マクロソフト株式会社 テクノロジー・ビジネス統括本部 テクノロジー スペシャリスト 竹内 宏之
次期 Microsoft Online Services の ID およびゕクセス管理 ~ AD FS 2.0 によるシングル サンオンの実現 1 ~
セッション ID: T1-304
2
セッションの目的とゴール Session Objectives and Takeaways
セッションの目的 現在の Microsoft Online Services の ID 管理方法を理解していただく
次期 Microsoft Online Services と AD FS 2.0 を組み合わせた 新しい認証方式 の 仕組みと設定方法を理解していただく
セッションのゴール これまでの認証と どのように違うか を 説明できるようになる
どのようなメリットがあるか を 説明できるようになる
3
ご注意
本セッションでは、 現在開発中の製品を取り扱っています。
仕様および機能は変更される可能性があります。
4
ゕジェンダ
現在の Microsoft Online Services の認証 マクロソフト オンラン ID
次期 Microsoft Online Services の認証 AD FS 2.0 とは?
フェデレーション ID
まとめ
マクロソフト オンラン ID
現在の Microsoft Online Services の認証
6
企業ネットワーク
インターネット
マクロソフト オンラン ID クラウド上の ID を利用したサンン
マクロソフト オンラン ID デゖレクトリ ストゕ
入力・送信された ID, パスワードを確認
Microsoft Online Services サンン ツール
ユーザー
ツールを使えば事前認証も可能
7
マクロソフト オンラン ID Microsoft Online Services サンン ツール
Microsoft Online Services への シームレスなゕクセスを提供するツール
パスワードの管理 (期限切れの通知、変更)
全てにチェックを つけることで、 擬似的な SSO を実現
8
マクロソフト オンラン ID サンン ツール システム要件
OS Windows XP Professional Edition (Home Edition にはンストール不可)
Windows Vista
Windows 7
Windows Server 2003 SP2
Macintosh OS X (10.4)
ソフトウェゕ .NET Framework 3.0 SP1 または .NET Framework 3.5
Java client 1.4.2 (Macintosh OS X)
サンン ツールを使った ユーザーの利便性の向上
Microsoft Online Services サンン ツール
10
DEMO サンン ツールを使ったユーザーの利便性の向上
企業ネットワーク
マクロソフト オンラン ID デゖレクトリ ストゕ
インターネット
入力・送信された ID, パスワードを確認
Microsoft Online Services サンン ツール
ツールを使えば事前認証も可能
ユーザー
11
マクロソフト オンラン ID Microsoft Online Service への ID の登録方法
管理センター
デゖレクトリ同期ツール
PowerShell
企業ネットワーク
マクロソフト オンラン ID デゖレクトリ ストゕ
管理者 管理センター
デゖレクトリ 同期ツール
PowerShell
12
マクロソフト オンラン ID 管理センター
Web ブラウザーを使ったユーザーの管理
CSV フゔルからのンポートも可能
13
マクロソフト オンラン ID デゖレクトリ同期ツール
Active Directory 上のユーザーを オンラン上に同期するツール
同期対象
ユーザー ゕカウント
メール受信可能なグループ
連絡先
※注意: 同期対象を指定することはできない
同期間隔 設定完了後、3 時間ごとに自動同期
手動で強制同期も可能
その他
初回同期時はゕカウントは無効状態 (ゕクテゖブ化が必要)
同期完了はベント ログなどで確認可能
