Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2

8,963 views

Published on

この資料のPPT版、および AD on IaaS の構築手順書は、以下のキャンペーンサイトから入手してくださいませ。

http://technet.microsoft.com/ja-jp/windowsserver/dn715816

大人の事情でごめんなさい。でも気合い入れて作った手順書です。

Published in: Technology
2 Comments
32 Likes
Statistics
Notes
No Downloads
Views
Total views
8,963
On SlideShare
0
From Embeds
0
Number of Embeds
314
Actions
Shares
0
Downloads
341
Comments
2
Likes
32
Embeds 0
No embeds

No notes for slide

Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2

  1. 1. ハイブリッドクラウドに一歩踏み出すには? 2014/5/5 v2.0
  2. 2. • ガバナンスを浸透させリスクを減らすため • プロセスを自動化し生産性を高めるため • ビジネスの成功をサポートするため! Process Process Process Process Process Process Process Process Process Process company politics Process Process Process temptations Process ProcessProcess Process Process Process Process Goal!! Pitfall Loop Start Loop Loop PitfallBomb Bomb Loop company politics company politics 実態は。。。ゴールへの道筋は統制の効かない「細かく分断されたプロセスの」集合体
  3. 3. Question なぜパブリッククラウドが注目をあびるのか
  4. 4. Process Process Process Process Process Process Process Goal!! Pitfall Loop Loop Loop Bomb Bomb Loop temptations company politics company politics Process Process Process Process Process Process PitfallStart Loop company politics Process company politics Process Process Process Pitfall Process Process Pitfall Bomb Pitfall Process Pitfall Process Pitfall temptations Loop Bomb temptations temptations Loop company politics Bomb Bomb Pitfall Process BombLoop Process Pitfall company politics Process Process Process Process
  5. 5. • パブリッククラウドとの「一貫性」を実現できるインフラ = Private Cloud 化 • プロセスに連続性がある • ガバナンスが効いている • 生産性を落とさない ノウハウではなく 「 IT の仕組み」の問題 Hybrid Cloud Process Process Process Process Private Cloud Process Process Process Process Public Cloud プロセスの連続性と End to End なガバナンス • Private Cloud の拡張先として Public Cloud が存在するという認識
  6. 6. Storage クラウドの 5 つの基本特性(要件) • リソース共有 (プールされたリソース) • オンデマンドのセルフ サービス • 迅速な弾力性 (伸縮性と自動化) • 広範なアクセス (セキュリティとアクセシビリティ) • 計測可能なサービス (監視と報告) CPU Storage RAM Network Apps Portal Apps Apps Scale out Deploy tenant Monitor Access ScaleUP
  7. 7. Process Process Process Process Private Cloud Process Process Process Process Public Cloud プロセスの連続性と End to End なガバナンス Portal CPU Storage RAM Network Storage Apps Apps Apps Scale out tenant ScaleUP CPU Storage RAM Network Storage Apps Apps Apps Scale out tenant ScaleUP Hybrid Cloud
  8. 8. (パブリッククラウド) Cloud OS 企業 IT の一貫性を維持する仕組み
  9. 9.  全てのリソースとプロセスが、統一されたセキュリティ ポリシーによって管理されている Process Process Process Process Private Cloud Process Process Process Process Public Cloud プロセスの連続性と End to End なガバナンス Portal CPU Storage RAM Network Storage Apps Apps Apps Scale out tenant ScaleUP CPU Storage RAM Network Storage Apps Apps Apps Scale out tenant ScaleUP Hybrid Cloud
  10. 10. IT ガバナンスを “IT” でコントロールするため IT ガバナンスとは(経済産業省) • 企業が、ITに関する企画・導入・運営および活用を行 うにあたって、すべての活動、成果および関係者を 適正に統制し、目指すべき姿へと導くための仕組み を組織に組み込むこと、または、組み込まれた状態 • ITガバナンスは、ITマネジメントに関わる方針や基準 を明確にし、それを経営者やユーザーに浸透させる ことに重点が置かれており、ITマネジメントは、日々 の運営や活動の管理に重点が置かれている http://warp.ndl.go.jp/info:ndljp/pid/286890/www.meti.go.jp/policy/it_policy/it_keiei/action/keyword/governance/index03.html
  11. 11. システム運営 企業情報システムを安定的かつ適正に運 用・管理することに加えて、サービスレベ ル合意書 (SLA) に基づくサービス品質の 管理、セキュリティを含むITリスク管理、 技術標準および運用手順の設定など 組織運営 スタッフ個人および部門の目標管理に基づ くIT部門の健全運営に加えて、IT予算およ び投資の管理、外部ベンダーおよび契約の 管理など http://warp.ndl.go.jp/info:ndljp/pid/286890/www.meti.go.jp/policy/it_policy/it_keiei/action/keyword/governance/index02.html 説明責任 経営者および利用部門に対する説明責任を意味 しますが、具体的にはコストの妥当性、作り上 げたシステムの利用状況、ビジネスへの貢献度 などを自ら評価し、その結果をフィードバック することで、IT部門の取り組みの適正さを明ら かにする リレーションシップ管理 利用部門との関係を維持・改善し、企業情報シ ステムの適性かつ有効な利用を促進することを 目的に、啓蒙・教育、情報発信、部門間調整な どを行うものです。これは満足度調査やニーズ および要件の聞き取りといったインバウンド (IT部門へ) のコミュニケーションと、情報発信 やシーズの提案といったアウトバウンド (IT部 門から) のコミュニケーションを伴う
  12. 12. IT リスクの低減 生産性の向上 IT 利用度の向上 • 禁止事項を増やす • ルールを増やす • 手順を増やす • ビジネスロジックを増やす • PC リプレイス • 新ソフトの導入 • 新機能の導入 • 使うことを強制するルール 生産性は ?
