズ AWS Elastic Beanstalk
AWS Black Belt Techシリーズ AWS Elastic BeanstalkAmazon Web Services Japan
 
MongoDB on AWSクラウドという選択
MongoDB on AWSクラウドという選択MongoDB on AWSクラウドという選択
MongoDB on AWSクラウドという選択Yasuhiro Matsuo
 
AWS Black Belt Tech シリーズ 2016 - WorkSpaces
AWS Black Belt Tech シリーズ 2016 - WorkSpacesAWS Black Belt Tech シリーズ 2016 - WorkSpaces
AWS Black Belt Tech シリーズ 2016 - WorkSpacesAmazon Web Services Japan
 

What's hot (20)

COD2012 九州会場 Active Directory 障害対策
COD2012 九州会場 Active Directory 障害対策COD2012 九州会場 Active Directory 障害対策
COD2012 九州会場 Active Directory 障害対策
 
AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)
AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)
AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)
 
AWS最新サービスのご紹介 ~デスクトップも、クラウドで。~
AWS最新サービスのご紹介 ~デスクトップも、クラウドで。~AWS最新サービスのご紹介 ~デスクトップも、クラウドで。~
AWS最新サービスのご紹介 ~デスクトップも、クラウドで。~
 
AWS OpsWorksハンズオン
AWS OpsWorksハンズオンAWS OpsWorksハンズオン
AWS OpsWorksハンズオン
 
AWS初心者向けWebinar AWSクラウドにおけるVDIソリューション
AWS初心者向けWebinar AWSクラウドにおけるVDIソリューションAWS初心者向けWebinar AWSクラウドにおけるVDIソリューション
AWS初心者向けWebinar AWSクラウドにおけるVDIソリューション
 
WebサービスStartUP向け AWSスケーラブルな構成例
WebサービスStartUP向け AWSスケーラブルな構成例WebサービスStartUP向け AWSスケーラブルな構成例
WebサービスStartUP向け AWSスケーラブルな構成例
 
AWS Black Belt Techシリーズ AWS Data Pipeline
AWS Black Belt Techシリーズ AWS Data PipelineAWS Black Belt Techシリーズ AWS Data Pipeline
AWS Black Belt Techシリーズ AWS Data Pipeline
 
Amazon Glacierのご紹介(機能編)
Amazon Glacierのご紹介(機能編) Amazon Glacierのご紹介(機能編)
Amazon Glacierのご紹介(機能編)
 
[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編
[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編
[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編
 
[AWS Summit 2012] クラウドデザインパターン#6 CDP クラウド監視編
[AWS Summit 2012] クラウドデザインパターン#6 CDP クラウド監視編[AWS Summit 2012] クラウドデザインパターン#6 CDP クラウド監視編
[AWS Summit 2012] クラウドデザインパターン#6 CDP クラウド監視編
 
Lv1から始めるWebサービスのインフラ構築
Lv1から始めるWebサービスのインフラ構築Lv1から始めるWebサービスのインフラ構築
Lv1から始めるWebサービスのインフラ構築
 
[AWS Summit 2012] クラウドデザインパターン#2 CDP 画像・動画配信編
[AWS Summit 2012] クラウドデザインパターン#2 CDP 画像・動画配信編 [AWS Summit 2012] クラウドデザインパターン#2 CDP 画像・動画配信編
[AWS Summit 2012] クラウドデザインパターン#2 CDP 画像・動画配信編
 
AWS IoT アップデート 2016.02.16
AWS IoT アップデート 2016.02.16AWS IoT アップデート 2016.02.16
AWS IoT アップデート 2016.02.16
 
AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...
AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...
AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...
 
