AWS での Web アプリケーションプロキシおよび AD FS

クイックスタートリファレンスデプロイガイド

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

AWS での Web アプリケーションプロキシおよび AD FS: クイックスタートリファレンスデプロイガイドCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

Table of Contentsホーム ............................................................................................................................................... 1

クイックスタートについて ........................................................................................................... 2概要 .................................................................................................................................................. 3

AWS での Web アプリケーションプロキシおよび AD FS ................................................................. 3コストとライセンス .................................................................................................................... 4AWS のサービス ........................................................................................................................ 4

アーキテクチャ .................................................................................................................................. 5設計上の考慮事項 ............................................................................................................................... 8

インスタンスタイプの選択 ........................................................................................................... 8データベースの選択肢 ................................................................................................................. 8負荷分散 .................................................................................................................................... 9................................................................................................................................................ 9

Web アプリケーションプロキシの証明書 ............................................................................... 9AD FS 証明書 .................................................................................................................... 9

ドメイン参加済みプロキシ ......................................................................................................... 10認証シナリオ ............................................................................................................................ 10

デプロイオプション .......................................................................................................................... 11デプロイ手順 .................................................................................................................................... 12

ステップ 1. アカウントを準備する .............................................................................................. 12ステップ 2. クイックスタートを起動する ..................................................................................... 16

セキュリティ .................................................................................................................................... 24OS セキュリティ ...................................................................................................................... 24セキュリティグループ ............................................................................................................... 24

リソース .......................................................................................................................................... 25付録: AD FS 事前認証を使用して OWA を公開する ............................................................................... 26フィードバック ................................................................................................................................. 34ドキュメントの改訂 .......................................................................................................................... 35

.............................................................................................................................................. 35

iii

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

AWS クラウドでの Web アプリケーションプロキシおよび AD FS クイックスタートリファレンスデプロイ

デプロイガイド

AWS クイックスタートリファレンスチーム

2015 年 8 月 (最終更新日 (p. 35): 2017 年 7 月)

このクイックスタートリファレンスデプロイガイドでは、Web アプリケーションプロキシと ActiveDirectory フェデレーションサービス (AD FS) 環境をアマゾン ウェブ サービス (AWS) クラウドにデプロイする際のアーキテクチャ上の考慮事項と設定手順について説明します。また、デプロイを自動化する AWSCloudFormation テンプレートを表示および起動するリンクを提供します。

このガイドは、AWS クラウドでの Web アプリケーションプロキシおよび AD FS ワークロードの実装や拡張を検討している IT インフラストラクチャアーキテクト、管理者、DevOps プロフェッショナルを対象としています。

以下のリンクは参考情報です。クイックスタートを起動する前に、アーキテクチャ、設定、ネットワークセキュリティなどの、このガイドで説明されている考慮事項を確認してください。

• AWS アカウントがあり、AWS のサービスと AD FS にすでに精通している場合は、クイックスタートを起動して、図 1 (p. 5) に示すアーキテクチャを新規または既存の Virtual Private Cloud (VPC) で構築できます。このデプロイには約 1.5 時間かかります。AWS または AD FS を初めて使用する場合は、実装の詳細を確認し、このガイドの後半に示す詳細な手順 (p. 12)に従ってください。

 

     

 • デプロイを自動化する AWS CloudFormation テンプレートの内容を見る場合は、テンプレートを表示で

きます。

 

     

Note

クイックスタートリファレンスデプロイを実行する際は、AWS サービスの利用料金を負担する必要があります。価格は変更されることがあります。詳細については、使用する AWS サービスの料金表ページを参照してください。

1

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

クイックスタートについて

クイックスタートについてクイックスタートは、AWS クラウドでの主要なワークロード用の自動化リファレンスデプロイです。各クイックスタートでは、セキュリティと可用性に関する AWS ベストプラクティスに沿って、AWS で特定のワークロードをデプロイするために必要な AWS のコンピューティング、ネットワーク、ストレージ、その他のサービスを起動、設定、実行します。

2

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

AWS での Web アプリケーションプロキシおよび AD FS

概要AWS での Web アプリケーションプロキシおよびAD FS

Microsoft Active Directory フェデレーションサービス (AD FS) は、AD FS で保護された環境やフェデレーションパートナー組織のアプリケーションにアクセスするユーザーに ID フェデレーションおよびシングルサインオン (SSO) 機能を提供する Windows Server ロールです。簡単に言えば、AD FS はユーザーを認証し、AD FS を信頼するアプリケーションまたはフェデレーションパートナーアプリケーションにセキュリティトークンを提供します。

たとえば、AWS Identity and Access Management (IAM) と AD FS で ID フェデレーションを実装した後、AWS root アカウントまたは IAM ユーザー認証情報ではなく Active Directory ユーザー名とパスワードを使用して、AWS マネジメントコンソールにサインインするか、AWS API を呼び出します。

ドメインコントローラーやその他の内部サーバーのワークロードと同様に、AD FS サーバーは VirtualPrivate Cloud (VPC) 内のプライベートサブネットにデプロイされます。Web アプリケーションプロキシロールを Windows Server 2012 R2 にデプロイすると、外部ユーザーが AD FS にアクセスできます。Webアプリケーションプロキシサーバーは、外部から接続するユーザーのために、VPN に接続することなく、AD FS インフラストラクチャへのリクエストをプロキシできます。

Web アプリケーションプロキシを使用して、内部ウェブアプリケーションへの接続を選択的に公開および事前認証し、組織外のユーザーがインターネット経由でそれらのアプリケーションにアクセスできるようにすることも可能です。

このガイドでは、独自の Active Directory ドメインサービス (AD DS) インフラストラクチャを AD FS および Web アプリケーションプロキシと共に AWS で使用して、AWS で実行されているウェブアプリケーションへのシームレスな外部アクセスを可能にする方法について説明します。

Web アプリケーションプロキシおよび AD FS を使用してアプリケーションを公開する利点と特徴は以下のとおりです。

• ネットワークの隔離 - ウェブアプリケーションを Web アプリケーションプロキシ経由で公開します。つまり、バックエンドサーバーがインターネットに直接公開されることは決してありません。MicrosoftSharePoint、Outlook Web App (OWA)、Exchange ActiveSync、Lync (Skype for Business) などの一般的なウェブベースのワークロードを公開できるだけではありません。Web アプリケーションプロキシ経由でカスタムウェブアプリケーションも公開できます。

• サービス妨害攻撃 (DoS) からの保護 - Web アプリケーションプロキシインフラストラクチャでは、接続をバックエンドウェブアプリケーションにルーティングする前に、複数のメカニズムを使用して、スロットリングやキューイングなどの DoS 攻撃からの基本的な保護を実装します。

