View
1
Download
0
Category
Preview:
Citation preview
学認とOffice 365 の
認証連携
日本マイクロソフト株式会社
パブリックセクター統括本部
中田 寿穂 <nahisaho@Microsoft.com>
大学等におけるクラウドサービス利用シンポジウム 2016
@2016 Microsoft Corpration. All rights reserved. 2
Azure Active Directory て ステキ !
Shibboleth IdP と 認証連携すれば、Azure AD の 多要素認証や
Risk-based 認証が使えるようになるのよ
Azure AD のリバースプロキシを使用すれば、
レガシーなWeb 認証のサービスだって SSO できちゃうワ
クラウドサービスの認証連携だってまかせて
200 以上のサービスに SSO できるのよ
@2016 Microsoft Corpration. All rights reserved. 3
リスクベース認証をサポートした Azure Active Directory
@2016 Microsoft Corpration. All rights reserved. 4
Azure Active Directory とは
Azure AD Join
@2016 Microsoft Corpration. All rights reserved. 5
パスワード連携
OMA-DM
オンプレミス
SAML 2.0
WS-Federation
OpenID Connect
OAuth 2.0
ID管理
MDM/
MAM/
MCM認証
Active Directoryドメイン
ID 同期
SSO
業界標準プロトコルのサポート
他社 SaaS とのID 連携
Microsoft
Passport
Windows Hello
Windows 10
アクセス制御特権 ID 管理RBACID 連携
Browser
多要素認証必須
アクセスOK
アクセス不可
セキュリティポリシー
アプリ配布/利用制限
暗号化,権限追跡
BYOD/CYOD
Rights
Management
SAML 2.0
WS-Fed.
監査ログ解析シャドウIT検出
Azure Machine
Learning
Intune
Azure RMS
Subscription
RBA
C
…
Pro
xy
Co
nnecto
r
代理認証
ID 同期
Azure Active Directory の機能一覧 Identity as a Service
@2016 Microsoft Corpration. All rights reserved. 6
Azure Active Directory の機能一覧 Identity as a Service
Microsoft Azure Active Directory
DirectoryStore
MicrosoftFederationGateway
IdP
RP
AD FS
ShibbolethIdP
IdP
RP
IdP
RP
AD DS
LDAP
WS-Federation
SAML 2.0
OpenID Connect
Office 365, Dynamic CRM
Google Apps, Salesforceサイボウズ.com
Directory Sync, Azure AD Connect
Azure AD Graph REST API
PowerShell
Provisioning
::
Multi-Factor Authentication Service
Multi-Factor Authentication Server
@2016 Microsoft Corpration. All rights reserved. 7
Azure AD の機能
認証
- 外部認証システム(ADFS, Shibboleth)が利用できます。
- 多要素認証が利用できます。
- 業界標準の認証プロトコル(WS-Fed, SAML, OpenID Connect, OAuth 2.0)に対応してます。
- R-Proxy 方式の SSO にも対応できます。
アカウントプロビジョニング
- 様々なクラウドサービスにアカウント連携できます。
- SCIM によるアカウント連携に対応します。
@2016 Microsoft Corpration. All rights reserved. 8
フェデレーションを実現するための Azure AD の ID 管理
フェデレーションで利用できる ID を作成するには
① Azure AD Connect を使用して ADDS から Azure AD に
アカウント同期をとる。
② LDAP Manager の LDAP → Office 365 を利用して
Azure AD にアカウントを作成する。
@2016 Microsoft Corpration. All rights reserved. 9
フェデレーションを実現するための Azure AD の ID 管理
- Azure AD の Immutable ID に適切な属性値をいれる
ことが重要
- Immutable ID = Base64{Object SID}
@2016 Microsoft Corpration. All rights reserved. 10
クラウド ID で運用していたものを フェデレーション ID に
変更できますか ?