同期オブジェクトに非表示属性を適用したい場合、 Exchange のスキーマの拡張が必要
14
マクロソフト オンラン ID デゖレクトリ同期ツールで同期される属性 1/4
Active Directory Microsoft Online Services
15
マクロソフト オンラン ID デゖレクトリ同期ツールで同期される属性 2/4
Active Directory Microsoft Online Services
16
マクロソフト オンラン ID デゖレクトリ同期ツールで同期される属性 3/4
Active Directory Microsoft Online Services
17
マクロソフト オンラン ID デゖレクトリ同期ツールで同期される属性 4/4
Active Directory Microsoft Online Services
18
マクロソフト オンラン ID デゖレクトリ同期ツールの考慮事項
システム要件 Windows Server 2003/2008 (x86 のみ)
同期を行う Active Directory にドメン参加
ドメン コントローラーへのンストールは不可
.NET Framework 2.0 以降
Windows PowerShell 1.0
同期にかかる予測時間 オブジェクト数 最初の同期 2 回目以降
500 個 5 分 30 秒
1,000 個 10 分 1 分
5,000 個 45 分 5 分
15,000 個 2.5 時間 10 分
※実際にかかる時間は、 接続するンターネットの 帯域幅によって異なる
19
マクロソフト オンラン ID PowerShell
マクロソフト オンラン ID を 管理する専用のコマンド
PowerShell コマンドレット 説明
Add-MSOnlineUser ユーザー ゕカウントの作成 (作成後は無効な状態)
Enable-MSOnlineUser ユーザーの有効化とラセンスの割り当て
Remove-MSOnlineUser ユーザー ゕカウントの削除
Set-MSOnlineUserPassword パスワードを設定
Get-MSOnlineSubscription 使用可能なサブスクリプションのリストを返し、 ラセンスをユーザーに割り当て
Get-MSOnlineUser プロパテゖの表示
Set-MSOnlineUser プロパテゖの設定
マクロソフト オンラン ID の管理
管理センター デゖレクトリ同期ツール
21
DEMO マクロソフト オンラン ID の管理
企業ネットワーク
マクロソフト オンラン ID デゖレクトリ ストゕ
管理者
デゖレクトリ 同期ツール
管理センター
デゖレクトリの同期
ゕカウントの 作成/有効化
インターネット
22
企業ネットワーク
インターネット
マクロソフト オンラン ID デゖレクトリ同期ツールを使った ID 管理のメージ
マクロソフト オンラン ID デゖレクトリ ストゕ
管理者
デゖレクトリ 同期ツール
管理センター
デゖレクトリの同期
ゕカウントの 有効化
ゕカウントの 編集/新規作成
23
マクロソフト オンラン ID Windows Azure と SQL Azure を使った ID 管理
インターネット
ユーザー
LDAP サーバー 管理端末
ID パスワード
takeuchi P@ssw0rd
… …
ID のメンテナンス b.
企業ネットワーク
取得した ID, パスワードで OWA から自動ログン 2.
1. LDAP の ID を使って ID とパスワードを取得
パスワードを 定期的にリセット a.
24
マクロソフト オンラン ID 現在の認証方式の特徴
クラウド上の ID を利用してサンン クラウド上の Active Directory を利用
ツールを利用すると擬似的な SSO が利用可能
管理者は企業内とクラウド上の ID を管理 デゖレクトリ同期ツールを利用すると 企業内の Active Directory と同期が可能
パスワード ポリシーは変更不可 大文字、小文字、数字、記号を 3 つ以上組み合わせた 7 文字以上
90 日に 1 回パスワード変更
過去 24 個のパスワードは利用不可
AD FS 2.0 とは?