• 多要素認証 - AD FS による事前認証はスマートカード、デバイス認証などをサポートしています。• シングルサインオン (SSO) - この機能により、ユーザーは最初に認証されると、その後は認証情報を再

入力せずにアプリケーションにシームレスにアクセスできます。• 社内参加 - ユーザーは、パーソナルラップトップ、タブレット、スマートフォンなど、通常はドメイン

に参加していないデバイスを会社のリソースに接続できます。既知のデバイスにはアプリケーションへの条件付きアクセスを許可することができ、公開されたアプリケーションへのアクセスを許可する前にデバイスの登録を求めることができます。

詳細については、Microsoft TechNet の「Web アプリケーションプロキシを使用したアプリケーションの公開計画」を参照してください。

3

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

コストとライセンス

このガイドおよび関連する AWS CloudFormation テンプレートは、他の AWS クイックスタートと組み合わせて使用することで、SharePoint で実行されているウェブアプリケーション、Exchange、Lync、または独自のウェブベースのアプリケーションを安全に公開できます。このクイックスタートによってデプロイされるインフラストラクチャでは、これらのウェブアプリケーションへのアクセスを外部ユーザーに許可する前に、AD FS に対する事前認証を行うことができます。アプリケーションや AD FS インフラストラクチャが直接インターネットに公開されることはありません。また、このインフラストラクチャを使用して、AWS でフェデレーションを有効にすることもできます。

コストとライセンスこのクイックスタートリファレンスデプロイの実行中に使用した AWS サービスのコストは、お客様が負担します。クイックスタートを使用しても追加コストは発生しません。詳細については、このクイックスタートでご使用になる各 AWS サービスの料金表ページをご覧ください。

このクイックスタートは、Windows Server 2012 R2 用の Amazon マシンイメージ (AMI) を起動します。AMI はオペレーティングシステムの最新のサービスパックで定期的に更新されるため、アップグレードをインストールする必要はありません。

AD FS および Web アプリケーションプロキシは Windows Server 2012 R2 内のサーバーロールです。このクイックスタートによってデプロイされるアーキテクチャには、Microsoft からの追加のライセンスは不要です。各 EC2 インスタンスの従量制料金には、Windows Server ライセンスと共に Web アプリケーションプロキシおよび AD FS コンポーネントの料金も含まれます。

Microsoft License Mobility through Software Assurance プログラムを通じてデプロイとライセンス取得が可能な Microsoft エンタープライズアプリケーションは数多くあります。開発環境とテスト環境では、Amazon Elastic Compute Cloud (Amazon EC2) ハードウェア専有インスタンスを使用して、既存のMSDN ライセンスを活用できます。詳細については、「MSDN on AWS」ウェブページを参照してください。

AWS のサービスこのクイックスタートで使用される AWS の主要コンポーネントには、次の AWS サービスが含まれます(AWS を初めて利用する場合は、AWS ドキュメントの「はじめに」セクションを参照してください)。

• Amazon VPC - Amazon Virtual Private Cloud (Amazon VPC) サービスは、AWS クラウドの隔離されたプライベートな部分をプロビジョンし、定義した仮想ネットワークで AWS サービスや他のリソースを起動できるようにします。独自の IP アドレス範囲の選択、サブネットの作成、ルートテーブル、ネットワークゲートウェイの設定など、仮想ネットワーク環境全体をお客様がコントロールできます。

• Amazon EC2 – Amazon Elastic Compute Cloud (Amazon EC2) サービスは、様々なオペレーティングシステムで仮想マシンインスタンスを起動できるようにします。既存の Amazon マシンイメージ (AMI) から選択することも、独自の仮想マシンイメージをインポートすることもできます。

• Amazon EBS - Amazon Elastic Block Store (Amazon EBS) は、AWS クラウドの Amazon EC2 インスタンスで使用するための永続的なブロックレベルのストレージボリュームを提供します。コンポーネントに障害が発生した場合でも高い可用性と耐久性を提供できるように、各 Amazon EBS ボリュームはアベイラビリティーゾーン内で自動的にレプリケートされます。Amazon EBS ボリュームは、ワークロードの実行に必要な低レイテンシーの安定したパフォーマンスを実現します。

4

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

アーキテクチャこのクイックスタートをデフォルトパラメータでデプロイすると、AWS クラウド上に以下の Web アプリケーションプロキシおよび AD FS 環境が構築されます。

5

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

図 1: AWS での Web アプリケーションプロキシおよび AD FS のクイックスタートアーキテクチャ

 

6

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

AWS CloudFormation テンプレートにより、AWS クラウド上に完全に機能する AD FS フェデレーションサーバーファームおよび Web アプリケーションプロキシが作成されます。テンプレートでデプロイされるコンポーネントは以下のとおりです。

• 高可用性を確保するために 2 つのアベイラビリティーゾーンにリソースが分散された Virtual PrivateCloud (VPC)。

• インターネットアクセスを提供する各アベイラビリティーゾーンのパブリックサブネットパブリックサブネットには、アウトバウンドのインターネットアクセス用のネットワークアドレス変換 (NAT) ゲートウェイインスタンスと、インバウンドのリモート管理アクセス用の Auto Scaling グループのリモートデスクトップゲートウェイ (RD ゲートウェイ) インスタンスが含まれています。Web アプリケーションプロキシサーバーは、ウェブアプリケーションへの安全なインバウンド接続を提供するためにパブリックサブネットにデプロイされます。

• インターネットを介した直接的なアクセスから遮断された、Active Directory ドメインコントローラーやAD FS サーバーなどのエンタープライズワークロードを実行するための各アベイラビリティーゾーンのプライベートサブネット。

• プライベートサブネットで、AD FS インフラストラクチャに対して必要な SSL 証明書を発行するエンタープライズ認証機関 (CA) として機能するドメインコントローラー。本番稼働用デプロイの場合は、パブリック CA から発行される商用証明書も検討できます (詳細については、このガイドの後半で取り上げます)。

• プライベートサブネットで、Windows Server 2012 R2 で実行される 2 つの AD FS サーバー。高可用性と負荷分散をサポートするために各アベイラビリティーゾーンにデプロイされます。

• Amazon EC2 インスタンス間のトラフィックの流れを厳しく制御するセキュリティグループ。

7

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

インスタンスタイプの選択

設計上の考慮事項このクイックスタートは、1,000〜15,000 ユーザーをサポートする高可用性の AD FS 実装向けに設計されていますが、AD FS のデプロイを設計するためのいくつかのオプションもあります。以下は、サーバーの最小デプロイ数を決定するための Microsoft の推奨事項です。

