Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
クラウドでのディレクトリ構築 
〜~ Active Directory 連携 
Amazon Data Services Japan株式会社 
⻄西⽇日本担当 Solution Architect 辻 義⼀一
ディレクトリとは 
! ユーザに関わる各種情報を保管する仕組み 
• ユーザ名 
• 姓・名、部署、電話番号 
• メールアドレス 
• パスワード 
• グループ 
など 
! ツリー状の構成とする事が多いことから、 
ディレクトリと呼ばれる...
WorkSpacesのディレクトリ選択肢 
Cloud 
Directory 
フルマネージドのディレクトリ サービス 
WorkSpaces用に独立したドメインを作成 
Connect 
Directory 
既存のディレクトリに接続 
オン...
1 Cloud Directory
Cloud Directory 
! フルマネージド型のディレクトリサービス 
! WorkSpaces/Zocalo⽤用でAWSだけで完結 
! 以下の情報をWebで指定するだけで簡単作成 
• 組織名(AWS全体でユニークな名前) 
• デ...
作成されるCloud Directory環境 
! Active Directory互換のディレクトリ環境 
! Multi-‐‑‒AZ構成でVPC内の2つのサブネットに設置される 
• ドメインコントローラ・DNSサーバとして機能する。 
•...
Cloud Directoryのネットワーク接続 
プライベートサブネット 
アベイラビリティゾーン 
WorkSpaces 
APIエンドポイント 
Public IP 
Public IP 
個別ユーザの 
WorkSpace 
PCoIP...
ユーザ管理理 
! Management ConsoleのWorkSpacesから 
• ユーザの追加 
• ユーザの姓・名・メールアドレス変更更 
! Windows上にリモートサーバ管理理ツールをインストールして 
• ユーザの追加 
• ...
Security Group 
! デフォルトで設定されるSecurity Groupと 
追加で指定できるSecurity Groupがある 
• ドメインコントローラ⽤用 
⎼ ⾃自動作成:directory id_̲controllers...
ディレクトリ設定 
! Organizational Unit(OU)設定 
• WorkSpaceのコンピュータアカウントが作成されるOUを指定 
• デフォルトではComputersコンテナに作成される 
! Security Group設...
2 Connect Directory
Connect Directory 
! 既存のActive Directoryと接続して、Active Directoryの 
ユーザでWorkSpaces/Zocaloでの認証を⾏行行える仕組み 
! メリットがいろいろ 
• 社内のPCと...
Connect Directoryの必要要件 
! Amazon VPC 
• インターネット ゲートウェイ 
• オンプレミス上のActive Directoryと連携させる場合、 
VPN接続またはDirect Connect接続 
! ド...
作成されるConnect Directory環境 
! VPC内に認証⽤用のプロキシが作成される 
! Multi-‐‑‒AZ構成でVPC内の2つのサブネットに設置される 
Connect Directory 
サブネット 
アベイラビリティゾ...
Connect Directoryのネットワーク接続 
プライベートサブネット 
アベイラビリティゾーン A 
WorkSpaces 
ネットワーク 
VPN接続 
Public IP 
Public IP 
オンプレミス 
個別ユーザWork...
ユーザ管理理 
! これまでのActive Directoryのユーザ管理理と同じ 
• Management ConsoleのWorkSpacesからは⾏行行えない 
• WorkSpaces Clientのパスワードリセット機能は使えない
ディレクトリ設定 
! ドメイン・Organizational Unit(OU)設定 
! Security Group設定 
! Active Directoryへの接続に使⽤用するユーザ設定 
! Multi-‐‑‒Factor Authe...
3 Multi-‐‑‒Factor Authentication
多要素認証 Multi-‐‑‒Factor Authentication(MFA) 
! Connect Directoryで利利⽤用可能 
! RADIUSサーバーを経由したMFAに対応 
• ワンタイムパスワード等に対応 
• スマートカー...
(例例) Google Authenticatorを使った⽅方法 
! スマートフォンに無料料でインストールできる 
Google Authenticatorをソフトウェアトークンとして利利⽤用 
! 仮想マシンEC2にオープンソースのFree...
Demo 
! ADでユーザ作成し、そのユーザにWorkSpaceを作成 
! スマホのGoogle Authenticatorで2要素認証してログイン
認証の流流れ -‐‑‒ 1 
! デバイスで初めて使う時、 
招待メールに記載されていた 
登録コードを⼊入⼒力力します。
認証の流流れ -‐‑‒ 2 
! Active Directoryで使っているのと 
同じユーザ名とパスワード 
を⼊入⼒力力します。
認証の流流れ -‐‑‒ 3 
! トークンに表⽰示されている 
ワンタイムパスワードを 
確認して⼊入⼒力力します。
まとめ 
! Cloud Directory 
• ⾃自社にActive Directoryが無いユーザー向け 
• ディレクトリの管理理はAWSにお任せ 
• すぐにWorkSpacesを使いたい場合に利利⽤用 
! Connect Dire...
Tips – ソフトウェア配布 
! WSUSを使ってWindowsパッチ適⽤用を管理理 
! グループポリシーを使ったアプリ配布(.msi / .zap) 
http://docs.aws.amazon.com/workspaces/late...
Tips – デフォルトのWorkSpace環境 
! WorkSpaceには主に以下の内容のポリシーがデフォルトで 
適⽤用済み 
• コンピューターの構成 
-‐‑‒ 管理理⽤用テンプレート 
-‐‑‒ Windows コンポーネント 
-...
Tips – Cloud Directoryの管理理⽅方法 
! Cloud Directoryのドメインに参加するEC2インスタンスを 
作成して、Active Directory管理理ツールを使⽤用する。 
• EC2インスタンスのネットワ...
2014.09.11 よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」
Upcoming SlideShare
Loading in …5
×

