Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
© 2017 Microsoft Corporation. All rights
日本マイクロソフト株式会社
パートナー事業本部
パートナー技術統括本部
クラウドソリューションアーキテクト
青木祐二
最新のハイブリッド ID 管理基盤パターン
© 2017 Microsoft Corporation. All rights
本セッションのゴール
 最新のクラウド認証方式 (パターン) の違いを理解する
 それぞれのパターンの特徴 (選び方) や注意事項を理解する
2
© 2017 Microsoft Corporation. All rights
SaaS アプリ認証の構成パターン
3
Azure AD 単体 オンプレミスとの連携
(ハイブリッド ID)
オンプレミス
© 2017 Microsoft Corporation. All rights
ハイブリッド環境の認証方式の進化
ハイブリッド環境の認証方式に以下、2つの機能が追加
これによりADFSを使わない実装の簡単な構成が可能となる
• シームレスシン...
© 2017 Microsoft Corporation. All rights
SaaS アプリ認証の構成パターン
5
Azure
Active Directory
Active Directory
Office 365 SaaS Apps
...
© 2017 Microsoft Corporation. All rights
クラウド ID
6
特徴
• オンプレミスの AD を利用せず、すべての認証や
接続コントロールをクラウド (Azure AD) で実施
前提条件
• リソースが...
© 2017 Microsoft Corporation. All rights
パスワードハッシュ同期 + シームレス SSO
7
Azure
Active Directory
Active Directory
Office 365 SaaS...
© 2017 Microsoft Corporation. All rights
シームレス SSO
8
OS/ブラウザー Internet Explorer Edge Google Chrome Mozilla Firefox Safari
...
© 2017 Microsoft Corporation. All rights
シームレス SSO 適用状況の確認
9
AZUREADSSOACC
コンピューターオブジェクトが
自動作成される
Active Directory ユーザーとコン...
© 2017 Microsoft Corporation. All rights
パススルー認証+ シームレス SSO
10
Azure
Active Directory
Active Directory
Office 365 SaaS App...
© 2017 Microsoft Corporation. All rights
パススルー認証 制限事項
 サポートシナリオ
₋ Web ブラウザーベースのアプリケーションへのサインイン
₋ 先端認証をサポートする Office 365 ク...
© 2017 Microsoft Corporation. All rights
パススルー認証 サーバー構成例
 動作要件
₋ Windows Server 2012 R2 以降
₋ Azure AD Connect バージョン : 1.1...
© 2017 Microsoft Corporation. All rights
パスワード書き戻し
13
Tenant-specific
Service Bus Relay
変更を検知
Inbound port の open は不要
Writ...
© 2017 Microsoft Corporation. All rights
フェデレーション認証
 特徴
₋ オンプレミス AD で認証を実施
₋ アカウントポリシーなど、オンプレミスADでの管理
₋ 柔軟性が高く、サードパーティ製品の...
© 2017 Microsoft Corporation. All rights
まとめ
 4つの認証パターン
₋ クラウド ID (Azure AD のみ)
₋ Hybrid : パスワードハッシュ同期 + パスワード SSO
₋ Hybr...
© 2017 Microsoft Corporation. All rights
認証方式ごとの機能差
要望事項 パスワードハッシュ同期 パススルー認証 ADFS
社内ネットワークのPCにログインし、
SaaS へのSSOを行いたい
〇
シーム...
© 2017 Microsoft Corporation. All rights
比較 (インフラ&運用)
パスワードハッシュ同期 パススルー認証
フェデレーション
(ADFS)
サーバー台数
最小: 1
推奨: 2
(+ステージングサーバー)...
© 2017 Microsoft Corporation. All rights
比較 (認証)
パスワードハッシュ同期 パススルー認証
フェデレーション
(ADFS)
AD - Password Sign-in YES YES YES
AD ...
© 2017 Microsoft Corporation. All rights
参考情報
 Choose the right sign-in option to connect to Azure AD & Office 365
https:...
© 2017 Microsoft Corporation. All rights
Upcoming SlideShare
Loading in …5
×
Upcoming SlideShare
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Next
Download to read offline and view in fullscreen.

