Posts Tagged: active directory

ADFS2.0とOffice365のID同期とシングルサインオンセミナーに参加した時のメモ

埋もれそうなので書き出しておく。誤字脱字はあると思います。

 

アプリケーション[ExchangeOnline,SharePointOnline]

ミドルウェア:[SQLAzure,AzurePlatform]

オペレーティングシステム:[WindowsAzure]

 

Office365へのフェデレーションシングルサインオンに必要な構成

1.Office365テナント

2.ActiveDirectoryフェデレーションサービス

3.ローカル ActiveDirectory

 

ADFS連携は、Office365の「AD統合」機能が必要なので、Eプランor電子メールプランが必要だよ

※意外と電子メールプランでもおk

 

ADFS連携すると、

サインイン時にパスワード入力画面のテキストボックスがグレイアウトして

下に[ドメイン]にサインインする」リンクができる

※意外とoutlook.com のアドレスを入れても同じ

 

外出先からなどは、プロキシ経由でサインイン画面が表示され、認証される

※ドメインに参加したPCからはシングルサインオンするんじゃねーのかなぁ?

→結局プロキシ経由のサインイン画面が出るみたい

 

Windows Azure Active Directory クラウド側のディレクトリサービス

・フォレスト全体の同期になるよ、「どこかのOUだけ連携したい」とかはできないよ

・フォレストとドメインの機能レベルはWindows2003以上であればおk

 

■既存のシステムをすべてクラウド上に移行する必要はないよね

だけど、ID管理は簡単にしたいよねそんな時こそ、ADFS

 

ユーザー名について

サムアカウント(sAMAccountName): [DomainName][UseraName]

UPNアカウント(ユーザープリンシパルネーム) zzz@zzz.com

 

■証明書の基本知識

信頼されている証明書機関(CA)で発行されたCAが必要だよ

 

ADFS2.0以降は承認された時に渡すIDには、ユーザー名はコンピュータ名だけでなく、紐付く属性情報も含まれるよ

 

■クレーム(要求)ベース認証

1.アプリケーションを公開する側のアプリケーションが、承認に必要な属性を要求

2.要求に従い承認トークンをアプリケーション側に渡す

3.アプリケーションを公開する側の承認処理サーバーがアプリケーションサーバーに渡す

 

ID情報の運用方法2パターン

・承認側にID情報を持たせない

例:WIFアプリケーション もっと解りやすい例はないかな?

 

・承認側にID情報を持たせる(一部情報は同期される

例:Office365 AzureActiveDirectory

 

■Office365の認証ID

Office365に登録される2つのID

1.MicrosoftOnlineServiceID

Office365にアクセスする際、Office365条のIDで認証する

例: xxx@xxxx.onmaicrosoft.com

 

2.フェデレーションID

Office365にアクセスする際、ローカルActiveDirectoryのIDで認証する

クレームベース認証に使うことができるID ADFS連携すると、Office365管理画面のユーザーメニューの編集項目がグレイアウトする(ローカルADでやってください)

パスワードポリシーもローカルに合わせますよ

例:Office365で言う所の、メールアドレス

 

サポートするプロトコル

WS-Federation :Office365で利用されるプロトコル

 

属性ストア:DCのこと、LDAP、SQLServerも指定できる

 

認証側:要求プロバイダー(ClaimProvider CP)

属性ストアを持ち、認証を行う側のシステム/ネットワーク全般

承認側:証明書利用者(RelyingParty RP)

クレームベースアプリケーションを持ち、承認を行う側のシステム/ネットワーク全般

 

■クレームとトークン

発行されたトークンは発行元ADFS2.0サーバーの”トークン署名証明書”でデジタル署名される

 

トークン署名証明書(自己証明証明書を推奨)

ADFSによって作成されたトークンへのデジタル署名で使用する証明書

 

サービス通信証明書(SSL)

ADFSサーバーとクライアントの間のSSL安藤か通信で使用する証明書

推奨:信頼されている証明機関(CA)から発行された証明書を使用する

 

トークン解読証明書(自己証明証明書を推奨)

暗号化されて送られてきたトークンを解読するための証明書

 

フェデレーション認証のフロー

必ずユーザー側(ブラウザ)に都度つど、リダイレクションされる

・認証は社内の属性ストアで行われるため、インターネット上に流れない

トークンのみインターネット上に流れるがHTTPS通信

 

インストール時の注意

構成ウィザードでは、構成データベースをSQLServerに指定することができない。

→FsConfig.exeで構成する必要がある

 

フェデレーションドメイン名

・ActiveDirectoryドメイン:contoso.local

・Webサーバーなどの公開ドメイン名:contoso.com

・onmicrosoft.comドメイン名:Office365既定のドメイン名

・フェデレーションドメイン名:Office365へのシングルサインオンで使用するIDフェデレーションのドメイン名

フェデレーションサーバーとフェデレーションサーバープロキシのFQDNで使用するドメイン名:contoso365.com

 

すでに公開しているドメイン名とフェデレーションドメイン名を共有することは可能。すでに公開しているドメイン名のサブドメインとすることも可能(DNSレコードを登録するときに関係する)