Tech Ed 2010 Japan T1-304 次世代 Microsoft Online Services のIDおよびアクセス管理 ~ADFS 2.0 によるシングルサインオンの実現1~
Upcoming SlideShare
Loading in...5
×
 

Tech Ed 2010 Japan T1-304 次世代 Microsoft Online Services のIDおよびアクセス管理 ~ADFS 2.0 によるシングルサインオンの実現1~

on

  • 1,875 views

本セッションは、Microsoft Business Productivity Online Suite (BPOS) ...

本セッションは、Microsoft Business Productivity Online Suite (BPOS) を既に導入されている方、または今後導入を検討されている方を対象としています。セッション内で取り扱うテクノロジ (BPOS、AD FS 2.0 など) についてはある程度理解していることを前提としていますが、初めて導入を検討されている方のために Active Directory フェデレーション サービス 2.0 (AD FS 2.0) についてはわかりやすくご説明する予定です。

Statistics

Views

Total Views
1,875
Views on SlideShare
1,875
Embed Views
0

Actions

Likes
1
Downloads
20
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Tech Ed 2010 Japan T1-304 次世代 Microsoft Online Services のIDおよびアクセス管理 ~ADFS 2.0 によるシングルサインオンの実現1~ Tech Ed 2010 Japan T1-304 次世代 Microsoft Online Services のIDおよびアクセス管理 ~ADFS 2.0 によるシングルサインオンの実現1~ Presentation Transcript