ゲームプラットフォーム on AWS
ゲームプラットフォーム on AWSゲームプラットフォーム on AWS
ゲームプラットフォーム on AWS
 
AWS Blackbelt 2015シリーズ RDS
AWS Blackbelt 2015シリーズ RDSAWS Blackbelt 2015シリーズ RDS
AWS Blackbelt 2015シリーズ RDS
 
AWS Black Belt Techシリーズ Amazon ElastiCache
AWS Black Belt Techシリーズ Amazon ElastiCacheAWS Black Belt Techシリーズ Amazon ElastiCache
AWS Black Belt Techシリーズ Amazon ElastiCache
 
AWS Black Belt Techシリーズ AWS Elastic Beanstalk
AWS Black Belt Techシリーズ AWS Elastic BeanstalkAWS Black Belt Techシリーズ AWS Elastic Beanstalk
AWS Black Belt Techシリーズ AWS Elastic Beanstalk
 
MongoDB on AWSクラウドという選択
MongoDB on AWSクラウドという選択MongoDB on AWSクラウドという選択
MongoDB on AWSクラウドという選択
 
AWS Black Belt Tech シリーズ 2016 - WorkSpaces
AWS Black Belt Tech シリーズ 2016 - WorkSpacesAWS Black Belt Tech シリーズ 2016 - WorkSpaces
AWS Black Belt Tech シリーズ 2016 - WorkSpaces
 

Similar to 2014.09.11 よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」

Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...kekekekenta
 
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directoryosamut
 
今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門Tetsuya Yokoyama
 
今さら聞けない!Active Directoryドメインサービス入門
今さら聞けない!Active Directoryドメインサービス入門今さら聞けない!Active Directoryドメインサービス入門
今さら聞けない!Active Directoryドメインサービス入門Trainocate Japan, Ltd.
 
Active Directory 最新情報 2012.8.31 暫定版
Active Directory 最新情報 2012.8.31 暫定版Active Directory 最新情報 2012.8.31 暫定版
Active Directory 最新情報 2012.8.31 暫定版junichi anno
 
Apps for office オンプレミスとクラウド
Apps for office オンプレミスとクラウドApps for office オンプレミスとクラウド
Apps for office オンプレミスとクラウドHirotada Watanabe
 
ハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライト
ハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライトハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライト
ハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライトGoAzure
 
JAWS-UG CLI #32 - AWS Directory Service 入門
JAWS-UG CLI #32 - AWS Directory Service 入門JAWS-UG CLI #32 - AWS Directory Service 入門
JAWS-UG CLI #32 - AWS Directory Service 入門Nobuhiro Nakayama
 
Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版junichi anno
 
Windows Azure Active Directory for your cloud applications
Windows Azure Active Directory for your cloud applicationsWindows Azure Active Directory for your cloud applications
Windows Azure Active Directory for your cloud applicationskekekekenta
 
Windows on aws最新情報
Windows on aws最新情報Windows on aws最新情報
Windows on aws最新情報Genta Watanabe
 
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオS05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオMicrosoft Azure Japan
 
Active directoryと認証・認可
Active directoryと認証・認可Active directoryと認証・認可
Active directoryと認証・認可Hiroki Kamata
 
Microsoft Azure ~ Web開発 & モバイル開発者向け情報 ~
Microsoft Azure ~ Web開発 & モバイル開発者向け情報 ~ Microsoft Azure ~ Web開発 & モバイル開発者向け情報 ~
Microsoft Azure ~ Web開発 & モバイル開発者向け情報 ~ Daisuke Masubuchi
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門Tetsuya Yokoyama
 
20140628 AWSの2014前半のアップデートまとめ
20140628 AWSの2014前半のアップデートまとめ20140628 AWSの2014前半のアップデートまとめ
20140628 AWSの2014前半のアップデートまとめYasuhiro Araki, Ph.D
 
エンタープライズにおけるAWS利用事例_2012年11月
エンタープライズにおけるAWS利用事例_2012年11月エンタープライズにおけるAWS利用事例_2012年11月
エンタープライズにおけるAWS利用事例_2012年11月Amazon Web Services Japan
 
Office 365 adfs環境の構築
Office 365 adfs環境の構築Office 365 adfs環境の構築
Office 365 adfs環境の構築office365room
 

Similar to 2014.09.11 よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」 (20)

active directory-slideshare
active directory-slideshareactive directory-slideshare
active directory-slideshare
 
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...
 