  13. 13. 全てにリスクが潜んでいる & リスクは無くせない (低減は可能) “面倒な”ルール
  14. 14. リスクとリスクが出会ってしまったとき トランスポーター
  15. 15. • 個々のリスクを低減する(出会う確率を減らす) • エンタープライズ・セキュリティ・ポリシーによりトラッキング(監視) • 必要に応じて“トランスポーター”をブロック
  16. 16. 認証とは :ユーザーやデバイスの一意性を保証すること :ユーザーやデバイスを特定すること :認証サーバーが行う 認可とは :認証されたユーザーやデバイスにアクセス権を与えるか どうかを判断すること :アプリケーションやサービスが行う 「誰が(どのデバイスが)、何をできるか」を判断するプロセスが、 全ての IT リソースに対して有効であることが重要
  17. 17. • 全てのリソースへのアクセスには認証が必要 • 各リソースに適切なアクセス権を設定 • 社内 PC は持ち出さない • 個人デバイスは社内で利用しない • 社外秘データは持ち出さない • ハードディスクは暗号化する • 定期的なパスワードの変更 • ウィルスパターンを定期的に更新 • セキュリティパッチの迅速な適用 • 不要なソフトウェアをインストールしない • 怪しいサイトにはアクセスしない など コンプライアンス(法令順守)のためのセキュリティの大原則 企業内 IT インフラストラクチャー全体に適用する
  18. 18. DataApplication Network Device 全てのリソースが常に認証基盤とつながっている状態を維持する データを社外に持ち出しても、 社内のセキュリティポリシー によってアクセスが制限でき る デバイスは認証を受けなけれ ば社内のリソースにアクセス できない。 デバイスを社外に持ち出して も、社内のセキュリティポリ シーが常に適用される。 セキュリティポリシーを満 たしているユーザーとデバ イスがネットワークに接続 できる。 ポリシー違反が発生したら、 強制的にネットワークから 除外することができる。 アプリケーションは認証さ れたユーザーと認証された デバイスにアクセス権を与 えることができる。 アプリケーションは認証 サーバーからユーザーとデ バイスの情報を取得できる。 ユーザーは認証を受けな ければ社内のリソースを 一切利用できない
  19. 19. セキュリティドメイン • ユーザー認証とデバイス認証 • データへのアクセス権管理 • セキュリティポリシーの適用 • 企業内データの動的分類 セキュリティ の壁
  20. 20. Active Directory ドメイン AD DS ID/Pass で Sign-in グループポリシーによる統制 Windows クライアント AD CS 証明書発行 アカウント管理 AD RMS アクセス制御 データ暗号化 ファイルサーバ メールサーバー WEB サーバー DB サーバー ア ク セ ス 制 御
  21. 21. INTERNET • 社内セキュリティポリシーによる継続的な監視 • PC のセキュリティはリアルタイムに監視されている Active Directory ドメイン 検疫ネットワーク 社内ネットワーク Firewall Direct Access ServerHotel 評価 Network Access Protection ドメインコントローラー 業務サーバー ファイルサーバー Windows7/8 R-Proxy
  22. 22. Active Directory ドメイン AD DS AD RMS Exchange Server • 重要なデータ(メール、ドキュメント)を暗号化 • データにアクセス権限を付与 • 認可の集中管理 SharePoint Server EAS https 認 証 認 可 Firewall ※権限を付与するのはデータ/メールの作成者 または、動的分類機能で自動化 暗号化メールを解読
  23. 23. Active Directory ドメイン • RDP を使用して社内仮想 PC を操作 • 社内仮想PCは常に社内セキュリティポリシーが適用されている • データは 社内仮想 PC から外に出られない 各種 業務サーバー RDP セキュリティ境界 踏み台(仮想PC群) 遠隔操作 AD DS 遠隔操作
  24. 24. • サービスのパブリッククラウドへの移行は加速する • インフラがパブリッククラウド上に完全移行したとしても IT ガバナンスの観点から、セキュリティドメインは無くせない • 認証の中心はセキュリティドメインである セキュリティドメインの 維持/更新 セキュリティドメイン外 との連携 IT 部門のチャレンジ 同期 • 壁をより堅牢に • 認証の信頼性を向上 • スピード感のある導入 • 業界標準技術の採用 • 連携しやすい IdP の採用 認証の中心
  25. 25. セキュリティ ドメイン外 パ ブ リ ッ ク ク ラ ウ ド オ ン プ レ ミ ス セキュリティドメイン IaaS の活用と VPN による接続 IaaS/SaaS/PaaS との連携 企業間連携 外部 IdP との連携 セキュリティドメイン Enterprise BYOD セキュリティ ドメイン内
  26. 26. セキュリティドメイン 全てドメイン内 IdP ユーザーと デバイスを 認証 ユーザーはドメイン内 ユーザーだけ 認証 すべてドメイン外 認証不可 =アクセス禁止 安全性 高 低
  27. 27. Question セキュリティドメイン外との連携は 高度な Password 同期のテクノロジーが カギを握っている B. NO
  28. 28. • Password を使いまわさない • 「認証」と「認可」を分離する 業務サービス 認証プロバイダー (IdP) サービスプロバイダー (SP) 認証 • ユーザーの特定 • デバイスの特定 • 特定したことの保障 認可 • 権限の特定 必要な情報を提供 信頼
  29. 29. 業務サービス IdP SP 業務サービス IdP SP 業務サービス IdP SP 業務サービス IdP SP 業務サービス IdP SP 業務サービス IdP SP 業務サービス IdP SP 業務サービス IdP SP 業務サービス IdP SP 独立した IdP が分散すると「認証」の品質と信頼性は低下する too many chiefs and not enough workers ID マスター
  30. 30. IdP 信頼 SP SP SP SP 信頼
  31. 31. 社内だけでなく、社外(セキュリティドメイン外)から信頼される必要がある セキュリティ ドメイン外 パ ブ リ ッ ク ク ラ ウ ド オ ン プ レ ミ ス IaaS の活用と VPN による接続 IaaS/SaaS/PaaS との連携 企業間連携 外部 IdP との連携 セキュリティドメイン BYOD セキュリティ ドメイン内 IdP 信頼 SP 信 頼 信頼