変更可能です。
Azure AD Connect を利用する場合は、 SMTP matching
の機能を利用してアカウント同期を行ってください。
@2016 Microsoft Corpration. All rights reserved. 11
学認、Office 365 認証連携の
ベストプラクティス
Shibboleth IdP のみで実現 ①
OpenLDAPActive Directory
Azure
AD
Connect
- Azure AD へのアカウント連携は、
AD DS を源泉とし、Azure AD
Connect で行う。Office 365 の認証
を Shibboleth IdP で行う。
- メールクライアントから利用する場
合は、Shibboleth IdP の ECP 拡張
を行う必要がある。Shibboleth IdP
@2016 Microsoft Corpration. All rights reserved. 12
Shibboleth IdP のみで実現 ②
OpenLDAP
Shibboleth IdP
LDAP Manager
- LDAP Manager を使用して Azure
AD のアカウント管理を行う
- メールクライアントから利用する場
合は、Shibboleth IdP の ECP 拡張
を行う必要がある。
- Windows User CAL は必要としない。
@2016 Microsoft Corpration. All rights reserved. 13
ADFS – Shibboleth IdP 連携 ①
AD DS
ADFS
ADFSProxy
認証
シングルサインオン
OpenLDAP
- Shibboleth IdP の認証を AD FS で
行う。
- AD ドメインに参加している PC か
らは、Windows ログイン認証で、
学認 SP、Office 365 にシングルサ
インオンできる。
- Office 365 はシングルテナントにし
か対応できない。
Shibboleth IdP
@2016 Microsoft Corpration. All rights reserved. 14
ADFS – Shibboleth IdP 連携 ②
AD DS
ADFS
ADFSProxy
AD DS
ADFS
ADFSProxy
OpenLDAP
Shibboleth IdP
教職員テナント 学生テナントテナント - 教職員、学生間で情報共有した
くない場合は、テナントを分け
る必要がある。
- Office 365 をマルチテナントで
運用したい場合のシステム構成。
@2016 Microsoft Corpration. All rights reserved. 15
シングルテナント/マルチドメインの運用時の注意事項
教職員用 consoto-u.ac.jp
学生用 st.consoto.ac.jp
教職員用はフェデレーション認証、学生はクラウド認証にしたい場合。
教職員用と学生用の認証方式は同じになってしまう。
教職員用 staff.consoto-u.ac.jp
学生用 st.consoto.ac.jp
@2016 Microsoft Corpration. All rights reserved. 16
ネットワーク認証による Office 365 と 学認の SSO
AD DS
ADFS
ADFSProxy
認証
OpenLDAP
Shibboleth IdP
認証スイッチOmniSwitch
ネットワーク認証サーバーClear Pass
Shibboleth認証
認証
- ネットワーク認証を Shibboleth
IdP で行うことで、Office 365 と
学認SP との SSO が実現可能。
検証協力会社
@2016 Microsoft Corpration. All rights reserved. 17
Azure AD Premier の多要素認証
@2016 Microsoft Corpration. All rights reserved. 18
@2016 Microsoft Corpration. All rights reserved. 19
Multi-Factor Authentication for Office 365 とMicrosoft Azure Multi-Factor Authentication の違い
Azure AD Premier の多要素認証
Azure AD 側の多要素認証を使用する
AD DS
ADFS
ADFSProxy
AD DS
ADFS
ADFSProxy
MFAサーバーを使用して多要素認証を使用する
MFA Server
@2016 Microsoft Corpration. All rights reserved. 20
AD DS
ADFS
ADFSProxy
OpenLDAP
Shibboleth IdP
認証
MFA Server
教職員向けWebサービス
Shibboleth IdP で Azure の MFA を利用するためのシステム構成
@2016 Microsoft Corpration. All rights reserved. 21
© 2016 Microsoft Corporation. All rights reserved. Microsoft、Windows、およびその他の製品名は、米国 Microsoft Corporation の、米国およびその他の国における登録商標または商標です。ここに記載されている情報は、情報提供のみを目的としており、本プレゼンテーションの発表時点におけるマイクロソフトの見解を反映したものです。マイクロソフトは市場の変化に対応する必要があるため、記載された内容の実現に関するマイクロソフトの確約とは見なされないものとします。また、本プレゼンテーションの発表後は、提供される情報の正確性に関して、マイクロソフトはいかなる保証もいたしません。マイクロソフトは、本プレゼンテーションの情報に関して、明示、黙示、または法律の規定にかかわらず、一切の保証を行いません。
Recommended