Azure AD Webinar session 2-4 https://aka.ms/AzureADWebinar

1. Azure AD Webinar シリーズ #9
Azure AD の
SaaS 認証への活用
Azure Active Directory Customer Success Team

2. • 開発チームのメンバーがお届けする日本語の Webinar
(グローバルで展開されている Webinar の日本語版)
• Azure AD の基礎 (L100–200) のうち特に重要でかつ
見落としやすいトピックをピックアップ

3. 今後のスケジュール、これまでの録画・資料等がまとまっています
今日の資料もこちらからダウンロードできます
http://aka.ms/AzureAdWebinar
いますぐブックマークに ご登録ください！

4. 13:30-14:00 プレゼンテーション
→ この間に質問を投稿ください
14:00-14:15 Q&A
→ 投稿いただいた質問に可能な限りお答えします
時間の使い方
こちらをブックマーク → http://aka.ms/AzureAdWebinar
本日の資料 URL : http://aka.ms/AzureAdWebinar

5. Azure AD の SaaS 連携のメリットと方法を理解する
13:30-14:00: Presentation
1. Azure AD の SaaS 連携はどうしてうれしいか？
2. どのように連携を行えばよいか？

8. 1. Office 365 やオンプレミスのアプリケーションとの SSO が実現でき便利
2. ID の自動的なプロビジョニングが簡単に実装できる
3. SaaS に対しても同じレベルのセキュリティを実装できる

10. アカウント
自動プロビジョニング
• アカウント自動プロビジョニングについて
https://docs.microsoft.com/ja-jp/azure/active-
directory/active-directory-saas-app-provisioning
• プロビジョニングサポートのアプリへの追加方法
https://docs.microsoft.com/ja-jp/azure/active-
directory/active-directory-scim-provisioning

11. Microsoft Cloud
3rd Party SaaS Apps
On Premises Apps
Microsoft Azure
Prevent data leak
Disable print
Restrict download
Enforce MFA
Block sign-in
Allow sign-in
Access Control
Restrictions
OS Platform
Is Compliant / Domain joined
Is lost or stolen
Device Risk
Device
User identity
Group membership
Session Risk
User
Mobile or Cloud app
Per app policy
App
Location
IP range
ApplicationsPolicy ControlsPolicy Conditions
Windows
Defender
Azure AD
Identity
Protection
Service
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-conditional-access-azure-portal

12. Salesforceのアクセスポリシー
例: 社外からのアクセスは多要素認証を強制
AWSのアクセスポリシー
例: 社外からのアクセスはブロックする
Exchange Online のアクセスポリシー
例: 管理されたデバイスからのみ許可
Azure AD のログ機能を利用可能
SaaS への SSO 許可/拒否はユーザー/グループ毎に可能
Azure AD に搭載されている高度な認証セキュリティ機能を利用可能

13. Salesforceのアクセスポリシー
例: 社外からのアクセスは多要素認証を強制
AWSのアクセスポリシー
例: 社外からのアクセスはブロックする
Exchange Online のアクセスポリシー
例: 管理されたデバイスからのみ許可
Azure AD のログ機能を利用可能
SaaS への SSO 許可/拒否はユーザー/グループ毎に可能
Azure AD に搭載されている高度な認証セキュリティ機能を利用可能

14. Azure AD との連携には他にも以下のようなメリットがある
• Access Panel を利用可能
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-saas-access-panel-introduction
• 連携手順が簡単 (ギャラリーの載っているアプリには連携手順書が用意されている)
• セルフサービスでアプリへのアクセス許可を申請
https://docs.microsoft.com/ja-jp/azure/active-directory/application-access-panel-self-service-applications-how-to
• 将来的なインフラ変更インパクトを軽減
例 : ADFSの更新プログラム適用・アップグレード、フェデレーションからパスワードハッシュ同期への変更等

15. アクセスパネル
スマホ/モバイル PC
ID の同期 + パスワードハッシュの同期
認証連携
(SAML/OIDC/WS-Fed)
ID 自動プロビジョニング
各種セキュリティ機能
SaaS アプリケーション

16. アクセスパネル
スマホ/モバイル PC
ID の同期
認証連携
(WS-Fed/SAML)
認証連携
(SAML/OIDC/WS-Fed)
ID 自動プロビジョニング
各種セキュリティ機能
SaaS アプリケーション

17. ギャラリーの確認
連携対象ユーザー
/グループの選定 シングルサインオンの設定
プロビジョニング設定
(Option)
セルフサービス設定
(Option)

18. • まずは連携したい SaaS アプリケーションが App Gallery に存在するか確認

19. https://aka.ms/aadgalleryinfo
• Application Gallery に載ることによるメリットとは？
• ギャラリーに載っていることにより 「多くの人に使われているアプリなんだ」 と認識される
• Azure AD ライセンス SKU に関係なく認証連携が出来るようになる
• マイクロソフトによる連携テストが実施され、その際に生成された手順書も公開される
• Application Gallery に載せるには？

20. • ここで設定したユーザー/グループのみが連携対象となる

21. [NEW]
• SaaS アプリオーナーに Azure AD 連携を任せるための設定
所有者に設定されているアプリのビュー
アプリの設定は可能
それ以外のことは出来ない
担当外のアプリは触れない

22. • シングルサインオンのモードは複数存在
• SAML ベースのシングルサインオン (今回のセッションはこちらにフォーカス)
• パスワードベースのサインオン
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-appssoaccess-
whatis#password-based-single-sign-on
• Open ID Connect 連携
https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-v2-protocols-oidc