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory
 
今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門
 
今さら聞けない!Active Directoryドメインサービス入門
今さら聞けない!Active Directoryドメインサービス入門今さら聞けない!Active Directoryドメインサービス入門
今さら聞けない!Active Directoryドメインサービス入門
 
Active Directory 最新情報 2012.8.31 暫定版
Active Directory 最新情報 2012.8.31 暫定版Active Directory 最新情報 2012.8.31 暫定版
Active Directory 最新情報 2012.8.31 暫定版
 
Apps for office オンプレミスとクラウド
Apps for office オンプレミスとクラウドApps for office オンプレミスとクラウド
Apps for office オンプレミスとクラウド
 
20050917
2005091720050917
20050917
 
ハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライト
ハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライトハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライト
ハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライト
 
JAWS-UG CLI #32 - AWS Directory Service 入門
JAWS-UG CLI #32 - AWS Directory Service 入門JAWS-UG CLI #32 - AWS Directory Service 入門
JAWS-UG CLI #32 - AWS Directory Service 入門
 
Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版
 
Windows Azure Active Directory for your cloud applications
Windows Azure Active Directory for your cloud applicationsWindows Azure Active Directory for your cloud applications
Windows Azure Active Directory for your cloud applications
 
Windows on aws最新情報
Windows on aws最新情報Windows on aws最新情報
Windows on aws最新情報
 
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオS05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
 
Active directoryと認証・認可
Active directoryと認証・認可Active directoryと認証・認可
Active directoryと認証・認可
 
Microsoft Azure ~ Web開発 & モバイル開発者向け情報 ~
Microsoft Azure ~ Web開発 & モバイル開発者向け情報 ~ Microsoft Azure ~ Web開発 & モバイル開発者向け情報 ~
Microsoft Azure ~ Web開発 & モバイル開発者向け情報 ~
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
 
20140628 AWSの2014前半のアップデートまとめ
20140628 AWSの2014前半のアップデートまとめ20140628 AWSの2014前半のアップデートまとめ
20140628 AWSの2014前半のアップデートまとめ
 
エンタープライズにおけるAWS利用事例_2012年11月
エンタープライズにおけるAWS利用事例_2012年11月エンタープライズにおけるAWS利用事例_2012年11月
エンタープライズにおけるAWS利用事例_2012年11月
 
Office 365 adfs環境の構築
Office 365 adfs環境の構築Office 365 adfs環境の構築
Office 365 adfs環境の構築
 