  32. 32. • IdP と SP 間で信頼関係を構築(双方の身元情報を持ち合う) IdP SP SP は IdP を信頼 IdP も SP を信頼 あなたの言うこと なら信頼できるおまえになら この情報を託せる IdP SPIdP Pattern1 直接信頼 Pattern2 間接信頼 同一のセキュリティ ドメイン内で使われる パターン セキュリティドメインを 異にする組織間で使用さ れるパターン 私にはあなたしか見えない。 あなたの言うことならなんでもきくわ。 同一のセキュリティドメイン
  33. 33. • 「正しく認証したこと」をサービスプロバイダーに知らせる • ユーザーの属性情報(クレーム)をサービスプロバイダーに渡す IdP SP IdP1 SPIdP2 Pattern1 直接信頼 Pattern2 間接信頼 拝啓SP様 UserA氏は確かに当方に登録されたユーザー であり認証は完了しております。UserA氏の個人情報を 以下に添付します。 Name = UserA eMail Address = usera@microsoft.com Division = Developer&Platform Evangelism 拝啓IdP1様 ・・・ p.s. SP様によろ しく伝えてくだ さい SP君へ ・・・ p.s. IdP1氏からもらっ たクレームを精査し ました。添付したの はその報告書です。
  34. 34. • SP は IdP から送られてきたクレームを読み、ユーザーのアクセスを認可する • 認可の際、ユーザーには権限を決定するためのロールを与える SP 役割 権限 Author RW User R Guest -IdP SP は IdPに対し、事前に以下を通告しておく 役割を判定するにあたり、 • どんな名前の変数を使うこと • どんな値を入れてくること IdP は SP に通告された通りの情報を生成して 渡さなければならない
  35. 35. IdP :Identity Provider(ID情報提供者) CP :Claims Provider(クレーム提供者) SP :Service Provider(サービス提供者) RP :Relying Party (ID 情報に依存している団体 、ID情報利用者) 以降、状況に応じて上記を使い分けます
  36. 36.  WS-Federation  SAML 2.0  OpenID Connect  OAuth 2.0 • どのサービスが利用できるかは IdP が決定 • IdP がユーザーに対してクレームを発行 • ユーザーがアプリケーションにクレームを渡す • どのサービスを利用するか(どのサービスを信頼 するか)ユーザーが決める • ユーザーがアプリケーションに対しクレーム取得 を許可する(クレームを取得するための API 利用 を許可する(API認可)) RPIdP 信頼 利用者 お勧めの参考資料 NRI 工藤達雄 氏 「なぜ OpenID Connect が必要となったのか、その歴史的背景」 http://www.slideshare.net/tkudo/openid-connect-devlove# ①認証 ②クレーム ③クレーム RPIdP 利用者 ②認証 ④APIアクセス ①認証依頼 ③APIアクセス許可 ⑤ユーザー情報 ⑥アクセス許可 通信にはHTTP/Sが使用される
  37. 37. CP RP 業務トークン トークンユーザー 情報 利用者 ロール 管理簿 トークンを解析 • 本人識別 • ロール決定 信頼 クレームを格納 SAML 2.0 / WS-Fed. 属性ストア
  38. 38. RP 業務 ロール 管理簿 トークンを解析 • 本人識別 • ロール決定 CP ユーザー 情報 属性ストア • ロールを決定するための「クレーム」は RP が提示する • アプリケーションには「ロール」決定のためのロジックを実装 Claims mail name company title 署名 値 値 値 値 提 示
  39. 39. • 社内SPとIdPを SAML/WS-Fed 対応 • 社内SP は 社内 IdP を信頼 利用者 IdP 信頼 SP SAML/WS-Fed対応 IdPSAML/WS-Fed対応SP
  40. 40. 企業間連携 セキュリティドメイン IdP 信頼 SP 自社 パートナー企業 IdP SP 自社の社員が、パートナー企業のサービスを利用する場合 信頼 信頼 利用者 SAML/WS-Fed対応IdP IdP対応SP
  41. 41. IdP を持つ SaaS 自社展開アプリ(PaaS/IaaS) Office365/Saleceforce/Google 等 IdP を持つ IdP を持たない IdP SAML/WS-Fed 対応IdP SAML/WS-Fed 対応IdP 信頼 IdP SAML/WS-Fed 対応IdP 信頼 IdP対応SP SAML/WS-Fed 対応IdP 次のページ IdP対応SP
  42. 42. 自社展開アプリ(PaaS/IaaS) IdP を持たない IdP 信 頼 SAML/WS-Fed 対応SP 直接信頼 IDaaS を使う IdP SAML/WS-Fed 対応IdP SAML/WS-Fed 対応IdP IdP対応SP 信頼 トークンゲートウェイを使う IdP SAML/WS-Fed 対応IdP SAML/WS-Fed 対応GW GW対応 SP 信頼 SAML/WS-Fed 対応IdP
  43. 43. Point:エンタープライズ セキュリティ ポリシーを満たすこと セキュリティドメイン Enterprise Security Policy IdP •改修コスト大 •パッケージの場合は 当然不可能
  44. 44. Point:認証要求をHTTP/Sでカプセルし、リバースプロキシーによって受け入れる セキュリティドメイン Enterprise Security Policy Point:認証サーバーそのものを外部公開するなんてもってのほか! Reverse Proxy セキュリティドメイン Enterprise Security Policy 他社IdP IdP
  45. 45. Point:利用したい SaaS とともに検討する Point:SaaS を利用するには IdP 間で ID の同期が必要(パスワードは必要ない) セキュリティドメイン Enterprise Security Policy Reverse Proxy セキュリティドメイン Enterprise Security Policy 他社IdP IdP SaaS Cloud IdP IDSync • ここまでできれば、第一段階は完了。 • 以降、新規サービスの導入/開発時には IdP に対応していることを鑑みつつ選定する 信頼 信 頼