23. [NEW]
• 新しいステップ・バイ・ステップのシングルサインオン構成画面

24. • 自動プロビジョニングが設定可能な場合には以下の設定を実施
• エラー通知用メールアドレス設定

25. • プロビジョニング時に同期する属性の設定を変更可能

26. • エンドユーザーによるセルフサービスでのアプリ利用申請機能を設定可能

27. myapps.microsoft.com

28. myapps.microsoft.com

30. A. 必須ではないが、Azure AD Premium を保持している場合には出来ることの幅が広がる
• 認証連携可能 (=Access Panel に表示できる) な SaaS Application 個数制限がなくなる
(Free の SKU では SaaS App 10 個までしか連携できない)
• Azure AD 上の SaaS 認証設定において、グループを指定したアプリケーションのユーザーへの割り当てが可能
Azure AD Premium を保持しないユーザーに SaaS 割り当てを行う場合にはユーザーオブジェクトを追加する必要
がある
• Azure AD ギャラリーに存在しない SaaS アプリとの認証連携が出来る
• クレームマッピングの変更ができない
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-claims-mapping
上記クレームマッピング変更機能については現在 Public Preview であり、Azure AD Premium ライセンスを必要とする機能の
範囲については正式リリース時に発表される。現時点では制約がかかる可能性があるということを考慮する必要がある。
• Azure AD Premium の持つセキュリティ機能を使うことができる
条件付きアクセス、Azure MFA による多要素認証、不正アクセスの検知/レポーティング など

31. • アプリケーション設定が正しくできているか？確認ポイント
• 設定モードが正しく選択、セットされているか (SP vs IdP initiated)
• 同一サービス上の複数インスタンス構成による Identifier 設定ミスをしていないか
• Azure AD でアクティブなトークン署名証明書と SaaS 側に保持している証明書が一致しているか
• エンドポイント設定が正しいか (Reply URL/Login URL)
• SaaS 側が指定するクレームフォーマットの通り SAML Response 内の属性がセットされているか
• Azure AD での呼び名と一般的な呼び名に違いがあるものがあるので注意
SaaS Providers Azure Active Directory
SSO Server URL Remote Login URL
Entity ID Identifier
Assertion Consumer Service (ACS) Reply URL
AssertionIssuer Issuer URL
SSOLogoutRedirectPage Single Sign-Out Service URL
ResponseAttribute NameID Claim name

32. • 正しくテストユーザーを用意できているか？確認ポイント
• SaaS 側にユーザーが存在しているか/プロビジョニングが正しく実施できているか
• ユーザーが Azure AD 上でアプリケーションにアサインされているか確認
• 正しい NameID を送付しているか
• NameID の大文字/小文字の区別はないか？
• yKODAMA@contoso.com vs ykodama@contoso.com

33. • Fiddler
• https://www.telerik.com/fiddler
• SAML Tracer
• Firefox の Add-on
• SAML にフォーカス
• https://www.telerik.com/fiddler

35. ID の同期
② IdP 選択
⑤ 認証
⑦ 追加のセキュリティ検証
• 条件付きアクセスによるアクセス制御
• 多要素認証の実施
フェデレーション設定フェデレーション設定

36. • 症状の切り分け方法
• 1st Party の認証を済ませ Azure AD のセッショントークンを取得しておく
ID の同期
① 1st Party のアプリへアクセス
④ SP-Initiated SSO 試行
② SAML リクエスト認証
③ SAML レスポンス
アクセスパネル
⑤ SAML リクエスト
• User Not Assigned
• Wrong Identifier (multi-instances)
• Wrong Reply URL
• Wrong SAML request format
図の表現上複数アイコンがありますが、同じ端末を指しています。

37. • 症状の切り分け方法
• 1st Party の認証を済ませ Azure AD のセッショントークンを取得しておく
ID の同期
① 1st Party のアプリへアクセス
④ SP-Initiated SSO 試行
② SAML リクエスト認証
③ SAML レスポンス
アクセスパネル
⑤ SAML リクエスト
⑥ SAML レスポンス
• Wrong Reply URL
• Cert not matching
• NameID not matching
• Missing required claims
• User not provisioned
• Application not consuming the response correctly図の表現上複数アイコンがありますが、同じ端末を指しています。

38. 1. Office 365 やオンプレミスのアプリケーションとの SSO が実現でき便利
2. ID の自動的なプロビジョニングが簡単に実装できる
3. SaaS に対しても同じレベルのセキュリティを実装できる

39. Resources
Resources
http://aka.ms/azureadpdeploy
http://aadappgallery.azurewebsites.net/
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-saas-tutorial-list
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-appssoaccess-whatis
https://blogs.technet.microsoft.com/enterprisemobility/tag/mailbag/
http://aka.ms/aadwebinars

40. http://aka.ms/emsblog/
https://blogs.technet.microsoft.com/jpazureid
http://aka.ms/aadtips
Azure AD 担当者がフォローするべき情報ソース

41. 日程 (仮) トピック
8/30(木)
13:30-14:15
Azure Active Directory 利用開始への第一歩
Getting Ready for Azure AD
9/13(木)
13:30-14:15
IP ベースのアクセス制御からの脱却してよりセキュアな環境を構築しよう
Implement zero trust security using device based conditional
9/27(木)
13:30-14:15
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Key things O365 administrators must do for securing corporate identity
10/11(金)
13:30-14:15
Azure AD の SaaS アプリケーション認証への活用
Utilize Azure AD for 3rp Party app authentication
10/25(木)
13:30-14:15
Azure AD で実現するスムーズな外部パートナー協業
Accelerate partner collaboration through Azure AD
今後のWebinar予定
http://aka.ms/AzureAdWebinar

42. Thank you!