• 1,000 ユーザー未満 – 小さな環境では、専用の AD FS サーバーを実行する代わりに既存のインフラストラクチャを使用できます。1,000 未満のユーザーをサポートする場合は、最低 2 つのドメインコントローラーに AD FS をインストールできます。これらのドメインコントローラーは、2 つの異なるアベイラビリティーゾーンにあることが理想的です。

• 1,000〜15,000 ユーザー – このシナリオでは、Microsoft は専用 AD FS および Web アプリケーションプロキシサーバーインフラストラクチャを使用することを推奨しています。AD FS データベースはWindows Internal Database (WID) を使用して実行できるため、このアーキテクチャでは 4 台のサーバーが必要になります (2 つの Web アプリケーションプロキシ、2 つの AD FS) (図 1 (p. 5) を参照)。

• 15,000〜60,000 ユーザー – 大規模な環境の場合、Microsoft は 3〜5 台の専用 AD FS サーバーおよび最低 2 台の専用 Web アプリケーションプロキシサーバーを使用することを推奨しています。5 台の専用AD FS サーバーを超えてスケーリングする場合は、WID を実行する代わりに専用の SQL Server インスタンスが必要です。

これらの推奨事項は、8 CPU コア、4 GiB の RAM、および 1 ギガビットのネットワーク接続をサポートするハードウェアプロファイルに基づいています。

インスタンスタイプの選択AD FS は、プロセッサバウンドのワークロードと見なされます。つまり、CPU リソースの需要が最も高くなります。このクイックスタートでは、デフォルトで C4 コンピューティング最適化インスタンスが使用されます。

特に、前のセクションの推奨事項に基づき、8 個の vCPU と 15 GiB のメモリを提供して要件を満たすか超えるためには、c4.2xlarge インスタンスタイプを使用します。c4.2xlarge インスタンスタイプは、AmazonEBS 最適化、強化されたネットワーキング、および高いネットワークパフォーマンスをサポートするため、より高いパケット/秒を実現し、レイテンシーとジッターを低減できます。c4.2xlarge は必要以上のメモリを提供しますが、本番稼働用環境で実行されるワークロードに最適な候補となります。

データベースの選択肢AD FS に推奨されるトポロジは、少なくとも 2 つの AD FS サーバーを含むフェデレーションサーバーファームを作成することです。最初のサーバーに AD FS をインストールすると、フェデレーションサーバーファームが作成されます。このファームにもう 1 つのサーバーを参加させ、これらのサーバー間で負荷分散します。

AD FS フェデレーションサーバーファームでは、データベースに設定データを保持します。ファームのサーバー台数が 5 以下の場合は、Windows Internal Database(WID) を使用できます。プライマリ AD FSサーバーは、このデータベースの読み取り/書き込みコピーを保持します。ファームのセカンダリ AD FSサーバーは、プライマリサーバーから WID の読み取り専用コピーの更新を受け取ります。プライマリ ADFS サーバーに障害が発生すると、セカンダリサーバーでのプロセス認証リクエストの処理は継続されますが、プライマリサーバーがオンライン状態に戻るかセカンダリサーバーがプライマリに変換されるまでは、設定を変更できなくなります。

フェデレーションサーバーファームの AD FS サーバー台数が 5 を超える場合は、SQL Server データベースを設定データベースとして使用する必要があります。AD FS データベースとして SQL Server を使用す

8

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

負荷分散

ると、フェデレーションサーバーファームのすべてのメンバーが設定データへの書き込みアクセス権を持ちます。

Microsoft は、AD FS サーバー台数が 5 を超えるまでは WID を使用することを推奨しています。このクイックスタートでは、デフォルトで WID を AD FS で使用します。

ロードバランシング本番稼働用デプロイでは、ロードバランシングを実装して Web アプリケーションプロキシと AD FS サービスの高可用性を実現する必要があります。そのためには、Elastic Load Balancing またはサードパーティーの仮想ロードバランサーアプライアンスを使用できます。

Elastic Load Balancing では、Web アプリケーションプロキシと AD FS の両方のレイヤーを負荷分散できます。インターネット経由で公開されたウェブアプリケーションにアクセスするユーザーを対象としたWeb アプリケーションプロキシレイヤーには、インターネット向けロードバランサーをデプロイできます。さらに、AD FS サーバー向けの内部ロードバランサーを設定できます。この内部ロードバランサーに解決される負荷分散 DNS 名 (sts.example.com など) をポイントするように Web アプリケーションプロキシレイヤーを設定します。

証明書Web アプリケーションプロキシと AD FS の両方のコンポーネントをインストールするには、証明書が必要です。このクイックスタートでは、これらのコンポーネントのデプロイとインストールを自動化するために、ドメインコントローラーインフラストラクチャで運用される内部エンタープライズ認証機関 (CA)から発行された証明書を使用します。これらの証明書は、独自の本番稼働用デプロイで置き換えることができます。Web アプリケーションプロキシと AD FS の両方のレイヤーに関する要件と推奨事項については、次の 2 つのセクションで説明します。

Web アプリケーションプロキシの証明書• 発行元の CA – 通常、Web アプリケーションプロキシインフラストラクチャでは、VeriSign や DigiCert

など、商用またはパブリック CA から発行された証明書を使用します。これらの証明書は、コンピュータの個人用証明書ストアにインストールする必要があります。通常、パブリック CA を使用すると、クライアントデバイスにルート証明書をインストールする必要がなくなります。独自のパブリックキーインフラストラクチャ (PKI) を使用して Web アプリケーションプロキシの証明書を発行できますが、クライアントデバイスが発行元の CA を信頼することを確認する必要があります。この場合、通常、デバイスにルート証明書をインストールするほかに、証明書失効リストの URL に外部からアクセスできることが必要になります。

• 証明書の FQDN – 証明書のサブジェクトフィールドとサブジェクト代替名 (SAN) フィールドを明示的に設定するか、ワイルドカード証明書 (*.example.com など) を使用できます。明示的な命名の場合は、サブジェクトフィールドを AD FS フェデレーションサービス名 (sts.example.com など) に設定する必要があります。Workplace Join 機能を使用する予定がある場合は、さらに 2 つの SAN エントリが必要です。1 つはフェデレーションサービス名 (sts.example.com など) に使用し、もう 1 つはエンタープライズ登録 (enterpriseregistration.yourdomain.com 形式) に使用します。また、外部向けの SharePoint サイト、OWA など、完全修飾ドメイン名 (FQDN) を公開する場合は、そのための SAN エントリも必要になります。