2014.09.11 よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」

3,258 views

Published on

2014.09.11にアマゾン大阪支社で開催した、よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」セミナーのプレゼン資料です。

Published in: Internet
  • Be the first to comment

2014.09.11 よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」

  1. 1. クラウドでのディレクトリ構築 〜~ Active Directory 連携 Amazon Data Services Japan株式会社 ⻄西⽇日本担当 Solution Architect 辻 義⼀一
  2. 2. ディレクトリとは ! ユーザに関わる各種情報を保管する仕組み • ユーザ名 • 姓・名、部署、電話番号 • メールアドレス • パスワード • グループ など ! ツリー状の構成とする事が多いことから、 ディレクトリと呼ばれる。 ! 関連⽤用語:LDAP、Active Directory、OpenLDAP
  3. 3. WorkSpacesのディレクトリ選択肢 Cloud Directory フルマネージドのディレクトリ サービス WorkSpaces用に独立したドメインを作成 Connect Directory 既存のディレクトリに接続 オンプレミスまたはVPC上の Active Directoryドメインと連携
  4. 4. 1 Cloud Directory
  5. 5. Cloud Directory ! フルマネージド型のディレクトリサービス ! WorkSpaces/Zocalo⽤用でAWSだけで完結 ! 以下の情報をWebで指定するだけで簡単作成 • 組織名(AWS全体でユニークな名前) • ディレクトリDNS名 • NetBIOSドメイン名 • 管理理者パスワード • VPC • サブネット(アベイラビリティゾーンが異異なる2個以上) ! 簡単管理理、しかも無料料
  6. 6. 作成されるCloud Directory環境 ! Active Directory互換のディレクトリ環境 ! Multi-‐‑‒AZ構成でVPC内の2つのサブネットに設置される • ドメインコントローラ・DNSサーバとして機能する。 • コントローラはEC2インスタンスとして表⽰示されない。ENIは表⽰示される。 ! Active Directoryの管理理ツールから操作可能 例例) • Active Directory ユーザーとコンピュータ • グループポリシーの管理理 ドメインコントローラ (PCoIP⽤用のテンプレートあり) サブネット アベイラビリティゾーン -‐‑‒ A ドメインコントローラ サブネット アベイラビリティゾーン -‐‑‒ B
  7. 7. Cloud Directoryのネットワーク接続 プライベートサブネット アベイラビリティゾーン WorkSpaces APIエンドポイント Public IP Public IP 個別ユーザの WorkSpace PCoIP Cloud Directory ドメイン参加・ ドメインログオン 認証
  8. 8. ユーザ管理理 ! Management ConsoleのWorkSpacesから • ユーザの追加 • ユーザの姓・名・メールアドレス変更更 ! Windows上にリモートサーバ管理理ツールをインストールして • ユーザの追加 • ユーザの性・名・メールアドレス変更更 • ユーザの削除 • ユーザのパスワードリセット ! WorkSpaces Clientからユーザ ⾃自⾝身でパスワードリセットも
