System Center Users Group Japan 第13回登壇資料

1. System Center User Group Japan
第13回 勉強会
ADFS With Cloud Service
～シングルサインオン最新手法～
2015.09.12

2. 自己紹介
2
宮川 麻里 (Mari Miyakawa）
MCT (Microsoft Certificate Trainer)
MVP (Most Valuable Professional for Office 365)
㈱IPイノベーションズにて以下の研修を主に担当
Windows Server / Active Directory
Office 365 / Microsoft Azure
http://www.ipii.co.jp
System Center User Group Japan 所属

3. ADFS のおさらい
3

4. ADFS とは
4
認証されたユーザーに（クレームセットを含む）セキュリティトークン
を発行する。
クレームのルールを管理する。
Active Directory Federation Service
By Microsoft Technet

5. ADFSとは
5
ADDS
ファイルサーバー
認証
①
TGT
受取
②
TGT
提示し
ST受け
取り
③
④ ST提示してサーバーへ
アクセス
Active Directoryによる認証と認可の動き

6. ADFSとは
6
ADDS ADFS
認証
①ADDSで認証される。
認証結果
②認証結果を確認するとADFSがトークンを受け渡す。
トークンの提示
①
②
③
③トークンを提示して該当するアプリケーションにアクセス。
トークンの受渡
（セキュリティ）トークン
クレーム
クレーム
クレーム
署名
クレーム
ユーザーID
資格情報
役職
部署
…

7. ADFS の構成
7

8. ADFSの構成
8
CP RP
Claim Provider Relying Party
なにで認証するか トークンを利用する場所
※Winodws Server 2012 R2
要求プロバイダ信頼 証明書利用者信頼

9. ADFSの構成
9
CP
RP
Microsoft Office 365
Identity Platform
要求プロバイダ信頼
証明書利用者信頼
Active Directory

10. トークン受け渡しの制御方法
10

11. トークン受け渡しの制御方法
11
クレームルール
多要素認証

12. クレームルール
12
クレームルール = 要求規則
受信したクレームにさまざまな条件を付与
ユーザーアクセスの許可・拒否の承認

13. クレームの管理
13
クレームルール : クレームを定義する３種類のルール（規則）
受付
発行承認規則 発行変換規則
ADFS
受け付け変換規則
承認 発行
ADFS
CP RP RP
AD等から収集したクレーム
を集めてセキュリティトークン
を生成
トークンの発行を許可するか
拒否するかを評価する
利用するアプリ用に
トークンを変換する
① ② ③

14. クレームの管理
14
受け付け変換規則
[要求プロバイダー信頼]から構成
この値が証明書利用者信頼に渡す値
①
元々ある10個の属性は削除禁止！

15. クレームの管理
15
発行承認規則
次の処理「発行変換規則」へ行くか拒否かを判断。
既定では[すべてのユーザーにアクセスを許可]
[証明書利用者信頼]から構成
②

16. クレームの管理
16
発行変換規則
[証明書利用者信頼]から構成
③
「受付変換規則」で作成したトークンの中の
クレームの取り扱い
（そのまま受け渡し？一部変更？）
などを定義

17. クレームルール言語
17
クレームルールの定義方法は2種類
要求規則テンプレート
カスタムルールを定義
あらかじめ用意されているテンプレート
テンプレートにないものを作成

18. クレームルール言語（テンプレート利用例）
18
たとえば [ 営業部 ] だけセキュリティトークンを発行する
受付変換規則
発行承認規則
発行変換規則
要求記述 ① [部署]を追加
②トークンには氏名やメールアドレスもいれてみる
③ [部署]以外を制限
④氏名・メールアドレス・部署を定義

19. ＤＥＭＯ
19

20. カスタムリストを利用したクレーム言語
20
要求規則言語を直接記入する
より複雑な発行処理が可能

21. カスタムリストを利用したクレーム言語
21
●すべての条件がTrueだったら発行部へ
カスタムルールの構造
条件部 発行部
条件文
条件文
条件文
…
●条件無し → 無条件で[True]とする
発行文
True
●発行するトークンの種類、
属性・値のチェック

22. カスタムリストを利用したクレーム言語
22
カスタムルール
発行部
条件部
クレーム言語が表示できる
ので参考になります

23. カスタムリストを利用したクレーム言語
23
カスタムルール例①
[Type = =“title”,Value = = “課長”]
=>issue(type = “Role”,value = “Leader”);
Titleというクレームに「課長」が入っていたら、
Roleというクレームには「Leader」という値を入れて発行してね

24. カスタムリストを利用したクレーム言語
24
カスタムルール例②
C1:type = =“title”,Value = = “課長”]＆＆
=>issue(type = “Role”,value =c2.value + c1.value);
Titleというクレームに「課長」が入っていて、
departmentというクレームに「Sales」が入っていたら
Roleには2つの値を両方入れてクレームを発行してね
C2:type = =“department”,Value = = “Sales”]

25. 多要素認証
25

26. 多要素認証
26
通常の認証にさらに別の要素を加えて認証を強化

27. 多要素認証
27
ADFSにおける多要素認証
② Azure Active Directory の多要素認証を使う
① ADFS 本体が持っている多要素認証
2種類の実装方法