AD FS 証明書• 発行元の CA – 通常、AD FS インフラストラクチャでは、エンタープライズ Active Directory CA などの

内部 PKI から発行された証明書を使用します。AD FS インフラストラクチャ内のサーバーはインター

9

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

ドメイン参加済みプロキシ

ネット向けではないためです。これは、ドメインに参加しているすべてのマシンが、デフォルトで発行元の CA を信頼する Active Directory ドメイン環境で特に便利です。Web アプリケーションプロキシサーバーをドメインに参加させない場合は、コンピュータの信頼されたルート認証機関ストアで、これらのサーバーに CA ルート証明書をインストールできます。既存の PKI 実装がない場合は、Web アプリケーションプロキシと AD FS の両方のサーバーで同じパブリック証明書を使用するのが最も簡単です。

• 証明書の FQDN – AD FS 証明書では、フェデレーションサービス名 (sts.example.com など) をサブジェクトフィールドに設定する必要があります。そうでない場合は、ワイルドカード証明書を使用できます。

ドメイン参加済みプロキシWeb アプリケーションプロキシサーバーをドメインに参加させると、パブリック Virtual Private Cloud(VPC) サブネットに配置されますが、これを避けるためにサーバーをドメインに参加させないことを選択できます。これは DMZ (非武装地帯) で実行されるサーバーワークロードに一般的なプラクティスです。ただし、Web アプリケーションプロキシを介して公開するウェブアプリケーションで統合 Windows 認証をサポートする場合は、Web アプリケーションプロキシサーバーをドメインに参加させる必要があります。

このクイックスタートでは、Web アプリケーションプロキシサーバーを自動的に Active Directory ドメインサービス環境に参加させます。統合 Windows 認証を使用するウェブアプリケーションを公開する方法の例については、付録 (p. 26)を参照してください。

認証シナリオWeb アプリケーションプロキシでウェブアプリケーションを公開すると、3 つの認証シナリオがサポートされます。

• AD FS 事前認証 – このシナリオでは、ユーザーは、AD FS に対して認証を行ってから公開済みウェブアプリケーションへのアクセス権を取得します。この場合、AD FS の証明書利用者信頼をフェデレーションサービスに追加する必要があります。AD FS 事前認証フローの詳細な説明については、MicrosoftTechNet ライブラリの「AD FS 事前認証を使用してアプリケーションを公開する」を参照してください。

• クライアント証明書の事前認証 – このシナリオでは、1 つまたは複数の外部サーバーが、認証用の証明書を使用して Web アプリケーションプロキシインフラストラクチャ経由でオンプレミスのウェブアプリケーションに接続します。このシナリオは、その名前にもかかわらず、公開済みウェブアプリケーションに接続するクライアントデバイスには使用しないでください。詳細については、MicrosoftTechNet ライブラリの「クライアント証明書の事前認証を使用してアプリケーションを公開する」を参照してください。

• パススルー事前認証 – このシナリオでは、AD FS に対する事前認証なしで、ウェブアプリケーションへのアクセスが直接バックエンドサーバーにプロキシされます。たとえば、AD FS に外部からアクセス可能にするには、このオプションを使用します。以降に AD FS 事前認証を使用する公開済みアプリケーションでは、AD FS へのアクセスにパススルー事前認証が使用されます。

AD FS 事前認証およびパススルー事前認証に関する例については、付録 (p. 26)を参照してください。

10

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

デプロイメントオプションこのクイックスタートには、2 つのデプロイオプションがあります。

• Web アプリケーションプロキシおよび AD FS を新しい VPC にデプロイする (エンドツーエンドデプロイ)。このオプションでは、VPC、サブネット、NAT ゲートウェイ、セキュリティグループ、その他のインフラストラクチャコンポーネントで構成される新しい AWS 環境を構築し、その新しい VPC にソフトウェアをデプロイします。

• Web アプリケーションプロキシおよび AD FS を既存の VPC にデプロイする。このオプションでは、ソフトウェアを既存の AWS インフラストラクチャにプロビジョンします。

クイックスタートには、これらのオプション用に個別のテンプレートが用意されています。このガイドの後半で説明しているように、CIDR ブロックやインスタンスタイプなどの追加の設定を定義することもできます。

11

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

ステップ 1. アカウントを準備する

デプロイ手順Web アプリケーションプロキシおよび AD FS アーキテクチャを AWS にデプロイする手順は、以下のステップで構成されます。詳細な手順については、各ステップのリンクをクリックしてください。

Note

この自動デプロイは、入れ子になった AWS CloudFormation テンプレートを使用して ActiveDirectory ドメインサービス環境を起動した後、Web アプリケーションプロキシおよび AD FS インフラストラクチャを起動します。Web アプリケーションプロキシおよび AD FS テンプレートは、既存の環境に直接使用することも、すでにデプロイした既存のクイックスタートの上に起動することもできます。2 番目のアプローチの例については、付録 (p. 26)を参照してください。

• ステップ 1. AWS アカウントを準備する (p. 12)

AWS アカウントにサインアップし、リージョンを選択し、キーペアを作成したら、必要に応じてアカウント制限の引き上げをリクエストします。

• ステップ 2. クイックスタートを起動する (p. 16)

AWS アカウントに AWS CloudFormation テンプレートを起動し、パラメータ値を指定して、スタックを作成します。クイックスタートには、エンドツーエンドのデプロイと既存の VPC へのデプロイ用に個別のテンプレートが用意されています。

ステップ 1. AWS アカウントを準備する1. AWS アカウントがまだない場合は、https://aws.amazon.com で画面上の指示に従って作成します。

サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて PIN を入力することが求められます。

2. ナビゲーションバーのリージョンセレクターを使用して、AWS に Web アプリケーションプロキシおよび AD FS をデプロイする AWS リージョンを選択します。

詳細については、「リージョンとアベイラビリティーゾーン」を参照してください。リージョンは、独立した地理的領域に分散して存在します。各リージョンには、互いに隔離されているが低レイテンシーのリンクで接続された少なくとも 2 つのアベイラビリティーゾーンが含まれます。このクイックスタートは、デプロイの Web アプリケーションプロキシおよび AD FS 部分に c4.2xlarge インスタンスタイプを使用します。

12

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

ステップ 1. アカウントを準備する

図 2: AWS リージョンの選択

ヒント

データセンターや社内ネットワークに最も近いリージョンを選択して、AWS で実行されているシステム間、および企業ネットワーク上のシステムとユーザー間のネットワークレイテンシーを削減するためにリージョンを選択することを検討します。