  46. 46. Point:SAML/WS-Fed対応 にする Point:展開先はクラウド、オンプレミスいずれでもOK Point:信頼先はCloud IdP、オンプレミス IdP いずれでもOK セキュリティドメイン Enterprise Security Policy Reverse Proxy セキュリティドメイン Enterprise Security Policy 他社IdP IdP Cloud IdP IDSync オンプレミス IdPでもOK SaaS 業務 サービス
  47. 47. Point:既存 IdP と連携可能な SaaS を選択する(通常は SAML に対応している) Point:SaaS を利用するために ID 同期が必要 セキュリティドメイン Enterprise Security Policy Reverse Proxy セキュリティドメイン Enterprise Security Policy 他社IdP IdP Cloud IdP IDSync SaaS Cloud IdP SaaS 信頼 業務 サービス 信頼 ID Sync
  48. 48. Point:通常、企業ごとに IdP を保持/管理する Point:企業が増える可能性があるのがサービスへの影響を最小限におさえる セキュリティドメイン Enterprise Security Policy Cloud IdP ID Sync 共有業務 サービス セキュリティドメイン Enterprise Security Policy Cloud IdP トークン ゲートウェイ 信頼 信頼 信頼 信頼 企業A 企業B 企業C
  49. 49. セキュリティドメイン Enterprise Security Policy Reverse Proxy IdP Cloud IdP オ ン プ レ ミ ス IdP と の ID同 期 トークン ゲートウェイ (Option) 他のIdPとのID同期 トークンGWとの信頼 オンプレミスIdP との信頼 他のIdPから信頼 社外からの 認証要求
  50. 50. Microsoft Azure Active Directory Active Directory Domain Service Active Directory Federation Service Web Application Proxy WAAD Access Control Service
  51. 51. FIM Microsoft Azure Active Directory Microsoft 全製品 Microsoft 全 OS Windows 8 Microsoft Account (Windows Live ID) Consumer Enterprise 他社 IdP HR Windows Server Active Directory
  52. 52. AD DS ユーザーとデバイスを認証する AD DS で認証したユーザーと デバイスにトークンを発行する AD FS ※逆に言えば「認証してなければトークンは発行されない」
  53. 53. ユーザーがAD DSで認証されたことを確認 ユーザーのクレーム(属性)を集める クレームを変換する クレームを発行する クレームを判定してトークンを発行する 認証 OK トークンがアプリケーションに渡される AD DS AD FS
  54. 54. 認証 トークン 発行 アクセス 判定 認証 トークン 発行 AD FS により、事前認可が行われている 認証 認可① 認可②
  55. 55. 認証 トークン 発行 アクセス 判定 認証 トークン 発行 AD FS により、事前認可が行われている 認証 認可① 認可② そもそも アクセスを 許可するか どうかの判定 どのような アクセス権を 与えるか という判定
  56. 56. • AD FS はリソースへのアクセス可否を集中的に判定する「前門」である • トークンにはアプリケーションのアクセス権を得るために必要な情報 (クレーム)が格納されている(ていうか、格納するように設定する) Resources Web Service Web Service まずは俺を倒し てからだ AD FS
  57. 57. • WEB アプリケーションを AD FS に登録する • アプリの種類によってアクセス方法が異なる AD FS AD DS SAML/WS-Fed 対応アプリ 通常の WEB アプリ 事前に登録 事前に登録 AD FS Proxy AD FSにリダイレクトできない ため、AD FS Proxy を経由する AD FS Proxy は Web Application Proxy の機能 WEBアプリの URLはAD FS Proxy に向ける
  58. 58. • WS 2012 R2 デバイス レジストレーション サービス(DRS)を有効化し、 デバイスを AD DS に事前登録しておく • ドメインに参加している社内 PC • ドメインに参加していない個人デバイス • サポートされている OS • Windows 8.1, Windows RT 8.1 • Windows 7(ドメイン参加)※Beta • iOS • Android(機種依存) Start AD FS AD DS ①「社内ネットワークに参加」 UserID/Password クレーム処理 エンジン デバイス登録 サービス (DRS) ②ユーザー 認証 ④デバイス登録 Start ⑤ 証明書インストール 個人デバイス HTTPS
  59. 59. Start AD FS AD DS クレーム処理エンジン • デバイス クレームとユーザークレームを使用したきめの細かいアクセス制御 • クレーム規則言語を使用 Start ユーザー認証 デバイス認証 追加認証 デバイス クレーム アクセス可否を判定 ユーザー クレーム AD登録された ユーザー AD登録された デバイス
  60. 60. マルチファクター認証デバイス認証 Active Directory にデバイ スが登録されているかどう かを確認する プライマリ認証 (ユーザー認証) • Form 認証 • Windows 統合 • 証明書 デバイス 認証 無効 有効 登録済み デバイス NO YES 認証 NG OK MFA 認証 完了 NG OK 無効 有効 <認証方式> <条件> • ユーザー/グループ • 登録/非登録デバイス • 外部/内部ネットワーク • Smart Card • Phone Factor • その他 OK NG
  61. 61. https/http 2012 R2 社内 リソース https • リバースプロキシー(https -> http/https ) • AD FS Proxy 機能も包含 2012 R2 Firewall AD FS AD DS