  9. 9. Security Group ! デフォルトで設定されるSecurity Groupと 追加で指定できるSecurity Groupがある • ドメインコントローラ⽤用 ⎼ ⾃自動作成:directory id_̲controllers • WorkSpace⽤用 ⎼ ⾃自動作成:directory id_̲workspacesMembers ⎼ 追加指定:名前は任意 ! Management ConsoleのEC2から確認及び設定変更更が可能 ! WorkSpaceがドメインにログオンできるように、 ドメインコントローラとの通信はデフォルトで許可済み
  10. 10. ディレクトリ設定 ! Organizational Unit(OU)設定 • WorkSpaceのコンピュータアカウントが作成されるOUを指定 • デフォルトではComputersコンテナに作成される ! Security Group設定 • WorkSpaceのVPC内ENIに適⽤用されるSecurity Groupを指定 • デフォルトのSecurity Groupに加えて設定される
  11. 11. 2 Connect Directory
  12. 12. Connect Directory ! 既存のActive Directoryと接続して、Active Directoryの ユーザでWorkSpaces/Zocaloでの認証を⾏行行える仕組み ! メリットがいろいろ • 社内のPCと同じユーザ名・パスワードを使⽤用できるので、 新しいユーザ名・パスワードを覚えずに済む。 • アカウントの管理理、パスワードのリセットなどの運⽤用が 追加にならないので、運⽤用コストを抑えられる。 • ファイルサーバなど既存のアクセス権をそのまま使える。
  13. 13. Connect Directoryの必要要件 ! Amazon VPC • インターネット ゲートウェイ • オンプレミス上のActive Directoryと連携させる場合、 VPN接続またはDirect Connect接続 ! ドメインアカウント • ユーザーとグループへの読み取り • コンピュータアカウントの作成 ! DNSサーバ(ドメインコントローラ)2台のIPアドレス ! Windows Server 2003以上の機能レベル
  14. 14. 作成されるConnect Directory環境 ! VPC内に認証⽤用のプロキシが作成される ! Multi-‐‑‒AZ構成でVPC内の2つのサブネットに設置される Connect Directory サブネット アベイラビリティゾーン -‐‑‒ A Connect Directory サブネット アベイラビリティゾーン -‐‑‒ B Direct Connect/ VPN接続 オンプレミス 社内AD ドメイン コントローラ
  15. 15. Connect Directoryのネットワーク接続 プライベートサブネット アベイラビリティゾーン A WorkSpaces ネットワーク VPN接続 Public IP Public IP オンプレミス 個別ユーザWorkSpace (社内AD参加) 社内AD PCoIP ユーザ情報確認 Connect Directory ドメイン参加・ ドメインログオン 認証
  16. 16. ユーザ管理理 ! これまでのActive Directoryのユーザ管理理と同じ • Management ConsoleのWorkSpacesからは⾏行行えない • WorkSpaces Clientのパスワードリセット機能は使えない
  17. 17. ディレクトリ設定 ! ドメイン・Organizational Unit(OU)設定 ! Security Group設定 ! Active Directoryへの接続に使⽤用するユーザ設定 ! Multi-‐‑‒Factor Authentication設定
  18. 18. 3 Multi-‐‑‒Factor Authentication
