Office365のID連携の機能の移り変わりについて

4,209 views

Published on

Office365の運用回りの中で、ADFS/DisSyncを中心にOffice365が出てから3年間での仕様変更と運用での対応など。今までの経緯を踏まえた上で、これからのロードマップや柔軟な対応の必要性について話をします。

Published in: Technology
0 Comments
7 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,209
On SlideShare
0
From Embeds
0
Number of Embeds
178
Actions
Shares
0
Downloads
102
Comments
0
Likes
7
Embeds 0
No embeds

No notes for slide

Office365のID連携の機能の移り変わりについて

  1. 1. MVP - Office365 genkiw(渡辺 元気) .NETラボ勉強会 2014年6月
  2. 2. 名前:渡辺 元気(わたなべ げんき) 職業:通信事業者でクラウドサービスの開発 twitter/Facebook:genkiw MVP Office365 2012.10- blog:日々徒然 http://blog.o365mvp.com/ (Office365の技術ネタを中心に公開)
  3. 3. 本資料については、個人で準備した環境において、個人的に実施した検証結 果を基に記載しております。 あくまで個人の意見・見解であり、所属する会社・組織及びマイクロソフト 社とは一切関係はございません。 また、本資料の内容ならびに閲覧により生じた一切の問題及び不利益につい て、発表者は一切の責任を負う事はできませんのでご了承ください。
  4. 4. ADFSの機能の充実を理解する ディレクトリ同期の機能の充実を理解する ID連携の方向性をぼんやりと理解する
  5. 5. Office365リリース当初 • ADの無い組織 • 小規模組織 • ADを持つ中~ 大規模組織 • ADを持つ大規模組織 BPOS オンラインサービスID (サインインツールのID) オンラインサービスID + ディレクトリ同期 Office 365 クラウドID (オンラインサービスID) クラウドID + ディレクトリ同期 ADFS + ディレクトリ同期
  6. 6. ぎりぎりまでβテスト終了後に シングルサインオン出来るよう になる旨の表記
  7. 7. AD FSでのシングルサインオンはWebブラウザ アクセス(OWAやSharePoint Online)に限定 ①OutlookなどはID/Password入力が必要 ②社内接続のみでもADFS Proxyが必要 ADFS ADFS ProxyADDS internet 内部 DMZ Outlook ※Office365による Proxyアクセスの為
  8. 8. Exchange OnlineにアクセスしたIP/プロトコル などを元にアクセス制御ができるように 仕様変更で満たさなくなったセキュリティ要件(社 外からアクセス不可)をカバー ADFS ADFS Proxy CAS MBX Exchange Online MFG X-MS-Forwarded-Client-IP グローバルIP:A グローバルIP:A 社内
  9. 9. 2012.06(初期導入ユーザーから1年)頃より、 世界中のADFSサーバが次々と動作停止
  10. 10. 2011.09に関連するADFSデフォルト設定時の 挙動に関連するWikiがTechNetに公開
  11. 11. IIS(ADFS Proxy)上で動作する2FAプロダクト クラウドID向けに管理者(2013.6~)ならびに 一般ユーザー(2014.2~)に提供
  12. 12. 下記POP/IMAPのProxyアクセスパターンにお けるグローバルIP Cが通知されなくなった 弊害として同じアドレス帯のAzure上で展開さ れているサービスのIPが取得できなくなった
  13. 13. ID関係(Azure Active Directory)は変わらない ので、サーバサイドはあまり影響は無し クライアントサイドでは、Office Professional Plus(Office2013)ならびにLync 2013でサインイ ンアシスタントが不要に。
  14. 14. 2012.5 2013.3 2013.8 2013.11 Rollup2 Rollup3 KB2843639 KB2896713 • 主にバグFix • 主にバグFix • 要DBスキーマ 変更 • 脆弱性対応: MS13-066 • FormsSignIn.aspx 修正要 • バグにより一 時公開停止 • KB2843639で 発生した問題 のバグFix バグFixが中心であり、機能追加はあまり 無い状態
  15. 15. デバイス認証(Workplace Join) AD外のデバイスを識別可能に。BYODを意識 社内 ADDS ADFS DRS WAP(ADFS Proxy) internet DMZ iOSWindows8.1 デバイスを 登録
  16. 16. 標準で多要素認証への対応 より柔軟なポリシー設定が可能に ログオンしてくるユーザーの • ユーザー/グループ • デバイスの登録/未登録 • 内部/外部 をベースに多要素認証を要求 するポリシーが作成可能
  17. 17. ログイン画面のカスタマイズへの対応 リダイレクト前の入力値が渡されてくるなど、 細かい点も修正 好きな画像を 設定可能 会社名 前の画面で入れたID