  62. 62. • (当然ですが)http/https でアクセス可能なアプリケーション  AD FS に登録されたアプリケーション  その他のアプリケーション(パススルー公開) • AD FS に登録されたアプリはプロキシ通過時に事前認証/認可が行われる (結果はアプリでの認証に引き継がれる) 2012 R2 公開 ADFS AD FS によ る事前認可
  63. 63. • 「AD FS に登録されたアプリ」が対象  AD FS が発行したトークンを理解できるアプリ  HTTP/HTTPS が話せるアプリ(Windows Server 2012 R2 の新機能) • 事前認証するには WEB APPLICATION PROXY を通過する必要がある 2012 R2 公開 ADFS AD FS によ る事前認可 普通のWEBアプリを AD FS 経由で公開するこ とで、事前認証の対象となる
  64. 64. Start AD FS AD DS クレーム処理エンジン Start ユーザー認証 デバイス認証 追加認証 デバイス クレーム アクセス可否を判定 ユーザー クレーム AD登録された ユーザー AD登録された デバイス WAP 事 前 認 証 プ ロ セ ス Firewall
  65. 65. (参考)マイクロソフトのリモートアクセス機能 RDP 透過的 透過的 社内 リソース 透過的 Firewall
  66. 66. RD Connection Broker Internet RemoteApp Session-based Desktop 仮想化ホスト+RemoteApp Firewall リモートデスクトップ クライアント セッションホスト 公開
  67. 67. 自動構成 Firewall NAT, Proxy (IPv6 packets on an HTTPS) 社内ネットワーク Firewall
  68. 68. (参考)働き方を変えるリモートアクセス機能 V2 RDP 透過的 透過的 社内 リソース Firewall 2012 R2 https/http
  69. 69. BYOD Web Service Web Service Web Service Web Service Web Service Web Service Web Service Salesforce.com Google.com office365Public Cloud アプリケーションにとっては、 「どこの馬の骨ともわからないデ バイス」を、社内AD DSによって 認証し、一定の安全性を担保する ことができる。
  70. 70. • Active Directory ドメインに個人デバイスを登録しておく(ドメイン参加ではない) • “AD FS トークンが必要なサービス”にアクセスする前にデバイス認証を実施 AD FS /DRS Office 365 個人デバイス デバイスのアクセスを許可するか どうかを判断 認証
  71. 71. • AD FS にはクレーム対応アプリに加え、通常の WEB アプリも登録できる  Windows 統合認証に対応したアプリには クレデンシャルを渡すことも できる • WEB APPLICATION PROXY を通過する際に、 AD FS による事前認証/認可が行える WAP を通過するようにインフラを設計しさえすれば、 旧来の社内WEBアプリを AD FS による事前認証/認可 機能で保護できる
  72. 72. Microsoft Azure Active Directory アクセスコントロール • ID 連携 • トークン変換 ディレクトリ • ユーザー管理 • Graph API • Auth. Library • 認証 • ID/Password • 多要素認証 • AD DS 同期 • Application Access • ユーザー同期 Active Directory IDMaaS としての機能を実装したマルチテナント型のディレクトリ サービス AD DS Azure AD 多要素認証プロバイダー(有償) • 電話応答 • ワンタイムパスワード Rights Management • メールおよびドキュメントのIRM
  73. 73. 無料 プレミアム (プレビュー) 料金 (ユーザーごと) 無料 無料プレビュー ディレクトリ サービス 含まれます 含まれます ディレクトリ オブジェクト(既定では 15000 個) 500,000 個 無制限 SaaS 用の SSO とクラウドベースのカスタム アプリケーション 含まれます 含まれます SaaS アプリケーション用のユーザーベースのアクセス管理/プ ロビジョニング 含まれます 含まれます SaaS アプリケーション用のグループベースのアクセス管理/プ ロビジョニング 利用できません 含まれます エンド ユーザー アクセス パネル 含まれます 含まれます アクセス パネルのカスタマイズ 利用できません 含まれます Microsoft Azure AD でのユーザーによるセルフサービスのパス ワード リセット 利用できません 含まれます 基本的なセキュリティ レポート 含まれます 含まれます 高度なセキュリティ レポート 利用できません 含まれます DirSync 含まれます 含まれます
  74. 74. ディレクトリ ID Store (AD LDS に相当) Federation Gateway (AD FSに相当) Graph (REST API) アカウント情報 の管理 • ユーザー • グループ • デバイス AD DS 3rd Party SaaS CP(IdP)側 RP(SP)側 WS-Fed. SAML 2.0 OAuth 2.0 WS-Fed SAML 2.0 (ECP Profile) その他 105 サービスに対応 ( 2013/8 時点) AD FS (WS-Fed) 自社開発アプリ OR • Shibboleth(SAML 2.0) • Ping Federate( WS-Fed,SAML 2.0 ) http://technet.microsoft.com/en-us/library/jj679342.aspx
  75. 75. ア プ リ ケ ー シ ョ ン ア ク セ ス • 既存 SaaS の認証を “インスタント” に WAAD に関連づける • Google Apps, Salesforce.com などはSSO/ID同期も可能 Federation-Based Apps Password-based Apps Active Directory ID連携 ID フェデレーション ID 同期 その他(1133種類 2014.3.31 現在) パスワード連携 事前にID/Passを登録 その他 自社開発アプリ
  76. 76. • Microsoft Azure AD テナントと関連付けられた SaaS の一覧(ポータル) • ユーザーは、サービスをクリックすればよい http://myapps.microsoft.com/ IDとパスワードを自動入 力してくれるアドイン