  19. 19. 多要素認証 Multi-‐‑‒Factor Authentication(MFA) ! Connect Directoryで利利⽤用可能 ! RADIUSサーバーを経由したMFAに対応 • ワンタイムパスワード等に対応 • スマートカードや証明書には未対応 • Symantec Validation and ID Protection Service (VIP) および Microsoft RADIUS Serverでテスト済 ! 既にお使いのワンタイムトークンがそのまま 使える可能性もあり
  20. 20. (例例) Google Authenticatorを使った⽅方法 ! スマートフォンに無料料でインストールできる Google Authenticatorをソフトウェアトークンとして利利⽤用 ! 仮想マシンEC2にオープンソースのFreeRADIUSと Google AuthenticatorのPAM(Pluggable Authentication Module)を連携させてRADIUSサーバを構築 ※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。
  21. 21. Demo ! ADでユーザ作成し、そのユーザにWorkSpaceを作成 ! スマホのGoogle Authenticatorで2要素認証してログイン
  22. 22. 認証の流流れ -‐‑‒ 1 ! デバイスで初めて使う時、 招待メールに記載されていた 登録コードを⼊入⼒力力します。
  23. 23. 認証の流流れ -‐‑‒ 2 ! Active Directoryで使っているのと 同じユーザ名とパスワード を⼊入⼒力力します。
  24. 24. 認証の流流れ -‐‑‒ 3 ! トークンに表⽰示されている ワンタイムパスワードを 確認して⼊入⼒力力します。
  25. 25. まとめ ! Cloud Directory • ⾃自社にActive Directoryが無いユーザー向け • ディレクトリの管理理はAWSにお任せ • すぐにWorkSpacesを使いたい場合に利利⽤用 ! Connect Directory • 社内のActive Directoryと連携 • 既存のユーザーやセキュリティグループによる権限付与 • 多要素認証を利利⽤用
  26. 26. Tips – ソフトウェア配布 ! WSUSを使ってWindowsパッチ適⽤用を管理理 ! グループポリシーを使ったアプリ配布(.msi / .zap) http://docs.aws.amazon.com/workspaces/latest/adminguide/gpo_̲app_̲install.html ! ログオンスクリプトでインストール ! サードパーティソフトを使ってアプリ配布
  27. 27. Tips – デフォルトのWorkSpace環境 ! WorkSpaceには主に以下の内容のポリシーがデフォルトで 適⽤用済み • コンピューターの構成 -‐‑‒ 管理理⽤用テンプレート -‐‑‒ Windows コンポーネント -‐‑‒ リモート デスクトップ サービス 例例)オーディオのリダイレクトを許可 -‐‑‒ システム • ユーザーの構成 -‐‑‒ 管理理⽤用テンプレート -‐‑‒ Windows コンポーネント -‐‑‒ エクスプローラー 例例)Cドライブの⾮非表⽰示 -‐‑‒ コントロールパネル ! ユーザプロファイルはDドライブに保存される
  28. 28. Tips – Cloud Directoryの管理理⽅方法 ! Cloud Directoryのドメインに参加するEC2インスタンスを 作成して、Active Directory管理理ツールを使⽤用する。 • EC2インスタンスのネットワーク設定で、DNSサーバにはCloud DirectoryのDNSサーバを指定 • EC2インスタンスのドメイン参加操作時には、Cloud Directory作成時 に指定したAdministratorのパスワードを使⽤用する • 管理理作業が終われば、EC2インスタンスは停⽌止してOK

×