Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Manage ADFS on Office365

5,345 views

Published on

2012.09.22 @Microsoft Japan(SGT)

Published in: Technology
  • Be the first to comment

Manage ADFS on Office365

  1. 1. ADFS/Office365 連携の紹介(Part2 ADFS/Office 365 連携の運用) Microsoft MVP (Office365) 渡辺 元気
  2. 2. Agenda • 前半 - ADFS/Office 365 連携の基礎 • Office 365 における ADFS の必要性と特徴 • Office 365 の実装 • 後半 – ADFS/Office 365 連携の運用 • ADFS/Office365連携における証明書の実装 • ADFS運用のトラブルシュート2 Copyright 2012 Sophia Network Ltd.
  3. 3. ADFS/Office365連携での証明書① AD DS AD FS Microsoft Federation Gateway ②署名の検証 ②署名 ③復号化 ①SSL ③暗号化 ①サービス通信証明書 ADFSで利用する通信の暗号化で利用 ②トークン署名証明書 ADFSが発行するトークンの署名に利用 ③トークン暗号化解除証明書 暗号化(選択可能だが強く推奨)されたトークンの復号で利用3 Copyright 2012 Sophia Network Ltd.
  4. 4. ADFS/Office365連携での証明書② インストール時意識するのは、ほぼサービス通信証明書のみ IISマネージャー ADFS構成ウィザード(または)MMC 証明書スナップイン4 Copyright 2012 Sophia Network Ltd.
  5. 5. ADFS/Office365連携での証明書③ サービス通信はインストール時に指定した証明書、 トークン暗号化解除・トークン署名はそれぞれ自己証明書が自動設定 上記の証明書が設定されるADFSの「証明書利用者信頼」 とOffice365側の設定はPowerShellで実施 PS > New-MsolFederatedDomain -DomainName contoso.com5 Copyright 2012 Sophia Network Ltd.
  6. 6. ADFS/Office365連携での証明書④  簡易なウィザードのみで難しいADFSの構成が完了 する  ユーザーが意識せずに証明書が構成されている ⇒メンテナンスフリー? No! 適切な運用が必要6 Copyright 2012 Sophia Network Ltd.
  7. 7. ADFS運用の基本 If you’re having trouble setting up ADFS, it’s either a problem with PKI or a typo.(ADFSのセットアップでトラブル が起きたなら、PKIまたは入力ミスが問題の原因だ) Laura E. Hunter 運用においても原則は同じ ※ただし、動き出すと比較的安定して動作 (System Center Operating Manager管理パック参照)7 Copyright 2012 Sophia Network Ltd.
  8. 8. 【参考】SCOMのADFSの管理パック ADFSサービスが 起動できない (当初は満たされ ていた) ADFSサービスの 前提条件が満た されていない 証明書の 問題8 Copyright 2012 Sophia Network Ltd.
  9. 9. ADFSトラブルシュート① Office365のシングルサインオンを構成してから しばらく(1年弱)経った頃、 突然シングルサインオンができなくなる 証明書の更新がOffice365に伝送されない まま、ADFSの証明書が切り替わった ※Office365からの証明書の期限切れ通知のメールや ソースAD FS 2.0,イベントID 385の警告ログなどが予兆 Office365→ADFSはフェデレーションメタデータで更新不可の為 手動でUpdate-MsolFedetatedDomainコマンドレットで伝送 自動化ツールも有り9 Copyright 2012 Sophia Network Ltd.
  10. 10. ADFSトラブルシュート② ①の対応後、社内からのOWAなどのアクセスは 回復したが、社外やOutlookなどからは引き続き アクセスできない 証明書更新後、ADFS⇔ADFS Proxy間の 構成が正しく再構成されていない ※ADFS Proxyで4時毎に行われるフェデレーションサービスの 更新が、成功(イベントID 392)→失敗(394)。エンドポイント の一覧を取得できません(イベントID 248)のエラーが発生 ADFSサーバのAD FS2.0 Windowsサービスの再起動により回復。 自動回復しない場合はADFS Proxy構成ウィザード再実行10 Copyright 2012 Sophia Network Ltd.
  11. 11. ADFSトラブルシュート③ 証明書の更新の時期ではないのに、突然 社外やOutlookなどからアクセスできなくなった 時刻が5分以上ずれた為、Kerberos認証 が実施できなかった ADFS Proxyサーバの時刻がずれており、再設定より回復。(ADFSは ドメインから時刻同期できていたが、Proxyは非設定だった)11 Copyright 2012 Sophia Network Ltd.
  12. 12. ADFSトラブルシュート④ FirewallのACLやSSL証明書のCAを変更したら ADFS ProxyやLyncクライアントが動作しなくなった CRLにアクセスできなくなり、ADFSで利用 している証明書の検証ができなかった 証明書を利用するクライアントは、証明書を検証できるよう Office365の他、CAが用意しているCRLへのアクセスを確保する12 Copyright 2012 Sophia Network Ltd.
  13. 13. ADFSトラブルシュート⑤ 【その他】 • 外部から入れなくなった  Active Directoryのパスワード期限切れ。常時、社外にい るユーザのパスワード運用は要検討 • SSOがポップアップするようになった/フォーム 入力画面(ADFS Proxy)に行くようになった。  (前者)グループポリシー含めIEのゾーンの設定 (後者)DNSやIEのProxy設定などに影響13 Copyright 2012 Sophia Network Ltd.
  14. 14. このセクションのまとめ  構成の難易度は低いが、トラブルシュートはサービス側含めた 構成、特性や動作原理を理解した上での対応が必要  クラウド側がどんどんバージョンアップしていくので、本番環境 とは別に、検証環境を用意しておくことを強く推奨  MicrosoftのK/Bの充実もまだこれからな感が有るので、情報の 更新は定期的にウォッチが必要(現場の技術者間でのナレッ ジの共有もどんどん実施して行きたい) 日々徒然 http://genkiw.wordpress.com14 Copyright 2012 Sophia Network Ltd.

×