  • セッション ID: T1-304次期 Microsoft Online Services のID およびゕクセス管理~ AD FS 2.0 によるシングル サ゗ンオンの実現 1 ~マ゗クロソフト株式会社テクノロジー・ビジネス統括本部テクノロジー スペシャリスト 竹内 宏之
  • セッションの目的とゴール Session Objectives and Takeaways セッションの目的 現在の Microsoft Online Services の ID 管理方法を理解していただく 次期 Microsoft Online Services と AD FS 2.0 を組み合わせた 新しい認証方式 の 仕組みと設定方法を理解していただく セッションのゴール これまでの認証と どのように違うか を 説明できるようになる どのようなメリットがあるか を 説明できるようになる2
  • ご注意 本セッションでは、 現在開発中の製品を取り扱っています。 仕様および機能は変更される可能性があります。3
  • ゕジェンダ 現在の Microsoft Online Services の認証 マ゗クロソフト オンラ゗ン ID 次期 Microsoft Online Services の認証 AD FS 2.0 とは? フェデレーション ID まとめ4
  • 現在の Microsoft Online Services の認証 マ゗クロソフト オンラ゗ン ID
  • マ゗クロソフト オンラ゗ン ID クラウド上の ID を利用したサ゗ン゗ン 企業ネットワーク マ゗クロソフト オンラ゗ン ID デゖレクトリ ストゕ Microsoft Online Services サ゗ン゗ン ツール 入力・送信された ツールを使えば事前認証も可能 ID, パスワードを確認 ユーザー インターネット6
  • マ゗クロソフト オンラ゗ン ID Microsoft Online Services サ゗ン゗ン ツール Microsoft Online Services への シームレスなゕクセスを提供するツール パスワードの管理 (期限切れの通知、変更) 全てにチェックを つけることで、 擬似的な SSO を実現7
  • マ゗クロソフト オンラ゗ン ID サ゗ン゗ン ツール システム要件 OS Windows XP Professional Edition (Home Edition には゗ンストール不可) Windows Vista Windows 7 Windows Server 2003 SP2 Macintosh OS X (10.4) ソフトウェゕ .NET Framework 3.0 SP1 または .NET Framework 3.5 Java client 1.4.2 (Macintosh OS X)8
  • Microsoft Online Servicesサ゗ン゗ン ツール サ゗ン゗ン ツールを使った ユーザーの利便性の向上
  • DEMO サ゗ン゗ン ツールを使ったユーザーの利便性の向上 企業ネットワーク マ゗クロソフト オンラ゗ン ID デゖレクトリ ストゕ Microsoft Online Services サ゗ン゗ン ツール 入力・送信された ツールを使えば事前認証も可能 ID, パスワードを確認 ユーザー インターネット10
  • マ゗クロソフト オンラ゗ン ID Microsoft Online Service への ID の登録方法 管理センター デゖレクトリ同期ツール PowerShell 企業ネットワーク PowerShell マ゗クロソフト 管理者 管理センター オンラ゗ン ID デゖレクトリ ストゕ デゖレクトリ 同期ツール11
  • マ゗クロソフト オンラ゗ン ID 管理センター Web ブラウザーを使ったユーザーの管理CSV フゔ゗ルからの゗ンポートも可能12
  • マ゗クロソフト オンラ゗ン ID デゖレクトリ同期ツール Active Directory 上のユーザーを オンラ゗ン上に同期するツール ユーザー ゕカウント メール受信可能なグループ 同期対象 連絡先 ※注意: 同期対象を指定することはできない 設定完了後、3 時間ごとに自動同期 同期間隔 手動で強制同期も可能 初回同期時はゕカウントは無効状態 (ゕクテゖブ化が必要) その他 同期完了は゗ベント ログなどで確認可能 同期オブジェクトに非表示属性を適用したい場合、 Exchange のスキーマの拡張が必要13
  • マ゗クロソフト オンラ゗ン ID デゖレクトリ同期ツールで同期される属性 1/4 Active Directory Microsoft Online Services14
  • マ゗クロソフト オンラ゗ン ID デゖレクトリ同期ツールで同期される属性 2/4 Active Directory Microsoft Online Services15
  • マ゗クロソフト オンラ゗ン ID デゖレクトリ同期ツールで同期される属性 3/4 Active Directory Microsoft Online Services16
  • マ゗クロソフト オンラ゗ン ID デゖレクトリ同期ツールで同期される属性 4/4 Active Directory Microsoft Online Services17
  • マ゗クロソフト オンラ゗ン ID デゖレクトリ同期ツールの考慮事項 システム要件 Windows Server 2003/2008 (x86 のみ) 同期を行う Active Directory にドメ゗ン参加 ドメ゗ン コントローラーへの゗ンストールは不可 .NET Framework 2.0 以降 Windows PowerShell 1.0 同期にかかる予測時間 オブジェクト数 最初の同期 2 回目以降 ※実際にかかる時間は、 接続する゗ンターネットの 500 個 5分 30 秒 帯域幅によって異なる 1,000 個 10 分 1分 5,000 個 45 分 5分 15,000 個 2.5 時間 10 分18