  77. 77. アプリケーション用の ID とパスワードを設定してお くと、アイコンクリック後自動サインイン可能
  78. 78. 2014.4 Preview • SaaS 版 AD RMS • メール、ドキュメントの暗号化、権限管理 • Office 365 • Office Pro Plus 2013 • Office Pro 2010 • Office 365 との連携 • オンプレミスとの連携 • Exchange Server 2013,2010 • Office SharePoint Server 2013/2010 • Windows Server 2012/R2 File Server FCI (ファイル分類機能) • サポートされる Windows OS • Windows 7 Pro/Ent/Ultimate • Windows 8 Pro/Enterprise • Windows 8.1 Pro/Enterprise • サポートされるモバイルデバイス • Windows Phone 8 • Android Phone/Tablet 4.0.3以降 • iPhone/iPad iOS 6.0 以降 • Windows 8 RT/8.1 RT
  79. 79. Azure RM AD RMS オンプレミス Exchange/SharePoint/File Server/FCI サポート ○ ○ Microsoft Online Service サポート ○ × ADドメインの異なる組織間で保護データを共有するにはADドメイン信頼、またはAD FS信頼が必須 × ○ 異なる組織間または組織外のユーザーと保護データを共有するには、ユーザーがOffice 365を使用してい るか、Azure RMを使用しているか、RMS for Individuals にサインアップしていればよい。 ○ × 既定では「読み取り専用ポリシー」と「変更ポリシー」の2つのテンプレートが提供される ○ ○ 独自のポリシーテンプレートを作成できる ○ ○ ユーザー自身がパーミッションを変更して設定できる ○ ○ サポートされる Office バージョン 2010 以降 2007 以降 Office for MAC 2011 サポート × ○ サポートされる Windows クライアント 7 以降 Vista SP2 以降 Windows Phone サポート 8 以降 ○ Android 用 RMS 共有アプリサポート ○ × iOS 用 RMS共有アプリサポート ○ × Exchange ActiveSync IRM による email サポート ○ ○ サポートされる Cryptographic Mode Public Key Signing 2 RSA 2048 SHA 256 1(既定)or 2 RSA 1024/2048 SHA1/256 Azure RM -> AD RMS 移行 ○ AD RMS -> Azure RM 移行 ×
  80. 80. RMS for Individuals • 組織内(メールアドレスのドメイン名が同一)限定の RMS • https://portal.aadrm.com/ からサインアップするだけで使い始められる! • ユーザーが個別にサインアップ必要 • Azure AD にテナントを作成すれば、Azure Rights Management に移行可能
  81. 81. Access Control Service アクセス コントロール • 外部認証サービスから RP 側へのトークン ゲートウェイ • ACS自身は認証プロバイダーではない Application WAAD - Directory WS-Fed OpenID Oauh 2.0 ADFSFederaton Gateway. WS-Fedトークン 変換 OAuth Wrap Application RP(SP)側 CP(IdP)側 WS-Fed をサポートしている CP
  82. 82. 既存の IdP に認証要素を追加することができる独立したプロバイダー 多要素認証 プロバイダー Active Directory Microsoft Azure Active Directory Active Directory Domain Service Active Directory Federation Service 追加 追加 $2/month/人 or $2/month/10Auth
  83. 83. クラウドサービス Identity Provider オンプレミス Web Application 多要素認証プロバイダー • ワンタイムパスワード • 通知 • 電話 • テキストメッセージ IE⑧ ③ ⑤ ID/Password ④ ⑥ Microsoft Azure Portal サードパーティ製 WEB サービス ① Microsoft Azure Active Directory AD DS + AD FS スマフォ 専用アプ リ
  84. 84. Add in WAAD 多要素認証プロバイダー 認証① 認証② BYOD AD FS 認証依頼 iPhone
  85. 85. 94 BYODデバイス登録と デバイス認証 ネットワークロケーション や IP アドレス、ユーザー属 性、デバイス属性などによ る、多要素認証/認可 パートナー企業 との ID 連携 パブリッククラウド とのID連携 AD FS により社内リソースの集中 的なアクセス制御が可能 業務 アプリケーション Firewall Active Directory マルチファクター認証
  86. 86. パブリック クラウド オンプレミス (プライベート クラウド) 社内 PC 個人 PC, Tablet Web Service Web Service Web Service
  87. 87. “同じこと”はできません
  88. 88. IdM as a Service(IDMaaS) IdMaaS Web Service Web Service Web Service Active Directory
  89. 89. IT ガバナンス的課題 インフラストラクチャー的課題 クラウド化 上を解決するための前提条件
  90. 90. セキュリティ ドメイン外 パ ブ リ ッ ク ク ラ ウ ド オ ン プ レ ミ ス セキュリティドメイン IaaS の活用と VPN による接続 IaaS/SaaS/PaaS との連携 企業間連携 外部 IdP との連携 セキュリティドメイン Enterprise BYOD セキュリティ ドメイン内