4

Share

Download to read offline

20171011_最新のハイブリッドID管理基盤パターン

Download to read offline

これまでハイブリッドID基盤を構築する場合にはADFSが大きな役割を果たしてきましたが、冗長性や運用などの負荷がかかっていました。昨今はパススルー認証など新しいテクノロジーにより ADFS を配置しなくても、ハイブリッド認証基盤を構築することができるようになってきています。
本セッションではハイブリッドIDを実現する最新の認証基盤のデザインパターンについてご説明いたします。

Related Books

Free with a 30 day trial from Scribd

See all

20171011_最新のハイブリッドID管理基盤パターン

  1. 1. © 2017 Microsoft Corporation. All rights 日本マイクロソフト株式会社 パートナー事業本部 パートナー技術統括本部 クラウドソリューションアーキテクト 青木祐二 最新のハイブリッド ID 管理基盤パターン
  2. 2. © 2017 Microsoft Corporation. All rights 本セッションのゴール  最新のクラウド認証方式 (パターン) の違いを理解する  それぞれのパターンの特徴 (選び方) や注意事項を理解する 2
  3. 3. © 2017 Microsoft Corporation. All rights SaaS アプリ認証の構成パターン 3 Azure AD 単体 オンプレミスとの連携 (ハイブリッド ID) オンプレミス
  4. 4. © 2017 Microsoft Corporation. All rights ハイブリッド環境の認証方式の進化 ハイブリッド環境の認証方式に以下、2つの機能が追加 これによりADFSを使わない実装の簡単な構成が可能となる • シームレスシングルサインオン 社内ネットワーク上のPC(Active Directory管理下)からADFSを使わずに Office 365にシングルサインオンする機能。 • パススルー認証 社外のネットワークからOffice 365にアクセスしたときに、認証をAzure AD ではなく社内のActive Directoryで行う機能。 4
  5. 5. © 2017 Microsoft Corporation. All rights SaaS アプリ認証の構成パターン 5 Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ同期 (パスワードハッシュ含む) Azure Active Directory Active Directory Office 365 SaaS Apps Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ 同期 ADFS Azure Active Directory Office 365 SaaS Apps イントラネットイントラネットイントラネット クラウド ID パスワードハッシュ同期 + シームレス SSO パススルー認証+ シームレス SSO フェデレーション認証 ディレクトリ 同期 エージェント イントラネット DMZ DMZ DMZ DMZ Internet Internet Internet Internet
  6. 6. © 2017 Microsoft Corporation. All rights クラウド ID 6 特徴 • オンプレミスの AD を利用せず、すべての認証や 接続コントロールをクラウド (Azure AD) で実施 前提条件 • リソースがクラウドに集約され、すべての認証を Azure AD で行うことができる • ファイルサーバー, プリンターサーバーなど、 ローカル AD (Kerberos 認証) に依存するサービスがない • デバイス管理は MDM でカバーできる • グループポリシーが利用できないため、デバイス管理は MDM (Intune) のポリシーで行う必要あり 上記の条件を満たせるのであれば、クラウド ID での運用が可能 Azure Active Directory Office 365 SaaS Apps クラウド ID イントラネット DMZ Internet
  7. 7. © 2017 Microsoft Corporation. All rights パスワードハッシュ同期 + シームレス SSO 7 Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ同期 (パスワードハッシュ含む) イントラネット パスワードハッシュ同期 + シームレス SSO DMZ Internet 特徴 • オンプレミスに必要なサーバーが最も少ない構成 • Azure AD Connect のみ / 冗長化不要 • 迅速な展開が可能 • パスワードはハッシュ化され、クラウドに同期 • 社外からでも同一 ID / Password で認証可能 • オンプレミスの AD への接続が途切れても、 Azure AD での認証が可能 • 社内環境では ID / Password を入力しなくても認証可能 (シームレスシングルサインオン) ハイブリッド認証で マイクロソフトが推奨する構成