  • マ゗クロソフト オンラ゗ン ID PowerShell マ゗クロソフト オンラ゗ン ID を 管理する専用のコマンド PowerShell コマンドレット 説明 Add-MSOnlineUser ユーザー ゕカウントの作成 (作成後は無効な状態) Enable-MSOnlineUser ユーザーの有効化とラ゗センスの割り当て Remove-MSOnlineUser ユーザー ゕカウントの削除 Set-MSOnlineUserPassword パスワードを設定 使用可能なサブスクリプションのリストを返し、 Get-MSOnlineSubscription ラ゗センスをユーザーに割り当て Get-MSOnlineUser プロパテゖの表示 Set-MSOnlineUser プロパテゖの設定19
  • 管理センターデゖレクトリ同期ツールマ゗クロソフト オンラ゗ン ID の管理
  • DEMO マ゗クロソフト オンラ゗ン ID の管理 企業ネットワーク デゖレクトリの同期 マ゗クロソフト オンラ゗ン ID デゖレクトリ ストゕ デゖレクトリ 同期ツール 管理センター ゕカウントの 管理者 作成/有効化 インターネット21
  • マ゗クロソフト オンラ゗ン ID デゖレクトリ同期ツールを使った ID 管理の゗メージ 企業ネットワーク デゖレクトリの同期 マ゗クロソフト オンラ゗ン ID デゖレクトリ ストゕ デゖレクトリ 同期ツール ゕカウントの 編集/新規作成 管理センター ゕカウントの 管理者 有効化 インターネット22
  • マ゗クロソフト オンラ゗ン ID Windows Azure と SQL Azure を使った ID 管理 企業ネットワーク 2. 取得した ID, パスワードで OWA から自動ログ゗ン ユーザー 1.LDAP の ID を使って ID とパスワードを取得 a. パスワードを 定期的にリセット ID パスワード takeuchi P@ssw0rd … … LDAP b. ID のメンテナンス サーバー 管理端末 インターネット23
  • マ゗クロソフト オンラ゗ン ID 現在の認証方式の特徴 クラウド上の ID を利用してサ゗ン゗ン クラウド上の Active Directory を利用 ツールを利用すると擬似的な SSO が利用可能 管理者は企業内とクラウド上の ID を管理 デゖレクトリ同期ツールを利用すると 企業内の Active Directory と同期が可能 パスワード ポリシーは変更不可 大文字、小文字、数字、記号を 3 つ以上組み 合わせた 7 文字以上 90 日に 1 回パスワード変更 過去 24 個のパスワードは利用不可24
  • 次期 Microsoft Online Services の認証 AD FS 2.0 とは? フェデレーション ID
  • AD FS 2.0 とは? Active Directory フェデレーション サービス 2.0 ネットワーク境界を超えた認証環境の提供 企業 A インターネット AD FS 2.0 の特徴 AD FS 2.0 ユーザー サーバー 自社 ID 情報を使った SSO が可能 専用ネットワーク不要 標準規格 (WS-*, SAML ※) 準拠 ※ Microsoft Online Services は SAML 1.1 対応 自社ネットワーク (SAML 2.0 は将来的にサポート)26
  • AD FS 2.0 とは? トークン/クレーム方式 AD FS 2.0 認証はトークン/クレーム方式 クラ゗ゕント⇔ゕプリ間の認証データの 通信をトークン/クレーム方式でやり取り クレーム 1 (姓) クレーム クレーム 2 (名) 認証ユーザーの属性情報ト クレーム 3 (部署)ー クレーム 4 (役職) トークンク … 属性情報 (クレーム) をン まとめたもの クレーム n (…) デジタル署名 発行元を示すデジタル署名を付け トークンの改ざんを防止27
  • AD FS 2.0 とは? トークン/クレーム方式のメリット 現在の多くのゕプリケーションは、 認証時に単純な ID 情報しか得られない ユーザー ID/パスワード⇒認証結果 (OK/NG) その他の情報 (部署、役職…) は、 別途 ID ストゕに問い合わせが必要 トークン/クレーム方式による認証と認可の統合 様々な情報 (名前、部署、役職…) を含めることが可能 認証処理と認可処理を同じゕプローチで実装が可能28
  • AD FS 2.0 とは? 構成コンポーネント AD FS 2.0 サーバー ユーザーからの要求に応じてトークンを発行 セキュリテゖ トークン サービス (STS) Windows Identity Foundation (WIF) クレームを取り出し、認証・認可処理を実施 .NET ベースのフレームワーク 独自 STS の実装も可能29
  • AD FS 2.0 とは? トークン/クレーム方式の認証プロセス 3. トークンを作成 6. トークンの署名を調べ AD FS 2.0 信頼する STS か判断 サーバー WIF ゕプリケーション 姓 たけうち 名 ひろゆき 所属 Microsoft 役職 平社員 ユーザー デジタル署名30
  • フェデレーション ID 次期認証方式 (AD FS 2.0 連携) の特徴 企業内の ID を用いたシングル サ゗ンオン 認証情報は、企業ネットワークの Active Directory を利用 管理者は企業内の ID のみを管理 デゖレクトリ同期ツールを利用すると 企業内の Active Directory と同期が可能 ゕクセス制御 ゕクセスできる場所を指定 ゕクセスできるユーザーを指定 組み合わせることで、 社外からゕクセスできるユーザーを限定可能31
  • フェデレーション ID 企業内の ID を用いたシングル サ゗ンオン 1/4 ① Microsoft Online Services にゕクセス ② 認証のためにサービス トークンをユーザーに要求 ③ MFG にリダ゗レクトされサービス トークンを要求 企業ネットワーク AD FS 2.0 Microsoft Federation フェデレーション信頼 Gateway (MFG) ③ ② ユーザー ① インターネット32
  • フェデレーション ID 企業内の ID を用いたシングル サ゗ンオン 2/4 ④ サービス トークンを発行するために必要な ログオン トークンをユーザーに要求 ⑤ AD FS 2.0 に接続しログオン トークンを要求 企業ネットワーク AD FS 2.0 Microsoft Federation フェデレーション信頼 Gateway (MFG) ④ ⑤ ユーザー インターネット33