3. 任意のリージョンでキーペアを作成します。これを行うには、Amazon EC2 コンソールのナビゲーションペインで [Key Pairs]、[Create Key Pair] を選択し、名前を入力して [Create] を選択します。

13

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

ステップ 1. アカウントを準備する

図 3: キーペアの作成

Amazon EC2 はパブリックキー暗号を使用して、ログイン情報の暗号化と復号を行います。インスタンスにログイン可能にするには、キーペアを作成する必要があります。Windows インスタンスでは、Amazon EC2 コンソールからキーペアを使用して管理者パスワードを取得し、『Amazon ElasticCompute Cloud ユーザーガイド』の「手順」で説明しているように、リモートデスクトッププロトコル (RDP) を使用してログインします。

4. 必要に応じて、Amazon EC2 c4.2xlarge インスタンスタイプを求めてサービスの制限引き上げをリクエストします。これを行うには、AWS サポートセンターで、[Create Case]、[Service LimitIncrease]、[EC2 instances] の順に選択し、上限緩和フォームのフィールドに入力します。現在のデフォルトの制限は 20 インスタンスです。

このインスタンスタイプを使用する既存のデプロイがすでに存在し、このリファレンスデプロイでデフォルトの制限を超えている可能性がある場合は、制限の引き上げをリクエストする必要があります。新しいサービスの上限が有効になるには、数日かかる場合があります。詳細については、『AWSドキュメント』の「Amazon EC2 サービスの制限」を参照してください。

14

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

ステップ 1. アカウントを準備する

図 4: サービス制限の引き上げリクエスト

15

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

ステップ 2. クイックスタートを起動するNote

このクイックスタートリファレンスデプロイの実行中に使用した AWS サービスのコストは、お客様が負担します。このクイックスタートを使用しても追加コストは発生しません。詳細については、このクイックスタートで使用する各 AWS サービスの料金表ページを参照してください。価格は変更されることがあります。

この自動化 AWS CloudFormation テンプレートは、複数のアベイラビリティーゾーンにある Web アプリケーションプロキシおよび AD FS を Amazon VPC にデプロイします。スタックを起動する前に、選択したリージョンにキーペアが作成されていることを確認してください。

1. 以下のいずれかのオプションを選択して、AWS アカウントに AWS CloudFormation テンプレートを起動します。オプションの選択については、このガイドの「デプロイオプション (p. 11)」を参照してください。

オプション 1

ソフトウェアを AWS 上の新しい VPC にデプロイする

オプション 2

ソフトウェアを AWS 上の既存の VPC にデプロイする

Important

ソフトウェアを既存の VPC にデプロイする場合は、VPC で 2 つのプライベートサブネットが異なるアベイラビリティーゾーンにあることを確認してください。これらのサブネットでは、インスタンスがインターネットに公開されずにパッケージやソフトウェアをダウンロードできるように、ルートテーブルに NAT ゲートウェイまたは NAT インスタンスが必要です。また、Amazon VPC ドキュメントで説明しているように、DHCP オプションでドメイン名オプションを設定する必要があります。クイックスタートを起動すると、VPC 設定を求められます。

各デプロイの完了には約 1.5 時間かかります。2. ナビゲーションバーの右上隅に表示されているリージョンを確認し、必要に応じて変更します。テン

プレートはデフォルトで米国東部 (オハイオ) リージョンで起動されます。3. [Select Template] ページで、テンプレート URL のデフォルト設定をそのままにし、[Next] を選択しま

す。4. [Specify Details] ページで、必要に応じてスタック名を変更します。テンプレートのパラメータを確認

します。入力が必須のパラメータの値を指定します。他のすべてのパラメータのデフォルト設定を確認し、必要に応じてカスタマイズします。パラメータの確認とカスタマイズが終了したら、[Next] を選択します。

以下の表では、パラメータをカテゴリ別に示し、2 つのデプロイオプションについて個別に説明しています。

• ソフトウェアを新しい VPC にデプロイする場合のパラメータ (p. 16)• ソフトウェアを既存の VPC にデプロイする場合のパラメータ (p. 20)

16

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

オプション 1: ソフトウェアを新しい VPC にデプロイする場合のパラメータ

テンプレートを表示

ネットワーク構成:

パラメータラベル パラメーター名 デフォルト 説明

アベイラビリティーゾーン

利用可能ゾーン 入入入入 VPC でサブネットに使用するアベイラビリティーゾーンのリスト。クイックスタートでは、リストから 2 つのアベイラビリティーゾーンを使用し、指定した論理的順序が保持されます。

VPC CIDR VPCCIDR 10.0.0.0/16 Amazon VPC の CIDRブロック。

Private Subnet 1 CIDR PrivateSubnet1CIDR 10.0.0.0/19 アベイラビリティーゾーン 1 にあるプライベートサブネットのCIDR ブロック.

Private Subnet 2 CIDR PrivateSubnet2CIDR 10.0.32.0/19 アベイラビリティーゾーン 2 にあるプライベートサブネットのCIDR ブロック.

Public Subnet 1 CIDR PublicSubnet1CIDR 10.0.128.0/20 アベイラビリティーゾーン 1 にあるパブリック サブネットのCIDR ブロック.

Public Subnet 2 CIDR PublicSubnet2CIDR 10.0.144.0/20 アベイラビリティーゾーン 2 にあるパブリック サブネットのCIDR ブロック.

Allowed RemoteDesktop GatewayExternal Access CIDR

RDGWCIDR 入入入入 Remote DesktopGateway インスタンスへの外部アクセス用に許可された CIDR ブロック。この値は信頼された CIDR ブロックに設定することをお勧めします。

Amazon EC2 設定:

パラメータラベル パラメーター名 デフォルト 説明

17

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

Key Pair Name KeyPairName 入入入入 パブリック/プライベートキーペアを指定することで、起動後にインスタンスに安全に接続できます。AWS アカウントを作成した際に、指定したリージョンで作成したキーペアです

Domain Controller 1Instance Type

ADServer1InstanceType m4.xlarge 1 番目の ActiveDirectory インスタンスの EC2 インスタンスタイプ

Domain Controller 1NetBIOS Name

ADServer1NetBIOSNameDC1 最初の Active Directoryサーバーの NetBIOS名。この長さは最大 15文字です。

Domain Controller 1Private IP Address

ADServer1PrivateIP 10.0.0.10 アベイラビリティーゾーン 1 にある 1 番目の Active Directoryサーバーの固定プライベート IP.