2014.09.11 よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」

  • 1. クラウドでのディレクトリ構築 〜~ Active Directory 連携 Amazon Data Services Japan株式会社 ⻄西⽇日本担当 Solution Architect 辻 義⼀一
  • 2. ディレクトリとは ! ユーザに関わる各種情報を保管する仕組み • ユーザ名 • 姓・名、部署、電話番号 • メールアドレス • パスワード • グループ など ! ツリー状の構成とする事が多いことから、 ディレクトリと呼ばれる。 ! 関連⽤用語:LDAP、Active Directory、OpenLDAP
  • 3. WorkSpacesのディレクトリ選択肢 Cloud Directory フルマネージドのディレクトリ サービス WorkSpaces用に独立したドメインを作成 Connect Directory 既存のディレクトリに接続 オンプレミスまたはVPC上の Active Directoryドメインと連携
  • 5. Cloud Directory ! フルマネージド型のディレクトリサービス ! WorkSpaces/Zocalo⽤用でAWSだけで完結 ! 以下の情報をWebで指定するだけで簡単作成 • 組織名(AWS全体でユニークな名前) • ディレクトリDNS名 • NetBIOSドメイン名 • 管理理者パスワード • VPC • サブネット(アベイラビリティゾーンが異異なる2個以上) ! 簡単管理理、しかも無料料
  • 6. 作成されるCloud Directory環境 ! Active Directory互換のディレクトリ環境 ! Multi-‐‑‒AZ構成でVPC内の2つのサブネットに設置される • ドメインコントローラ・DNSサーバとして機能する。 • コントローラはEC2インスタンスとして表⽰示されない。ENIは表⽰示される。 ! Active Directoryの管理理ツールから操作可能 例例) • Active Directory ユーザーとコンピュータ • グループポリシーの管理理 ドメインコントローラ (PCoIP⽤用のテンプレートあり) サブネット アベイラビリティゾーン -‐‑‒ A ドメインコントローラ サブネット アベイラビリティゾーン -‐‑‒ B
  • 7. Cloud Directoryのネットワーク接続 プライベートサブネット アベイラビリティゾーン WorkSpaces APIエンドポイント Public IP Public IP 個別ユーザの WorkSpace PCoIP Cloud Directory ドメイン参加・ ドメインログオン 認証
  • 8. ユーザ管理理 ! Management ConsoleのWorkSpacesから • ユーザの追加 • ユーザの姓・名・メールアドレス変更更 ! Windows上にリモートサーバ管理理ツールをインストールして • ユーザの追加 • ユーザの性・名・メールアドレス変更更 • ユーザの削除 • ユーザのパスワードリセット ! WorkSpaces Clientからユーザ ⾃自⾝身でパスワードリセットも
  • 9. Security Group ! デフォルトで設定されるSecurity Groupと 追加で指定できるSecurity Groupがある • ドメインコントローラ⽤用 ⎼ ⾃自動作成:directory id_̲controllers • WorkSpace⽤用 ⎼ ⾃自動作成:directory id_̲workspacesMembers ⎼ 追加指定:名前は任意 ! Management ConsoleのEC2から確認及び設定変更更が可能 ! WorkSpaceがドメインにログオンできるように、 ドメインコントローラとの通信はデフォルトで許可済み
  • 10. ディレクトリ設定 ! Organizational Unit(OU)設定 • WorkSpaceのコンピュータアカウントが作成されるOUを指定 • デフォルトではComputersコンテナに作成される ! Security Group設定 • WorkSpaceのVPC内ENIに適⽤用されるSecurity Groupを指定 • デフォルトのSecurity Groupに加えて設定される
  • 12. Connect Directory ! 既存のActive Directoryと接続して、Active Directoryの ユーザでWorkSpaces/Zocaloでの認証を⾏行行える仕組み ! メリットがいろいろ • 社内のPCと同じユーザ名・パスワードを使⽤用できるので、 新しいユーザ名・パスワードを覚えずに済む。 • アカウントの管理理、パスワードのリセットなどの運⽤用が 追加にならないので、運⽤用コストを抑えられる。 • ファイルサーバなど既存のアクセス権をそのまま使える。
  • 13. Connect Directoryの必要要件 ! Amazon VPC • インターネット ゲートウェイ • オンプレミス上のActive Directoryと連携させる場合、 VPN接続またはDirect Connect接続 ! ドメインアカウント • ユーザーとグループへの読み取り • コンピュータアカウントの作成 ! DNSサーバ(ドメインコントローラ)2台のIPアドレス ! Windows Server 2003以上の機能レベル