  91. 91. Intern et Site to Site 接続 Microsoft Azure Software Load Balancer Intern et Microsoft Azure Software Load Balancer Cloud Service AD FS Cloud Service Cloud Service SaaS WS-Fed. 信頼関係 VPN Gateway VPN Device
  92. 92. • 少なくとも以下の 3 種類のサーバーを配置する • AD DS & DNS • AD FS • Web Application Proxy • それぞれのサーバーは個別のクラウドサービスに所属させる • それぞれのサーバーは少なくとも2台で構成し、2台は同じ可用性セットに所属させる • AD FS と Web Application Proxy は負荷分散セットを構成することで VIP に対してロードバランスが可能になる Point インターネットからの認証要求を受け入れる場合、AD DS および AD FS を直接インターネット に公開するのではなく、Web Application Proxy を介することで安全性を高められる。 Point クラウドサービス単位にパブリックなIPアドレス(VIP)が1つ付与される Point 可用性セットを構成することで、障害やメンテナンスにより2台が同時にダウンすることを防ぐことができる(SLA 99.95) Point 仮想ネットワーク上のローカル IP アドレス(DIP)はロードバランスを構成できないため、VIP側でロードバランスする必要がある
  93. 93. • 障害ドメイン:ハードウェア障害やハードウェアメンテナンスの影響を同時に受ける可能性のある集合体 ※ 一般的にはラック単位であると言われている • 可用性セット:障害ドメインの影響を同時に受けないインスタンス群 ※可用性セットを構成することで SLA 99.95 %を実現 Fabric Controller Power Definition Unit Top of Rack Switches Node Node Node Node Node Node Node Node 障害ドメイン 可用性セット インスタンス (仮想マシン) ラック ラック ラック ラック
  94. 94. Vendor Device family Minimum OS version Configuration template for static routing (policy-based) Configuration template for dynamic routing (route-based) [Preview] Cisco ASA 8.3 Cisco ASA templates Not compatible Cisco ASR IOS 15.1 (static) IOS 15.2 (dynamic) Cisco ASR templates Cisco ASR templates Cisco ISR IOS 15.0 (static) IOS 15.1 (dynamic) Cisco ISR templates Cisco ISR templates Juniper SRX JunOS 10.2 (static) JunOS 11.4 (dynamic) Juniper SRX templates Juniper SRX templates Juniper J-Series JunOS 10.4r9 (static) JunOS 11.4 (dynamic) Juniper J-series templates Juniper J-series templates Juniper ISG ScreenOS 6.3 (static and dynamic) Juniper ISG templates Juniper ISG templates Juniper SSG ScreenOS 6.2 (static and dynamic) Juniper SSG templates Juniper SSG templates Watchguard All Fireware XTM v11.x Configuration instructions Not compatible F5 BIG-IP series N/A Configuration instructions Not compatible Citrix CloudBridge MPX appliance or VPX virtual appliance N/A Integration instructions Not compatible Microsoft Routing and Remote Access Service Windows Server 2012 Not compatible Routing and Remote Access Service templates http://msdn.microsoft.com/en-us/library/windowsazure/jj156075.aspx
  95. 95. クラウドサービス hogehoge 仮想 マシン Server1 仮想 マシン Server2 仮想 マシン Server3 Azure 仮想ネットワーク VPN GW • 仮想マシンはクラウドサービスでグルーピング可能 • クラウドサービスにはインターネット上から一意に 識別可能なDNS名が付与される hogehoge.cloudservice.com • 仮想マシンにはホスト名が割り当てられる • 仮想ネットワークを構成することで、ホスト名を使 用した通信が可能 • オンプレミスとサイト間接続することで、企業ネッ トワークとの通信も可能
  96. 96. クラウドサービス hogehoge 仮想 マシン Server1 仮想 マシン Server2 仮想 マシン Server3 Azure 仮想ネットワーク VPN GW DNS名:hogehoge.cloudservice.com VIP xxx.xxx.xxx.xxx DIP DIP DIP • クラウドサービスのDNS名にはパブリックなIPア ドレス VIP が割り当てられる • 仮想ネットワークを構成するとDHCPサービスが 自動的に設置され、各仮想マシンに DIP を割り当 てる • DIP は動的に割り当てられるが仮想マシンを廃棄 するまで固定される • Azure SDK PowerShell コマンドレットを使用すれ ば静的なアドレスに変更可能
  97. 97. VIPが付与されるタイミング • Cloud Service 内にインスタンスが作成されたとき VIP がリリースされるタイミング • Cloud Service 内のすべてのインスタンスが削除された場合  手動で削除した場合  フォールトドメインが故障した場合  フォールトドメインがメンテナンスされた場合 リリースされないようにするには • 少なくとも1つのインスタンスを維持する  全てのインスタンスを同時に削除しない  可用性セットを設定し、フォールトドメインの影響を最小限にする