Domain Controller 2Instance Type

ADServer2InstanceType m4.xlarge 2 番目の ActiveDirectory インスタンスの EC2 インスタンスタイプ

Domain Controller 2NetBIOS Name

ADServer2NetBIOSNameDC2 2 番目の ActiveDirectory サーバーのNetBIOS 名。この長さは最大 15 文字です。

Domain Controller 2Private IP Address

ADServer2PrivateIP 10.0.32.10 アベイラビリティーゾーン 1 にある 2 番目の Active Directoryサーバーの固定プライベート IP.

Remote DesktopGateway InstanceType

RDGWInstanceType t2.large Remote DesktopGateway インスタンスの EC2 インスタンスタイプ

WAP and ADFS ServerInstance Type

WAPADFSInstanceType c4.2xlarge WAP および AD FSサーバーの EC2 インスタンスタイプ。

Microsoft Active Directory 設定:

パラメータラベル パラメーター名 デフォルト 説明

18

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

Domain DNS Name DomainDNSName example.com フォレストルートドメインの完全修飾ドメイン名 (FQDN)。

Domain NetBIOSName

DomainNetBIOSName 例 以前のバージョンのWindows を使用しているユーザーのドメインの NetBIOS 名。この長さは最大 15 文字です。

Restore ModePassword

RestoreModePassword 入入入入 ドメインコントローラーを復元モードで起動する際の個別の管理者アカウントのパスワードこれは、8 文字以上の複雑なパスワードであることが必要です。

Domain Admin UserName

DomainAdminUser StackAdmin ドメイン管理者として追加されるアカウントのユーザー名これはデフォルトの管理者アカウントとは異なります。

Domain AdminPassword

DomainAdminPassword 入入入入 ドメイン管理者ユーザーのパスワード. これは、8 文字以上の複雑なパスワードであることが必要です。

Microsoft Remote Desktop Gateway 設定:

パラメータラベル パラメーター名 デフォルト 説明

Number of RDGWHosts

NumberOfRDGWHosts 1 作成する RD ゲートウェイインスタンスの数。1〜4 インスタンスを選択できます。

AWS クイックスタート設定:

パラメータラベル パラメーター名 デフォルト 説明

19

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

Quick Start S3 BucketName

QSS3BucketName quickstart-reference クイックスタートのテンプレートとスクリプトがインストールされる S3 バケット。クイックスタートをカスタマイズまたは拡張して独自に使用する場合は、クイックスタートアセットのコピー用に作成した S3 バケットの名前をこのパラメータで指定します。バケット名には、数字、小文字、大文字、ハイフンを含めることができますが、先頭または末尾にハイフンは使用しないでください。

Quick Start S3 KeyPrefix

QSS3KeyPrefix microsoft/wapadfs/latest/

クイックスタートアセットのコピーのフォルダをシミュレートするために使用するS3 キー名プレフィックス。クイックスタートを独自にカスタマイズまたは拡張する場合は、このプレフィックスを使用します。このプレフィックスには、数字、小文字、大文字、ハイフン、スラッシュを含めることができます。

オプション 2: ソフトウェアを既存の VPC にデプロイする場合のパラメータ

既存の VPC のテンプレートを表示する

VPC ネットワーク設定:

パラメータラベル パラメーター名 デフォルト 説明

VPC CIDR VPCCIDR 10.0.0.0/16 VPC の CIDR ブロック

VPC ID VPCID 入入入入 既存の VPC の ID(vpc-0343606e など)。

Private Subnet 1 ID PrivateSubnet1ID 入入入入 既存の VPC でアベイラビリティーゾーン 1にあるプライベートサブネットの ID (subnet-a0246dcd など)。

20

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

Private Subnet 2 ID PrivateSubnet2ID 入入入入 既存の VPC でアベイラビリティーゾーン 2にあるプライベートサブネットの ID (subnet-b58c3d67 など)。

Public Subnet 1 ID PublicSubnet1ID 入入入入 既存の VPC でのアベイラビリティーゾーン 1 のパブリックサブネットの ID (subnet-e3246d8e など)。

Public Subnet 2 ID PublicSubnet2ID 入入入入 既存の VPC でのアベイラビリティーゾーン 2 のパブリックサブネットの ID (subnet-e3246d8e など)。

Allowed RemoteDesktop GatewayExternal Access CIDR

RDGWCIDR 入入入入 Remote DesktopGateway インスタンスへの外部アクセス用に許可された CIDR ブロック。この値は信頼された CIDR ブロックに設定することをお勧めします。

Amazon EC2 設定:

パラメータラベル パラメーター名 デフォルト 説明

Key Pair Name KeyPairName 入入入入 パブリック/プライベートキーペアを指定することで、起動後にインスタンスに安全に接続できます。AWS アカウントを作成した際に、指定したリージョンで作成したキーペアです

WAP and ADFS ServerInstance Type

WAPADFSInstanceType c4.2xlarge WAP および AD FSサーバーの EC2 インスタンスタイプ。

Microsoft Active Directory 設定:

パラメータラベル パラメーター名 デフォルト 説明

Domain DNS Name DomainDNSName example.com フォレストルートドメインの完全修飾ドメイン名 (FQDN)。

21

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

Domain NetBIOSName

DomainNetBIOSName 例 以前のバージョンのWindows を使用しているユーザーのドメインの NetBIOS 名。この長さは最大 15 文字です。

Restore ModePassword

RestoreModePassword 入入入入 ドメインコントローラーを復元モードで起動する際の個別の管理者アカウントのパスワードこれは、8 文字以上の複雑なパスワードであることが必要です。

Domain Admin UserName

DomainAdminUser StackAdmin ドメイン管理者として追加されるアカウントのユーザー名これはデフォルトの管理者アカウントとは異なります。

Domain AdminPassword

DomainAdminPassword 入入入入 ドメイン管理者ユーザーのパスワード. これは、8 文字以上の複雑なパスワードであることが必要です。

AWS クイックスタート設定:

パラメータラベル パラメーター名 デフォルト 説明

Quick Start S3 BucketName

QSS3BucketName quickstart-reference クイックスタートのテンプレートとスクリプトがインストールされる S3 バケット。クイックスタートをカスタマイズまたは拡張して独自に使用する場合は、クイックスタートアセットのコピー用に作成した S3 バケットの名前をこのパラメータで指定します。バケット名には、数字、小文字、大文字、ハイフンを含めることができますが、先頭または末尾にハイフンは使用しないでください。

22

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

Quick Start S3 KeyPrefix

QSS3KeyPrefix microsoft/wapadfs/latest/

クイックスタートアセットのコピーのフォルダをシミュレートするために使用するS3 キー名プレフィックス。クイックスタートを独自にカスタマイズまたは拡張する場合は、このプレフィックスを使用します。このプレフィックスには、数字、小文字、大文字、ハイフン、スラッシュを含めることができます。