  • 14. 作成されるConnect Directory環境 ! VPC内に認証⽤用のプロキシが作成される ! Multi-‐‑‒AZ構成でVPC内の2つのサブネットに設置される Connect Directory サブネット アベイラビリティゾーン -‐‑‒ A Connect Directory サブネット アベイラビリティゾーン -‐‑‒ B Direct Connect/ VPN接続 オンプレミス 社内AD ドメイン コントローラ
  • 15. Connect Directoryのネットワーク接続 プライベートサブネット アベイラビリティゾーン A WorkSpaces ネットワーク VPN接続 Public IP Public IP オンプレミス 個別ユーザWorkSpace (社内AD参加) 社内AD PCoIP ユーザ情報確認 Connect Directory ドメイン参加・ ドメインログオン 認証
  • 16. ユーザ管理理 ! これまでのActive Directoryのユーザ管理理と同じ • Management ConsoleのWorkSpacesからは⾏行行えない • WorkSpaces Clientのパスワードリセット機能は使えない
  • 17. ディレクトリ設定 ! ドメイン・Organizational Unit(OU)設定 ! Security Group設定 ! Active Directoryへの接続に使⽤用するユーザ設定 ! Multi-‐‑‒Factor Authentication設定
  • 19. 多要素認証 Multi-‐‑‒Factor Authentication(MFA) ! Connect Directoryで利利⽤用可能 ! RADIUSサーバーを経由したMFAに対応 • ワンタイムパスワード等に対応 • スマートカードや証明書には未対応 • Symantec Validation and ID Protection Service (VIP) および Microsoft RADIUS Serverでテスト済 ! 既にお使いのワンタイムトークンがそのまま 使える可能性もあり
  • 20. (例例) Google Authenticatorを使った⽅方法 ! スマートフォンに無料料でインストールできる Google Authenticatorをソフトウェアトークンとして利利⽤用 ! 仮想マシンEC2にオープンソースのFreeRADIUSと Google AuthenticatorのPAM(Pluggable Authentication Module)を連携させてRADIUSサーバを構築 ※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。
  • 21. Demo ! ADでユーザ作成し、そのユーザにWorkSpaceを作成 ! スマホのGoogle Authenticatorで2要素認証してログイン
  • 22. 認証の流流れ -‐‑‒ 1 ! デバイスで初めて使う時、 招待メールに記載されていた 登録コードを⼊入⼒力力します。
  • 23. 認証の流流れ -‐‑‒ 2 ! Active Directoryで使っているのと 同じユーザ名とパスワード を⼊入⼒力力します。
  • 24. 認証の流流れ -‐‑‒ 3 ! トークンに表⽰示されている ワンタイムパスワードを 確認して⼊入⼒力力します。
  • 25. まとめ ! Cloud Directory • ⾃自社にActive Directoryが無いユーザー向け • ディレクトリの管理理はAWSにお任せ • すぐにWorkSpacesを使いたい場合に利利⽤用 ! Connect Directory • 社内のActive Directoryと連携 • 既存のユーザーやセキュリティグループによる権限付与 • 多要素認証を利利⽤用
  • 26. Tips – ソフトウェア配布 ! WSUSを使ってWindowsパッチ適⽤用を管理理 ! グループポリシーを使ったアプリ配布(.msi / .zap) http://docs.aws.amazon.com/workspaces/latest/adminguide/gpo_̲app_̲install.html ! ログオンスクリプトでインストール ! サードパーティソフトを使ってアプリ配布
  • 27. Tips – デフォルトのWorkSpace環境 ! WorkSpaceには主に以下の内容のポリシーがデフォルトで 適⽤用済み • コンピューターの構成 -‐‑‒ 管理理⽤用テンプレート -‐‑‒ Windows コンポーネント -‐‑‒ リモート デスクトップ サービス 例例)オーディオのリダイレクトを許可 -‐‑‒ システム • ユーザーの構成 -‐‑‒ 管理理⽤用テンプレート -‐‑‒ Windows コンポーネント -‐‑‒ エクスプローラー 例例)Cドライブの⾮非表⽰示 -‐‑‒ コントロールパネル ! ユーザプロファイルはDドライブに保存される
  • 28. Tips – Cloud Directoryの管理理⽅方法 ! Cloud Directoryのドメインに参加するEC2インスタンスを 作成して、Active Directory管理理ツールを使⽤用する。 • EC2インスタンスのネットワーク設定で、DNSサーバにはCloud DirectoryのDNSサーバを指定 • EC2インスタンスのドメイン参加操作時には、Cloud Directory作成時 に指定したAdministratorのパスワードを使⽤用する • 管理理作業が終われば、EC2インスタンスは停⽌止してOK