  8. 8. © 2017 Microsoft Corporation. All rights シームレス SSO 8 OS/ブラウザー Internet Explorer Edge Google Chrome Mozilla Firefox Safari Windows 10 あり なし あり はい* 該当なし Windows 8.1 あり 該当なし あり はい* 該当なし Windows 8 あり 該当なし あり はい* 該当なし Windows 7 あり 該当なし あり はい* 該当なし Mac OS X 該当なし 該当なし はい* はい* はい*  オンプレミス、クラウドベースのアプリに自動サインイン  “パスワード ハッシュ同期”または”パススルー認証”と合わせて利用可能  サポート対象 ₋ Web ブラウザー ベースのクライアント ₋ 最新の認証 (Modern authentication) をサポートする Office クライアント ₋ Kerberos 認証に対応したブラウザ • 追加の構成が必要 https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso-quick-start#browser-considerations
  9. 9. © 2017 Microsoft Corporation. All rights シームレス SSO 適用状況の確認 9 AZUREADSSOACC コンピューターオブジェクトが 自動作成される Active Directory ユーザーとコンピューター Active 管理者ポータル Azure Active Directory – Azure AD Connect で 設定状況が確認可能
  10. 10. © 2017 Microsoft Corporation. All rights パススルー認証+ シームレス SSO 10 Azure Active Directory Active Directory Office 365 SaaS Apps イントラネット パススルー認証+ シームレス SSO ディレクトリ 同期 エージェント DMZ Internet 特徴 • ADFS 無しで、社外から Azure AD を利用して パスワード検証が可能 • オンプレミスでパスワードを管理 • クラウドにパスワードハッシュを保存したくない場合 のオプション • 単一または複数フォレストに対応 • 展開コストをかけず、フェデレーションと同様の環境を 実現 • Azure AD Connect による簡単な導入 • 複雑な DMZ 要件なし
  11. 11. © 2017 Microsoft Corporation. All rights パススルー認証 制限事項  サポートシナリオ ₋ Web ブラウザーベースのアプリケーションへのサインイン ₋ 先端認証をサポートする Office 365 クライアントアプリケーションへの ユーザーサインイン ₋ ドメイン参加した Windows デバイス ₋ Azure AD Join Windows 10 デバイス ₋ Exchange ActiveSync のサポート  非サポートシナリオ ₋ Office 2013 以前の、レガシー Office クライアントへのサインイン ₋ Skype for Business client アプリケーションへのサインイン ₋ PowerShell v 1.0 へのユーザーサインイン (PowerShell v 2.0 の利用を推奨) ₋ MFA の App Password 11
  12. 12. © 2017 Microsoft Corporation. All rights パススルー認証 サーバー構成例  動作要件 ₋ Windows Server 2012 R2 以降 ₋ Azure AD Connect バージョン : 1.1.486.0 以降 ₋ パススルー認証エージェント : 1.5.58.0 以降  冗長構成 ₋ 認証エージェントサーバーを複数配置 (2-3台でほとんどの規模をカバー) 12 パススルー 認証 エージェント Domain Controller Azure AD Connect 1台目のサーバー パススルー 認証 エージェント 2台目のサーバー ポート 80 / 443
  13. 13. © 2017 Microsoft Corporation. All rights パスワード書き戻し 13 Tenant-specific Service Bus Relay 変更を検知 Inbound port の open は不要 Write Back AD DS SetPassword API Write Back Firewall Decrypt password by private key • Azure AD でパスワードを“リセット/変更”した 場合、パスワードをオンプレミスに書き戻す機能 • Azure AD Premium P1/P2 で提供 • 以下の構成でサポートされる • パスワードハッシュ同期 • パススルー認証 • フェデレーション • 以下の操作がサポートされる • 管理者によるリセット/変更 • ユーザーによるリセット/変更
  14. 14. © 2017 Microsoft Corporation. All rights フェデレーション認証  特徴 ₋ オンプレミス AD で認証を実施 ₋ アカウントポリシーなど、オンプレミスADでの管理 ₋ 柔軟性が高く、サードパーティ製品の相互運用性あり ₋ クレームルールによる高度な制御 運用負荷 ₋ DMZへのサーバー設置 ₋ サーバーの冗長構成 ₋ 証明書の管理 14 Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ 同期 ADFS イントラネット フェデレーション認証 DMZ Internet
  15. 15. © 2017 Microsoft Corporation. All rights まとめ  4つの認証パターン ₋ クラウド ID (Azure AD のみ) ₋ Hybrid : パスワードハッシュ同期 + パスワード SSO ₋ Hybrid : パススルー認証 + パスワード SSO ₋ Hybrid : フェデレーション (ADFS)  パスワードハッシュ同期 /パススルー認証 / パスワード SSO は 無料の機能なので是非お試しを!  まずはここから https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory- playbook-intro 15