5. [Options] ページでは、スタック内のリソースのタグ (キー値のペア) を指定し、追加オプションを設定できます。終了したら、[Next] を選択します。

6. [Review] ページで、テンプレート設定を確認して確定します。[Capabilities] で、テンプレートによって IAM リソースが作成されることを確認するチェックボックスをオンにします。

7. [Create] を選択してスタックをデプロイします。8. スタックの状態をモニタリングします。ステータスが [CREATE_COMPLETE] になったら、デプロイ

は準備完了です。

23

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

OS セキュリティ

セキュリティAWS インフラストラクチャでシステムを構築すると、お客様と AWS の間でセキュリティ上の責任が分担されます。この共有モデルにより、ホストオペレーティングシステムや仮想化レイヤーから、サービスが実行されている施設の物理的なセキュリティまで、コンポーネントが AWS によって運用、管理、制御されるため、運用上の負担を軽減させることができます。一方で、ゲストオペレーティングシステム (アップデートやセキュリティパッチを含む)、その他の関連するアプリケーション、ならびに AWS より提供されるセキュリティグループのファイアウォールの設定に関する責任と管理はお客様に任されます。AWS のセキュリティの詳細については、AWS セキュリティセンターを参照してください。

オペレーティングシステムのセキュリティこのクイックスタートでデプロイされたすべての Windows サーバーは、ドメイン参加済みです。これらのインスタンスに対して認証を行うには、stackadmin@example.com ドメイン管理者アカウントを使用します。スタックを起動する際に、このアカウントのパスワードを指定できます。ドメイン参加済みインスタンスのローカル管理者パスワードを取得するには、起動時に KeyPairName パラメータを使用します。

オペレーティングシステムパッチは、お客様の責任において定期的に実行する必要があります。

セキュリティグループセキュリティグループは、1 つ以上のインスタンスのトラフィックを制御するファイアウォールとして機能します。インスタンスを起動するときに、1 つ以上のセキュリティグループとインスタンスを関連付けます。各セキュリティグループに対してルールを追加し、関連付けられたインスタンスに対するトラフィックを許可します。セキュリティグループのルールはいつでも変更できます。新しいルールは、セキュリティグループに関連付けられているインスタンスすべてに自動的に適用されます。

このソリューションの一部として作成されて各インスタンスに割り当てられたセキュリティグループは、可能な限りアクセスを制限しますが、AD FS および Web アプリケーションプロキシに必要なさまざまな機能へのアクセスは許可します。デプロイが稼働状態になったら、セキュリティグループを確認し、必要に応じてアクセスをさらに制限することをお勧めします。

24

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

その他のリソースAWS サービス

• AWS CloudFormation• Amazon EBS:

• ユーザーガイド• ボリュームの種類• 最適化インスタンス

• Amazon EC2:• Microsoft Windows のユーザーガイド

• Amazon VPC

Microsoft Web アプリケーションプロキシおよび AD FS

• AD FS サーバーキャパシティーの計画• Web アプリケーションプロキシを使用したアプリケーション公開の計画• Web アプリケーションプロキシインフラストラクチャを設定する• Web アプリケーションプロキシサーバーをインストールして設定する• AD FS 事前認証を使用してアプリケーションを公開する• パススルー事前認証を使用してアプリケーションを公開する• Windows Active Directory、ADFS、および SAML 2.0 を使用した AWS へのフェデレーションの有効化

AWS での Microsoft ソフトウェアのデプロイ

• AWS での Microsoft• AWS での Microsoft プラットフォームの保護• Microsoft ライセンスモビリティ• AWS での MSDN• AWS Windows および .NET 開発者センター

ツール

• Web アプリケーションプロキシのベストプラクティスアナライザー• AWS Marketplace での負荷分散ソリューション

関連するクイックスタートリファレンスデプロイ

• AWS クイックスタートのホームページ• AWS での Microsoft Active Directory• AWS での Microsoft リモートデスクトップゲートウェイ

25

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

付録: AD FS 事前認証を使用してOutlook Web App をインターネットに公開する

入れ子になった AWS CloudFormation テンプレートを使用して新しい環境を起動する代わりに、このクイックスタートに付属の Web アプリケーションプロキシおよび AD FS テンプレートを使用して既存のVPC にコンポーネントを起動できます。

重要

このガイドに付属の Web アプリケーションプロキシおよび AD FS サブテンプレートは、2 つのパブリックサブネットと 2 つのプライベートサブネットを含む既存の VPC、および実装済みのActive Directory ドメインサービスと連携するように構築されています。具体的には、ExchangeServer、SharePoint Server、Lync Server など、既存の Microsoft ベースの AWS クイックスタートと連携するように設計されています。

この付録では、Exchange Server クイックスタートの上に Web アプリケーションプロキシおよび AD FSインフラストラクチャを起動する方法を示します。その後、Web アプリケーションプロキシおよび AD FSを使用して Outlook Web App (OWA) をインターネットに公開する手順について説明します。

Note

また、統合 Windows 認証を使用して OWA を公開するプロセスについて詳しく説明します。Exchange Server 2010 に対しても、統合 Windows 認証を使用して公開する他のウェブアプリケーションに対しても、この同じ一般的なプロセスに従うことができます。Exchange Server2013 SP1 でクレームベース認証を使用して OWA を公開することもできますが、このシナリオはこのガイドの対象外です。

1. Exchange Server クイックスタートを起動します。2. Exchange Server 2013 スタックが正常に作成されたら、Web アプリケーションプロキシおよび AD

FS テンプレートを起動します。前に示しているように、選択したリージョンの KeyPairName を指定する必要があります。さらに、既存の VPC の ID とパブリックおよびプライベートサブネットの IDを指定する必要があります。

3. いずれかの RD ゲートウェイインスタンスへのリモートデスクトッププロトコル (RDP) 接続を開始します。Amazon EC2 コンソールで RD ゲートウェイサーバーの Elastic IP を取得できます。そのインスタンスから、RDP を使用して EXCH1 サーバーに接続します。

4. EXCH1 で、ウェブブラウザを使用して Exchange 管理センター (https://exch1/ecp) に移動します。スタックの構築時に指定した stackadmin ユーザーアカウントとパスワードを使用してサインインします。

26

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

図 5: Exchange 管理センターへのログイン5. 左側のペインで、[Servers]、[Virtual directories] の順に選択します。

27

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

図 6: EXCH1 での仮想ディレクトリの表示6. EXCH1 サーバーで [owa (Default Web Site)] をダブルクリックします。[Authentication]、[Integrated