  98. 98. クラウドサービス hogehoge 仮想 マシン Server1 仮想 マシン Server2 仮想 マシン Server3 Azure 仮想ネットワーク VPN GW DNS名:hogehoge.cloudservice.com VIP xxx.xxx.xxx.xxx DIP DIP DIP 既定のDNS サーバー 独自のDNS サーバー • 仮想ネットワークを構成すると、既定のDNSサー バーが設置され、外部/内部DNSサーバーとなる (DIP は外部に公開されないのでご安心を) 。 • 仮想マシンにDNSサーバーをインストールし、これ を仮想ネットワーク上のDNSサーバーとして利用す ることも可能。その場合、既定の DNS サーバーは外 部 DNS サーバーとして利用される • Active Directory Domain Service をIaaS 上に構成する 場合には、独自のDNSサーバーが必須 ADドメイン内 の名前解決 外部DNS サーバー
  99. 99. クラウドサービス hogehoge 仮想 マシン Server1 仮想 マシン Server2 仮想 マシン Server3 DNS名:hogehoge.cloudservice.com VIP xxx.xxx.xxx.xxx • 仮想マシン単位にポートを公開することができる • 公開はローカルポートとパブリックポートのマッ ピング方式 • パブリックポートはクラウドサービス内で一意で ある必要がある ※ 例えば Server1 が ローカルポート443をパブ リックポート443で公開したら、他のサーバーは ポート番号を変えて公開しなければならない • 同じポート番号で公開するには、「負荷分散セッ ト」を構成するか、異なるクラウドサービスに所 属させる必要がある 443 443 443 443 444 445 3389 50219 50220 50221 3389 3389
  100. 100. 仮想 マシン Server1 仮想 マシン Server2 仮想 マシン Server3 Azure 仮想ネットワーク VPN GW DNS名:hogehoge.cloudservice.com VIP xxx.xxx.xxx.xxx DIP DIP DIP • VIP に負荷分散セットを構成することで、仮想マシンの ロードバランスが可能 • 負荷分散セットはポート単位(例 HTTPS)に定義でき る • 同じ負荷分散セットに所属できるのは同じクラウド サービス内の仮想マシン • 同じクラウドサービス内にある仮想マシンだからと いって、強制的に負荷分散セットのメンバーになるわ けではない(手動で構成する必要がある) 負荷分散セット HTTPS • DIP は負荷分散構成ができない(Windows 標準の NLB を使用できない) • 単純な DNS ラウンドロビンは可能 負荷分散セット FTP
  101. 101. AD FS Internet Internet Site to Site 接続 Microsoft Azure Software Load Balancer Microsoft Azure Software Load Balancer VIP VIP DIP DIP DIP DIP Cloud Service Cloud Service Cloud Service DIP DIP AD DSはロードバラ ンスの必要が無い
  102. 102. 同じクラウドサービス内の仮想マシン
  103. 103. 例えば、AD FS にアクセスするサーバーを制限する場合は、HTTPSに対して以下の 2 種類のサーバー を許可する • Web Application Proxy(AD FS Proxy) • Relying Party(証明書利用者信頼) • ACL を設定することでクラウドサービスにアクセス可能なIPアドレスを制限できる • ポート番号単位に ACL を設定できる
  104. 104. Internet Site to Site VPN 接続 Microsoft Azure Software Load Balancer VIP DIP DIP DIP DIP Internet Microsoft Azure Software Load Balancer VIP Cloud Service AD FS Cloud Service Cloud Service ACL Rules AD FS は全力で守る! DIP DIP
  105. 105. • IP アドレス  DHCP のまま利用(IaaS 上では静的IPアドレスは使用できない)  一度リースされたアドレスは VM が廃棄されない限り永続される • DNS  AD DS と同時に DNS もインストール  Virtual Network に当該 DNS を設定する  Microsoft Azure の内部 DNS は使用できない • DISK  C: OS  D: テンポラリ  E:~ • 通信課金について  課金対象は Azure → オンプレミス 方向のみ  RODC(Read-Only Domain Controller)→ DC への通信は発生しない 自身で追加し、 キャッシュをオフ 既定のディスク Active Directory のデータベース用ディスク として使用
  106. 106. 読み取り専用のドメインコントローラー • 通常のドメインコントローラーからの複製ターゲットを選択できる • PII(Personally identifiable information)をフィルタ • パスワード同期の要否を選択可能 • 認証したユーザーのパスワードはキャッシュされる • パスワード同期を無効にした場合、 Site-to-Site VPN ダウン時には認証が不可 • [RODC] → [通常のDC] 方向の複製は発生しない • DC 間複製の通信課金 0 複 製 フ ィ ル タ ー RWDC RODC 必要最小限の 情報のみ複製 Read Only
  107. 107. DIP DIP Azure VNET • Virtual Network は独立したサブネットとする • Virtual Network ごとにサイト作成 • サイト間の複製間隔を調整 JapanEastRegion 複 製サイト DIP DIP Azure VNET JapanWestRegion サイト サイト
  108. 108. • Active Directory 認証が必要なサービスを IaaS に展開するとき • SharePoint Server • SQL Server • Oracle • その他 認証が必要な WEB サービス 等 is better than

×