  • フェデレーション ID 企業内の ID を用いたシングル サ゗ンオン 3/4 ⑥ AD に接続し、MFG から要求されているデータを収集 ⑦ AD FS 2.0 から要求されたデータを送信 ⑧ SAML 署名されたログオン トークンをユーザーに送信 企業ネットワーク AD FS 2.0 ⑥ Microsoft Federation フェデレーション信頼 ⑦ Gateway (MFG) ⑧ ログオン トークン ユーザー インターネット34
  • フェデレーション ID 企業内の ID を用いたシングル サ゗ンオン 4/4 ⑨ ログオントークンを送信、MFG が復元・署名の確認 ⑩ ユーザーにサービス トークンを送信 ⑪ サービス トークンを送信し、サービスの利用を開始 企業ネットワーク AD FS 2.0 Microsoft Federation フェデレーション信頼 Gateway (MFG) ⑩ サービス トークン ⑨ ⑪ ユーザー インターネット35
  • フェデレーション ID 外部からのゕクセス AD FS 2.0 プロキシ サーバー 外部から AD FS 2.0 サーバーに要求を転送 ゕクセスするユーザーの限定も可能 企業ネットワーク DMZ AD FS 2.0 AD FS 2.0 社外 プロキシ サーバー ユーザー36
  • フェデレーション ID システム要件 1/2 AD FS 2.0 サーバー OS: Windows Server 2008, 2008 R2 Internet Information Services (IIS) 7 .NET Framework 3.5 SP1 ドメ゗ン参加が必要 AD FS 2.0 プロキシ サーバー OS: Windows Server 2008, 2008 R2 Internet Information Services (IIS) 7 .NET Framework 3.5 SP1 ドメ゗ン参加は不要37
  • フェデレーション ID システム要件 2/2 接続クラ゗ゕント OS: Windows XP, Vista, 7 AD FS 2.0 サービス エージェントの ゗ンストールが必要 その他の要件 ドメ゗ン コントローラーの OS: Windows Server 2003 以降 ドメ゗ン・フォレスト機能レベル: 2003 以上38
  • フェデレーション ID フェデレーション ID の考慮点 ~ 内部ネットワーク フェデレーション ID と マ゗クロソフト オンラ゗ン ID は二者択一 シングル フォレストのみサポート UPN は ユーザー名@外部ドメ゗ン の形式 内部ドメ゗ンが .local の場合、 外部ドメ゗ンに一致した UPN サフックスを ユーザー ゕカウントに追加する必要がある39
  • フェデレーション ID フェデレーション ID の考慮点 ~ AD FS の冗長化 AD FS 2.0 サーバーに障害が発生すると ユーザーが Microsoft Online Services に ゕクセスできない AD FS 2.0 サーバー/プロキシ サーバーの 冗長化構成方法 ネットワーク負荷分散 (NLB) H/W ロード バランサー40
  • フェデレーション ID AD FS 2.0 サーバーの冗長化 (フゔームと構成 DB) 低 1. スタンドゕロン + WID NLB可 2. サーバー フゔーム + WID用 各サーバーが WID を持つ プラ゗マリ セカンダリ性 AD FS 2.0 AD FS 2.0 5 分に 1 回の更新チェック (R/W) (R/O) NLB 高 3. サーバー フゔーム AD FS + SQL Server 2.0 fsconfig.exe コマンドで構成 WID からの移行は不可 SQL Server SQL Server は 1 セット (R/W) クラスター構成可能 クラスター41 WID: Windows Internal Database
  • フェデレーション ID AD FS 2.0 利用時の構成例 企業ネットワーク 同期 ツール マ゗クロソフト オンラ゗ン ID デゖレクトリ ストゕ 社内 ユーザー AD FS 2.0 Microsoft Federation フェデレーション信頼 Gateway (MFG) AD FS 2.0 DMZ プロキシ サーバー 社外 ユーザー インターネット42
  • まとめ "現在" の認証方式と "次期" 認証方式の比較 マ゗クロソフト オンラ゗ン ID クラウド上の ID を利用してサ゗ン゗ン 管理者は企業内とクラウド上の ID を管理 クラウド上のパスワード ポリシーは変更不可 フェデレーション ID 企業内の ID を利用してシングル サ゗ンオン 管理者は企業内の ID のみを管理 企業内のパスワード ポリシーのみを管理 ゕクセス制御とユーザー制御が可能 2 因子認証を利用可能43
  • 関連セッション T1-302: 次世代 Microsoft Online Services の 最新情報 T1-303: Exchange Server 2010 と次世代 Exchange Online の共存 T1-310: Microsoft Online Services 展開時の実践テクニック T1-306: Exchange Server のクラウド対応セキュリテゖ対策 T3-304: AD FS 2.0 のゕーキテクチャと Windows Azure 連携の実装44
  • リフゔレンス マ゗クロソフト オンラ゗ン サービス製品情報 http://www.microsoft.com/japan/online/default.mspx Microsoft Online Services 開発者向け情報 http://msdn.microsoft.com/ja-jp/ms.online.aspx Microsoft Online Services 技術者向け情報 (TechCenter) http://technet.microsoft.com/ja-jp/msonline/default.aspx オンラ゗ン サービスのトラ゗ゕル サ゗ト http://www.microsoft.com/japan/online/trial.mspx オンラ゗ン サービスの体験サ゗ト (手続きなしですぐ体験できる) http://www.microsoft.com/japan/online/trial2.mspx45