Windows authentication]、[Save] の順に選択します。EXCH1 で、ECP 仮想ディレクトリの対応する設定も変更する必要があります。

図 7: OWA 認証から統合 Windows 認証への設定変更

28

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

Note

負荷分散される本番稼働用環境で、クライアントアクセスロールを実行している各Exchange サーバーのこの設定を変更します。

7. ADFS1 サーバーへの RDP 接続を確立します。[Control Panel] で [Administrative Tools] を選択し、[ADFS Management] スナップインを起動します。

8. [Trust Relationships] コンテキスト (右クリック) メニューを開き、[Add Non-Claims-Aware RelyingParty Trust] を選択して、ウィザードを開始します。

図 8: 要求に非対応の証明書利用者信頼の追加9. ウィザードのようこそページで、[Start] を選択し、「OWA」などの表示名を入力します。要求に非対

応の証明書利用者信頼に一意の識別子文字列を指定します。その URL には、クイックスタートによって作成されたデフォルトのサービス名を使用します (http://sts.example.com/adfs/services/trust など)。

10. 多要素認証を設定しないことを指定し、[Next] を選択します。11. 残りの画面では、設定を変更しないで進みます。最後の画面で、[Open the Edit Issuance

Authorization Rules] オプションを選択したままにし、[Close] を選択します。12. [Edit Claim Rules] 画面で、[Add Rule]、[Permit Access to All Users]、[Finish] の順に選択します。13. WAP1 サーバーへの RDP 接続を確立します。[Control Panel] で、[Administrative Tools] を選択し、

[Remote Access Management] スナップインを起動します。

図 9: リモートアクセスマネジメントコンソールの表示

OWA をインターネットに公開するには、2 つのルールを作成する必要があります。最初のルールは、AD FS サーバーへのパススルー認証ルールになります。これにより、ユーザーは OWA に接続するには事前認証を行うことになります。

14. [Tasks] で、[Publish] を選択します。15. ようこそ画面で、[Next] を選択します。[Preauthentication] タブで、[Pass-through] を選択します。

29

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

図 10: パススルー事前認証方法の選択16. このルールに「ADFS」などの名前を付けます。図 11 に示しているように、外部 URL、外部証明書、

バックエンドサーバー URL を指定します。

図 11: 公開ルールの設定

Note

AD FS 層に内部負荷分散を実装している場合は、負荷分散されるエンドポイントに、個々のサーバー名ではなくバックエンドサーバー URL を設定できます。

17. [Publish]、[Close] の順に選択して、ウィザードを終了します。18. OWA の新しいルールを作成するには、もう一度 [Publish] を選択します。今度は、事前認証方法を

[Active Directory Federation Services (AD FS)] に設定し、[Next] を選択します。

図 12: AD FS 事前認証方法の選択19. アプリケーションの証明書利用者には、AD FS サーバーで作成した証明書利用者信頼を選択し、

[Next] をクリックします。

30

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

図 13: 証明書利用者の選択20. このルールに「OWA」などの名前を付けます。図 14 に示しているように、外部 URL、外部証明書、

バックエンドサーバーの URL と サービスプリンシパル名 (SPN) を指定します。

図 14: ルールの詳細の設定

Note

Exchange クライアントアクセス層に内部負荷分散を実装している場合は、負荷分散されるエンドポイントに、個々のサーバー名ではなくバックエンドサーバーの URL と SPN を設定できます。

21. [Publish] を選択し、ウィザードを終了します。22. DC1 への RDP 接続を確立します。[Control Panel] で、[Administrative Tools] を選択し、[Active

Directory Users and Computers] スナップインを起動します。23. [Computers] コンテナに移動し、WAP1 コンピュータを右クリックして、[Properties] を選択します。

[Delegation] タブで、[Trust this computer for delegation to specified services only] を選択します。図15 に示しているように、任意の認証プロトコルを使用するオプションを選択し、EXCH1 コンピュータの HTTP サービスタイプをリストに追加します。[Apply]、[OK] の順に選択します。

31

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

図 15: Kerberos の制約付き委任の設定

これで、外部ワークステーションまたはサーバーからのインターネット経由での OWA へのアクセスをテストする準備ができました。

24. 独自のドメイン名を使用しなかった場合、お客様のコンピュータの hosts ファイルを編集して、example.com のエンドポイントを解決できるようにする必要があります。sts.example.com とmail.example.com のマップをローカルの Hosts ファイルに追加して、必ず両方のホストが WAP1サーバーのパブリック EIP に解決されるようにします。

25. 外部のワークステーションまたはサーバーからウェブブラウザを開きます。mail.example.com に移動します。フェデレーションサービスにリダイレクトされ、認証を求められます。stackadmin のユーザー名とパスワードを入力し、[Sign in] を選択します。

図 16: AD FS に対する事前認証

32

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

認証が成功した場合は、EXCH1 サーバーへの接続が Web アプリケーションプロキシを経由するようになります (図 17 を参照)。

図 17: 公開アプリケーションへの接続完了

33

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

フィードバックの送信GitHub リポジトリでは、このクイックスタートのテンプレートとスクリプトのダウンロード、コメントの投稿、および他のユーザーとのカスタマイズ内容の共有ができます。

34

AWS での Web アプリケーションプロキシおよび ADFS クイックスタートリファレンスデプロイガイド

ドキュメントの改訂日付 変更 場所

2017年7月日 DHCP オプションを更新。RDゲートウェイのデプロイとAmazon S3 のポータビリティを拡張。

ガイド全体での変更、テンプレートの更新

2016 年 8 月 クイックスタートアセットの場所を設定する場合のパラメータを追加。

ステップ 2 (p. 16) (パラメータ一覧)

2015 年 9 月 パフォーマンスと価格を改善するため、サンプルテンプレートで Active Directory と RDGateway インスタンスのデフォルトのタイプを m3.xlarge からm4.xlarge に変更しました。

ステップ 2 (p. 16) (パラメータ一覧)

2015 年 8 月 初版発行 –

注意このデプロイガイドは、情報提供のみを目的としています。本書は、発行時点における AWS の現行製品と慣行を表したものであり、それらは予告なく変更されることがあります。お客様は本文書の情報および AWS 製品の使用について独自に評価する責任を負うものとします。これらの情報は、明示または黙示を問わずいかなる保証も伴うことなく、「現状のまま」提供されるものです。本文書内のいかなるものも、AWS、その関係者、サプライヤ、またはライセンサーからの保証、表明、契約的なコミットメント、条件や確約を意味するものではありません。お客様に対する AWS の責任は AWS 契約によって規定されています。また、本文書は、AWS とお客様との間の契約に属するものではなく、また、当該契約が本文書によって修正されることもありません。

35