Upload
junichi-anno
View
1.043
Download
8
Embed Size (px)
Citation preview
参考記事
https://blogs.msdn.microsoft.com/samueld/2017/06/13/choosing-the-right-sign-in-option-to-connect-to-azure-ad-office-365/
1. パスワード同期
2. Active Directory Federation Service (ADFS)
3. 3rd party Federation Service
4. パススルー認証(プレビュー)
5. Azure AD シームレス SSO
• Azure AD Connect は生パスワードにアクセスできない
• 統一パスワードだが SSO ではない• 利用者は Office 365 にアクセスする
ために Azure AD に保存されたパスワードで再認証する必要がある
• オンプレミスはMD4、クラウドは
SHA256
MD4 Hashed
Password (unicodePwd)
• Azure AD でパスワードを“リセット/変更”した場合、パスワードをオンプレミスに書き戻す機能
• Azure AD Premium P1/P2 で提供
• 以下の構成でサポートされる• パスワード同期• フェデレーション• パススルー認証
• 以下の操作がサポートされる• 管理者によるリセット/変更• ユーザーによるリセット/変更
• 以下は現時点で未サポート• PowerShell v1、v2、または Azure AD
Graph API を使用したパスワードのリセット
• “Office 管理ポータル”から管理者が開始したエンドユーザーのパスワードのリセット
MD4 Hashed
Password (unicodePwd)
Tenant-specific Service Bus Relay
変更を検知Inbound port の open は不要
Write Back
AD DS SetPassword API
Write Back
Firewall
Decrypt passwordby private key
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnectsync-connector-genericldap
• Azure AD federation compatibility listhttps://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-federation-compatibility
• Use a SAML 2.0 Identity Provider (IdP) for Single Sign Onhttps://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-federation-saml-idp• SAML 2.0 compliant SP-Lite profile
• Hybrid Identity directory integration tools comparisonhttps://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-tools-comparison
• Microsoft Connectivity Analyzerhttps://testconnectivity.microsoft.com/?tabid=Client
Sync w
ithPassw
ord
Sync w
ithPassw
ord
• クラウドリソースにアクセスするための認証をオンプレミスADDSで行う
• ハッシュされたパスワードを同期しない• フェデレーションを使用せずにオンプレミ
スで認証する• セルフサービスパスワード変更/リセット
も可能• Azure AD Connect でセットアップする• AD FS の可用性を考慮する必要が無い• AD FS の導入に比べればとにかく楽!
Preview
Tenant-specific Service Bus Relay
Inbound port の open は不要Firewall
Sync
Iden
tity
②ログイン検知③取り出し
④Decrypt password by private key
⑤Check Id/password pair
With Win32 API
>=1.1.557.0
⑥結果
(注)オンプレミスとクラウドで同じID/Passwordを使用できるか、SSOではない!
Supported• web browser-based applications• Office 365 client applications that support modern authentication.• Azure AD Join for Windows 10 devices.• Exchange ActiveSync support.• PowerShell v2.0 or later
Unsupported during preview• Office 2013 or earlier• Skype for Business client applications, including Skype for Business 2016.• PowerShell v1.0
P1
P1
P1P1
P2
P1
• Azure AD にサインインするためのパスワード入力が必要がなくなる
AZUREADSSOACCT
Preview
OS/ブラウザー Internet Explorer Edge Google Chrome Mozilla Firefox Safari
Windows 10 あり なし あり はい*
Windows 8.1 あり あり はい*
Windows 8 あり あり はい*
Windows 7 あり あり はい*
Mac OS X 該当なし はい* はい* はい*
* 追加構成の必要あり
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso-quick-start#browser-considerations
特徴 PC ログオン クラウドアプリ利用時 SSO
Azure AD のみ 単一IdP Azure AD Azure AD 〇
パスワード同期 ADDSとAzure AD両方にパスワード
ADDS Azure AD AAD シームレス SSO と併用する。IDは入力の必要あり。
フェデレーション オンプレミスの認証結果をクラウドに引き継げる
ADDS ADDS 〇
パススルー ADDSに登録されたID/Passwordでクラウド上のリソースにアクセスできる
ADDS ADDS AAD シームレス SSO と併用する。IDは入力の必要あり。
Option Password 同期 パススルー ADFS
INFRASTRUCTURE & OPERATIONS
サーバー台数Min: 1Rec: 2
(+'Staging' server)
Min: 1Rec: 2 for HA
Min: 1Rec: 2 for HA
DMZ への展開が必要か NO NOYES(WAP)
Min:1, Rec: 2 for HA
自動フェールオーバー用のHAシナリオはあるか
NOYES
Service Bus RelayYES
ロードバランサ
SSL 必須 NO NO YES
クラウドからオンプレミスのサーバーを監視できるか
Connect Health(Premium)
PartialConnect Health
(Premium)
Option Password 同期 パススルー ADFS
AUTHENTICATIONAD - Password Sign-in YES YES YES
AD - Desktop SSO YES YES YES
AD - Soft Certificates(MDM or GPO provisioned)
NO NO YES
AD - Smart Card NO NO YES
AD - Fail Auth if user is disabledPartial. Typically up to 30 mins
for sync cycle to completeImmediate Immediate
AD - Fail Auth if user’s password has expired NO YES YES
AD - Supports users in multiple trusted AD forests YES YES YES
AD - Supports users in multiple untrusted AD forests
YES NO
YES (2016)untrusted forest can be configured as an LDAP
directory
3rd party LDAP - Password sign-inSee note 4
NO NO YES (2016)
Authenticator App as primary Sign-in (password less)
NO NO YES (2016)
Option Password 同期 パススルー ADFS
MFAAzure MFA (SMS, Phone, TOTP) YES YES YES (2016)
Azure MFA Server (+Pin support) NO NO YES
Win10 Hello For Business (Key trust) YES YES YES (2016)
Win10 Hello For Business (Cert trust) NO NO Coming Soon (2016)
3rd party MFA NO NOYES
(link)
Build Custom MFA NO NOYES
(link)
Option Password 同期 パススルー ADFS
APPLICATIONS
Browser YES YES YES
Exchange Active Sync (EAS) YES Coming Soon YES
Native apps (legacy auth) YES Coming Soon YES
Native apps (modern auth) YES YES YES
Win 10 desktop sign-in with Username/Password(U/P) on a AAD joined device
YES Coming Soon YES
Option Password 同期 パススルー ADFS
SIGN-IN EXPERIENCE
Customize logo, image and sign-in descriptionYES (premium)
(link)YES (premium)
(link)YES
(link)
Customize full layout with CSS customization NO NOYES
(link)
Customize dynamically with Java Script NO NOYES
(link)
Sign In with UPN YES YES YES
Sign In with Domain\samaccountname NO NO YES
Seamless first time sign-in to O365 native apps on Domain Joined devices
NO NO
YESOffice apps are optimized on first sign-in to look up the local UPN and seamlessly sign-in the user
using WS-Trust Kerberos endpoints from the Identity
provider.