  18. 18. Exchange Online以外のアクセス制御 IPアドレス情報やUser-Agentの情報がADFSに 渡されるようになった IPや UserAgent
  19. 19. ADFS Proxy経由のアクセスのみのロックアウト が可能 gMSA/グループ管理サービスアカウント対応 サービスアカウントのパスワード管理不要
  20. 20. Alternative Logon IDの利用が可能に UPNではなく、その他の属性をADFSのログオンID として利用する事ができるように ただし、それで利用するその他の属性もOffice365 でドメイン登録されている必要がある 現時点ではあまり活用できるケースが無 いかもしれない…が。
  21. 21. 2012.6 Shibboleth IDPによるSSOサポート 2013.9 Works with Office 365-Identityプログラ ムを通じた3td party製IDPのSSOサポート 2014.3 SAML 2.0 federationサポート
  22. 22. ILM2007ベース 32bit版のOS(2008無印など)を用意する必要 デフォルト上限オブジェクト数は10,000 越える場合はサービスリクエスト 同期間隔の調整やMiisclient.exeの直接操作 が非サポートと明言される BPOS時代に公開されていたカスタマイズ手法が 取れなくなる
  23. 23. デフォルト上限オブジェクト数が20,000 2011.10.5以降に作成されたテナント デフォルト上限オブジェクト数が50,000 2012.5以降に作成されたテナント 独自ドメイン追加をトリガーに300,000に増加 2013.8に機能実装。 既存のテナント(上限が10,000や20,000)も対象
  24. 24. FIM2010ベースに移植 ADFSなどと同じく、2008R2に揃えられるように 2012.9に32bit版は2013.1.1でサポートが切れると告知 2013.2に32bit版は2013.10.1で利用できなくなると告知
  25. 25. 2011.11 ディレクトリ同期の無効化が可能に Office365側ではオブジェクトの編集ができない ディレクトリ同期の障害時など「ゴミ」が残る事も 2012.4頃 ディレクトリ同期オブジェクトの削除 編集はできないが削除はできる様に
  26. 26. 2012.9 ディレクトリ同期のフィルタに関わる情 報がTechNetに公開 少し前から英語版のコミュニティのWikiに掲載 新しいバージョンのインストール時に設定が引き 継がれない旨が明記
  27. 27. ディレクトリ同期ツールでパスワードも同期 定期的にAD→Office365の片方向の差分同期
  28. 28. FIM2010とソフトウェアライセンスが必要。 FIMのOffice 365 Connectorを取得するために Microsoftサポートが必要
  29. 29. ドメインコントローラへのディレクトリ同期イン ストールがサポート 小規模環境やテスト環境の作成が容易に
  30. 30. クラウド⇒オンプレミスのパスワード同期 マルチフォレストサポート ルールエディタによる柔軟なカスタマイズ …etc 詳しくは IdM実験室へ
  31. 31. Office 365 クラウドID (オンラインサービスID) クラウドID + ディレクトリ同期 ADFS + ディレクトリ同期 AADから 他サービス / MDM用途 AD以外の IDPとも Hybrid 双方向パス ワード同期 Hybrid より柔軟で 安全な Hybrid 連携先IdP 無し 非AD マルチフォレスト Hybrid IdP + マルチサービス
  32. 32. • OfficeならびにOffice Serverのサブスクリプションモデル化 • Azure IaaSなどクラウドのWindows ServerはCALは不要 Windows Server CALビジネスモデルの終了 Windows Server CAL AD RMS CAL FIM CAL 単一モデルによるフルサポート AAD (+Premium) Azure RMS Hybrid IDP File SV DB AD AAD その他IdP Multi Service/Device PC その他クラウド サービス Office365 ADFS ACS その他 BYOD Store
  33. 33. ☑どんどんと新しい機能が実装されるが、それを享受するた めには、原則最新バージョンを導入する必要がある ☑場合によってはサーバOSの入れ替えやCALのバージョン アップなども必要になってくる 度重なる機能追加 ☑古いバージョンは機能追加されないだけでなく、早晩使えな くなるかもしれないので注意 仕様もどんどん変わります ☑お客様に「これはできない仕様です」と言っていた物が、明 日にはそれが実現できるようになるかも ☑逆に、今日できていた物が明日できなくなるかも
  34. 34. フィールドSEあがりの安納です (Microsoft 安納さん) http://blogs.technet.com/b/junichia/ IdM実験室(MVP 富士榮さん) http://idmlab.eidentity.jp/ Always on the clock(MVP 国井さん) http://sophiakunii.wordpress.com/ 日々徒然 http://blog.o365mvp.com Office365コミュニティ http://community.office365.com/ 【公式ページなど】 【blog】

×