フェデレーション ID
次期 Microsoft Online Services の認証
26
AD FS 2.0 とは? Active Directory フェデレーション サービス 2.0
ネットワーク境界を超えた認証環境の提供
AD FS 2.0 サーバー
自社ネットワーク
ユーザー
インターネット
企業 A
AD FS 2.0 の特徴 自社 ID 情報を使った SSO が可能
専用ネットワーク不要
標準規格 (WS-*, SAML ※) 準拠
※ Microsoft Online Services は SAML 1.1 対応 (SAML 2.0 は将来的にサポート)
27
AD FS 2.0 とは? トークン/クレーム方式
AD FS 2.0 認証はトークン/クレーム方式
クラゕント⇔ゕプリ間の認証データの 通信をトークン/クレーム方式でやり取り
クレーム 1 (姓)
クレーム 2 (名)
クレーム 3 (部署)
クレーム 4 (役職)
…
トークン
発行元を示すデジタル署名を付け トークンの改ざんを防止
クレーム 認証ユーザーの属性情報
トークン 属性情報 (クレーム) を まとめたもの クレーム n (…)
デジタル署名
28
AD FS 2.0 とは? トークン/クレーム方式のメリット
現在の多くのゕプリケーションは、 認証時に単純な ID 情報しか得られない
ユーザー ID/パスワード⇒認証結果 (OK/NG)
その他の情報 (部署、役職…) は、 別途 ID ストゕに問い合わせが必要
トークン/クレーム方式による認証と認可の統合 様々な情報 (名前、部署、役職…) を含めることが可能
認証処理と認可処理を同じゕプローチで実装が可能
29
AD FS 2.0 とは? 構成コンポーネント
AD FS 2.0 サーバー ユーザーからの要求に応じてトークンを発行
セキュリテゖ トークン サービス (STS)
Windows Identity Foundation (WIF) クレームを取り出し、認証・認可処理を実施
.NET ベースのフレームワーク
独自 STS の実装も可能
30
AD FS 2.0 とは? トークン/クレーム方式の認証プロセス
AD FS 2.0 サーバー
ユーザー
3. トークンを作成
ゕプリケーション
WIF
姓
名
所属
役職
たけうち
ひろゆき
Microsoft
平社員
デジタル署名
6. トークンの署名を調べ 信頼する STS か判断
31
フェデレーション ID 次期認証方式 (AD FS 2.0 連携) の特徴
企業内の ID を用いたシングル サンオン 認証情報は、企業ネットワークの Active Directory を利用
管理者は企業内の ID のみを管理 デゖレクトリ同期ツールを利用すると 企業内の Active Directory と同期が可能
ゕクセス制御 ゕクセスできる場所を指定
ゕクセスできるユーザーを指定 組み合わせることで、 社外からゕクセスできるユーザーを限定可能
32
フェデレーション ID 企業内の ID を用いたシングル サンオン 1/4
① Microsoft Online Services にゕクセス
② 認証のためにサービス トークンをユーザーに要求
③ MFG にリダレクトされサービス トークンを要求
インターネット
企業ネットワーク
Microsoft Federation Gateway (MFG)
AD FS 2.0
① ②
ユーザー
フェデレーション信頼
③
33
フェデレーション ID 企業内の ID を用いたシングル サンオン 2/4
④ サービス トークンを発行するために必要な ログオン トークンをユーザーに要求
⑤ AD FS 2.0 に接続しログオン トークンを要求
インターネット
企業ネットワーク
AD FS 2.0
ユーザー
Microsoft Federation Gateway (MFG) フェデレーション信頼
④
⑤
34
フェデレーション ID 企業内の ID を用いたシングル サンオン 3/4
⑥ AD に接続し、MFG から要求されているデータを収集
⑦ AD FS 2.0 から要求されたデータを送信
⑧ SAML 署名されたログオン トークンをユーザーに送信
インターネット
企業ネットワーク
AD FS 2.0
ユーザー
Microsoft Federation Gateway (MFG) フェデレーション信頼 ⑦
⑥
⑧
ログオン トークン
35
フェデレーション ID 企業内の ID を用いたシングル サンオン 4/4
⑨ ログオントークンを送信、MFG が復元・署名の確認
⑩ ユーザーにサービス トークンを送信
⑪ サービス トークンを送信し、サービスの利用を開始
インターネット
企業ネットワーク
AD FS 2.0
ユーザー
Microsoft Federation Gateway (MFG) フェデレーション信頼
⑨
⑩
⑪
サービス トークン
36
フェデレーション ID 外部からのゕクセス
AD FS 2.0 プロキシ サーバー 外部から AD FS 2.0 サーバーに要求を転送
ゕクセスするユーザーの限定も可能