Seamless 2nd time sign-in to O365 native apps on Domain Joined devices
YES YES YES
Option Password 同期 パススルー ADFSPASSWORD EXPIRY NOTIFICATION & CHANGE
Supports password expiry notification in Office Portal & Win10 desktop
NO NO YES
Custom password change URL link shown in Office Portal & Win10 desktop
NO NO YES
Integrated password change experience when user’s password has expired
NO NO YES
Option Password 同期 パススルー ADFS
DEVICES & ACCESS CONTROL
Device Registration: Win10 DJ YES YES YES
Device Registration: Win7/8.1 DJ Coming Soon YES YES
Block legacy protocols Coming Soon (Premium) Coming Soon (Premium)YES
(link)
Allow legacy protocols only from intranet (e.g. Office 2010)
Coming Soon (Premium) Coming Soon (Premium) YES
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-playbook-intro
Azure Active Directory の概念実証戦略
Azure AD Join
パスワード連携
OMA-DM
オンプレミス
SAML 2.0
WS-FederationOpenID Connect
OAuth 2.0
Identity is Control Plane
ID管理
認証
Active
Directory
ID Sync
SSO
業界標準プロトコルのサポート
他社 SaaS との ID 連携
Microsoft
Passport
Windows Hello
Windows 10Browser
セキュリティポリシー
アプリ配布/利用制限
暗号化,権限管理,追跡
BYOD/CYOD
社内業務
SAML 2.0WS-Fed.
監査ログ解析シャドウIT検出
Azure
Machine
Learning
Intune
SubscriptionRBA
C
…
Proxy
Connector
KCD
ID 同期
アクセス制御特権 ID 管理RBAC 多要素認証必須
アクセスOK
アクセス不可ID連携
Information
Protection
MDM/
MAM/
MCM
B2B
Azure IaaSDomain
Services
VPN
2015.11.25版
Kerberos
ldap
NTLM
Group Policy
SPNego
IWA
アクセスパネルBusiness
Store
SCIM 2.0
Identity Provider(Authority)
30
IdP の構成
Azure
MFA
オンプレミス
パブリッククラウド
Azure Active Directory
• パスワードの管理
• オンプレミスのIDとアクセス制御
• 長年蓄積されたオンプレミスのITガバナンス
• Kerberos からクラウドへのチケット変換
• クラウドサービスに対するIDとアクセス制御
• サービス間のシングルサインオン
Kerberos の世界
HTTP の世界Identity
Federation
Active Directory
ドメイン
31
Active Directory ドメインの構成
ディレクトリ
認証サーバー
Kerberos
セキュリティ
トークンサービス
その他
認証サーバー
業務アプリ
サーバー Authority
SAML 2.0/
WS-Federation
同期
WS-Fed
https
SAML
リバースプロキシー
(含 認証)
Conditional
Access
MicrosoftIdentityManager
Kerberos/
ldap/NTLM Firewall
WS-Fed
https
SAML
AD DS:Active Directory Domain Service
AD FS:Active Directory Federation Service
WAP:Web Application Proxy
Windows Server 2012 R2 ~
• Azure Active Directory をドメインコントローラーとして使用する機能
• 正確には、Azure AD テナントと同期するドメインコントローラーをAzure VNET 上に自動展開するサービス
• 既定で 2 台のドメインコントローラーが展開される
Azure VNET
Kerberos
ldap
NTLM
Group Policy
File Server
認証,
アクセス制御
ID/Password 同期
Azure VNET
Kerberos
ldap
NTLM
Group Policy
File Server
認証,
アクセス制御
ID/Password 同期
VPN GW
VPN Agent
最大250台/VNET辺り
難点
• 既存ドメインと統合できない
• Azure AD Domain Service に新規ドメインコントローラーを追加することもできない
• 既存ADドメインとの認証分離
AAD DS ドメインの世界 AAD の世界
Federation
ID &
パスワードハッシュ同期
オンプレミス
Azureアプリケーションプロキシ
Azure
MFA
オンプレミス
パブリッククラウド
Azure Active DirectoryAzure Application Proxy
Azure ProxyConnector
事前認証
代理認証
Azure ADパスワード連携
Access Panel MyApps
Azure AD にサインインしていれば、アクセスパネルがパスワード入力を代行してくれる
事前に登録しておく
Form に入力する ID とパスワードはAzure AD に暗号化して保存
フォーム認証が必要なアプリ
①サインイン② SSO