28. 多要素認証
28
①ADFS本体の多要素認証
証明書による多要素認証
適正な証明書をもっているか
確認できたらトークン発行

29. 多要素認証
29
②Azure Active Directoryの多要素認証を使う
オンプレミスサーバーへMFAServerをインストール
Azure AD Premium

30. 多要素認証
30
②Azure Active Directoryの多要素認証を使う
・誰に対して
・登録されたデバイスを使用しているか？
・社内から？社外から？
Azure AD Premium
Powershell +クレームルールで
さらに柔軟な設定も可能
多要素認証を利用させるための条件設定

31. 多要素認証
31
②Azure Active Directoryの多要素認証を ADFS で使う
モバイルアプリ 通話 SMS
ワンタイムパスワード
多要素認証に利用できる手段が増える
モバイルアプリ 通話 SMS
ワンタイムパスワード
Azure AD Premium

32. Azure AD Connect
32
Azure AD Connect Health
による ADFS の構成と監視

33. AADConnect
33
ディレクトリ同期
ADFSの構成
ADFS監視
DirSync
AADSync
ADFS
FIM+Azure AD
Connector
AADConnect
AADConnect Health
従来の機能
軽量、高速、シンプルなソリューション

34. （参考)ディレクトリ同期ツールの変革
34
DirSync AADSync AAD Connect
ディレクトリ同期を行うためのツール
Office 365
管理ポータル
2015.09上旬現在
Microsoft
Download Center
Microsoft
Download Center
アップグレード終了のお知らせ

35. AADConnect
35
従来の方法でOffice 365へのSSOをADFSへ構成するには・・・
ADFSインストール
ディレクト同期
Convert-MsolDomainToFederatedでADFSを有効化
証明書・サービスアカウント準備・ドメイン登録・DNS設定
フェデレーションドメインを構成
ADFS構成

36. AADConnect
36AADConnectが実施する範囲
ADFSインストール
ディレクト同期
証明書・サービスアカウント準備・ドメイン登録・DNS設定
フェデレーションIDを構成
ADFS構成

37. AADConnect
37
Microsoft Download センター
機能要件
Windows Server 2008, Windows Server 2008 R2, Windows Server 2012,
Windows Server 2012 R2

38. AADConnect
38
インストール
ディレクトリ同期のみADFSも構成

39. AADConnect
39
Synchronization Service Manager
でフィルタリングした同期処理も可能
Miisclient.exe

40. AADConnect
40
ADDS AADConnect
LDAP Directory
Coming Soon
（予定） Active Directory 以外のID
ストアの同期もサポート（予定）
ADFS

41. AzureAD Connect Health
41
AzureAD Premium 必要
Azure新ポータル-MarketPlace – セキュリティ＋ID

42. 42
AzureAD Premium 必要
AzureAD Connect Health
エージェントをここからダウンロードして
ADFS へインストール
エージェントが情報を収集してAzure ADへ送る

43. 43
AzureAD Connect Health
収集された情報をAzure
上で確認
AzureAD Premium 必要

44. ADFS On Windows Server 2016
44
Technical Preview 3
2015/8/20 リリース

45. ADFS on Window Server 2016の 新機能
45
LDAP v3 ディレクトリからの認証
OpenID Connect
access control policies の GUI 改良
多数のアップデートの中から、以下をピックアップ

46. LDAP v3 ディレクトリからの認証

47. SQL
Server
LDAP V3 Directory からの認証
47
ADFS
Office 365
Active Directory
SaaS
Azure
AD
LDS
Windows Server 2012 R2 時代に対応していた認証ストア

48. SQL
Server
LDAP V3 Directory からの認証
48
ADFS
Office 365
LDAP Directory
Active Directory
SaaS
Azure
Apach
DS
Open
LDAP
AD
LDS
Windows Server 2016 TP3では増加

49. LDAP Directory からの認証
49
Office 365LDAP Directory への接続の構成
New-AdfsLdapServerConnection
クレーム属性とのマッピング
New-AdfsLdapAttributeToClaimMapping
ローカルクレームプロバイダの登録
Add-AdfsLocalClaimsProviderTrust
https://technet.microsoft.com/ja-jp/library/dn823754.aspx

50. Open ID Connect のサポート

51. 51
OpenID Connect
oAuth2.0をベースに認証やセッション管理ができるように拡張したプロトコル
OpenID
1.0
OpenID
2.0
OpenID
Connect
oAuth2.0
oAuth
1.0
OpenID 2.0・・・Webアプリ間でのアカウント連携
oAuth 2.0・・・・WebアプリとNativeアプリ間とのAPI連携
2015.04.20
OpenID 2.0 サポート終了
OpenID Connect へ

52. 52
ADFS
Office 365
OpenID Connect のサポート
WS-Federation/SAML
OpenID Connect
ADFSからクラウドサービスへの接続
エンド
ポイント
API

53. 53
ADFS
OpenID Connect のサポート
ADFS Management [Application Groups]へアプリケーションの登録
App
PowerShellのみでなく
GUIでも登録可能に！

54. Access Contorol Policies

55. Access Contorol Policies
55
認証方法の詳細をGUIにて構成可能
・接続場所（NetWork）制限
・利用デバイス制限
・クレームリクエスト
・多要素認証
など

56. まとめ
56
クラウドサービスとの連携において、より扱いやすいように進化しています。
ADFSはWindows Server 2016で不要になったわけではありません。
ぜひご活用下さい。