  16. 16. © 2017 Microsoft Corporation. All rights 認証方式ごとの機能差 要望事項 パスワードハッシュ同期 パススルー認証 ADFS 社内ネットワークのPCにログインし、 SaaS へのSSOを行いたい 〇 シームレス SSO 〇 シームレス SSO 〇 オンプレの AD で認証させたい × 〇 〇 オンプレミス AD の認証ポリシーを適用したい (例 : ログオン時間制限など) × 〇 〇 多要素認証を行いたい (Azure MFA) 〇 〇 〇 多要素認証を行いたい (オンプレミス MFA) × × 〇 端末の接続制限 (デバイス制限など) 〇 Azure AD Conditional Access 〇 Azure AD Conditional Access 〇 ADFS クレームルール 16
  17. 17. © 2017 Microsoft Corporation. All rights 比較 (インフラ&運用) パスワードハッシュ同期 パススルー認証 フェデレーション (ADFS) サーバー台数 最小: 1 推奨: 2 (+ステージングサーバー) 最小: 1 推奨 : 2 for HA 最小: 1 推奨: 2 for HA DMZ への展開が必要か NO NO YES(WAP) 最小:1 推奨: 2 for HA 自動フェールオーバー用のHAシナ リオはあるか NO YES Service Bus Relay YES ロードバランサ SSL は必須か NO NO YES クラウドからオンプレミスのサー バーを監視できるか Connect Health (Premium) Partial Connect Health (Premium) 17
  18. 18. © 2017 Microsoft Corporation. All rights 比較 (認証) パスワードハッシュ同期 パススルー認証 フェデレーション (ADFS) AD - Password Sign-in YES YES YES AD - Desktop SSO YES YES YES AD - Soft Certificates (MDM or GPO provisioned) NO NO YES AD - Smart Card NO NO YES AD - Fail Auth if user is disabled Partial. Typically up to 30 mins for sync cycle to complete Immediate Immediate AD - Fail Auth if user’s password has expired NO YES YES AD - Supports users in multiple trusted AD forests YES YES YES AD - Supports users in multiple untrusted AD forests YES NO YES (2016) untrusted forest can be configured as an LDAP directory 3rd party LDAP - Password sign- in See note 4 NO NO YES (2016) Authenticator App as primary Sign-in (password less) NO NO YES (2016) 18
  19. 19. © 2017 Microsoft Corporation. All rights 参考情報  Choose the right sign-in option to connect to Azure AD & Office 365 https://blogs.msdn.microsoft.com/samueld/2017/06/13/choosing-the-right-sign- in-option-to-connect-to-azure-ad-office-365/  Azure AD Connect のシングル サインオン & パススルー認証 (プレビュー) によるクラウド完結のユーザー認証インフラの実現 https://blogs.technet.microsoft.com/office365-tech- japan/2017/03/08/aadconnect-sso-and-pass-through-authentication/ 19
  20. 20. © 2017 Microsoft Corporation. All rights
  • yamarara

    Jun. 18, 2018
  • takura_sato

    Oct. 12, 2017
  • mihoitm

    Oct. 12, 2017
  • kenjikomatsu

    Oct. 12, 2017

これまでハイブリッドID基盤を構築する場合にはADFSが大きな役割を果たしてきましたが、冗長性や運用などの負荷がかかっていました。昨今はパススルー認証など新しいテクノロジーにより ADFS を配置しなくても、ハイブリッド認証基盤を構築することができるようになってきています。 本セッションではハイブリッドIDを実現する最新の認証基盤のデザインパターンについてご説明いたします。

Views

Total views

2,319

On Slideshare

0

From embeds

0

Number of embeds

286

Actions

Downloads

82

Shares

0

Comments

0

Likes

4

×