企業ネットワーク
AD FS 2.0 AD FS 2.0 プロキシ サーバー
DMZ
社外 ユーザー
37
フェデレーション ID システム要件 1/2
AD FS 2.0 サーバー OS: Windows Server 2008, 2008 R2
Internet Information Services (IIS) 7
.NET Framework 3.5 SP1
ドメン参加が必要
AD FS 2.0 プロキシ サーバー OS: Windows Server 2008, 2008 R2
Internet Information Services (IIS) 7
.NET Framework 3.5 SP1
ドメン参加は不要
38
フェデレーション ID システム要件 2/2
接続クラゕント OS: Windows XP, Vista, 7
AD FS 2.0 サービス エージェントの ンストールが必要
その他の要件 ドメン コントローラーの OS: Windows Server 2003 以降
ドメン・フォレスト機能レベル: 2003 以上
39
フェデレーション ID フェデレーション ID の考慮点 ~ 内部ネットワーク
フェデレーション ID と マクロソフト オンラン ID は二者択一
シングル フォレストのみサポート
UPN は ユーザー名@外部ドメン の形式 内部ドメンが .local の場合、 外部ドメンに一致した UPN サフックスを ユーザー ゕカウントに追加する必要がある
40
フェデレーション ID フェデレーション ID の考慮点 ~ AD FS の冗長化
AD FS 2.0 サーバーに障害が発生すると ユーザーが Microsoft Online Services に ゕクセスできない
AD FS 2.0 サーバー/プロキシ サーバーの 冗長化構成方法
ネットワーク負荷分散 (NLB)
H/W ロード バランサー
41
フェデレーション ID AD FS 2.0 サーバーの冗長化 (フゔームと構成 DB)
1. スタンドゕロン + WID
2. サーバー フゔーム + WID 各サーバーが WID を持つ
5 分に 1 回の更新チェック
3. サーバー フゔーム + SQL Server
fsconfig.exe コマンドで構成
WID からの移行は不可
SQL Server は 1 セット
クラスター構成可能
プラマリ AD FS 2.0
(R/W)
セカンダリ AD FS 2.0
(R/O)
AD FS 2.0
SQL Server (R/W)
NLB
NLB
WID: Windows Internal Database
低
高
可用性
クラスター
42
インターネット
フェデレーション ID AD FS 2.0 利用時の構成例
企業ネットワーク
同期 ツール
AD FS 2.0 社内
ユーザー
社外 ユーザー
AD FS 2.0 プロキシ サーバー
DMZ
フェデレーション信頼
マクロソフト オンラン ID デゖレクトリ ストゕ
Microsoft Federation Gateway (MFG)
43
まとめ "現在" の認証方式と "次期" 認証方式の比較
マクロソフト オンラン ID クラウド上の ID を利用してサンン
管理者は企業内とクラウド上の ID を管理
クラウド上のパスワード ポリシーは変更不可
フェデレーション ID 企業内の ID を利用してシングル サンオン
管理者は企業内の ID のみを管理
企業内のパスワード ポリシーのみを管理
ゕクセス制御とユーザー制御が可能
2 因子認証を利用可能
44
関連セッション
T1-302: 次世代 Microsoft Online Services の 最新情報
T1-303: Exchange Server 2010 と次世代 Exchange Online の共存
T1-310: Microsoft Online Services 展開時の実践テクニック
T1-306: Exchange Server のクラウド対応セキュリテゖ対策
T3-304: AD FS 2.0 のゕーキテクチャと Windows Azure 連携の実装
45
リフゔレンス
マクロソフト オンラン サービス製品情報 http://www.microsoft.com/japan/online/default.mspx
Microsoft Online Services 開発者向け情報 http://msdn.microsoft.com/ja-jp/ms.online.aspx
Microsoft Online Services 技術者向け情報 (TechCenter) http://technet.microsoft.com/ja-jp/msonline/default.aspx
オンラン サービスのトラゕル サト http://www.microsoft.com/japan/online/trial.mspx
オンラン サービスの体験サト (手続きなしですぐ体験できる) http://www.microsoft.com/japan/online/trial2.mspx