埋もれそうなので書き出しておく。誤字脱字はあると思います。
アプリケーション[ExchangeOnline,SharePointOnline]
ミドルウェア:[SQLAzure,AzurePlatform]
オペレーティングシステム:[WindowsAzure]
Office365へのフェデレーションシングルサインオンに必要な構成
1.Office365テナント
2.ActiveDirectoryフェデレーションサービス
3.ローカル ActiveDirectory
ADFS連携は、Office365の「AD統合」機能が必要なので、Eプランor電子メールプランが必要だよ
※意外と電子メールプランでもおk
ADFS連携すると、
サインイン時にパスワード入力画面のテキストボックスがグレイアウトして
下に[ドメイン]にサインインする」リンクができる
※意外とoutlook.com のアドレスを入れても同じ
外出先からなどは、プロキシ経由でサインイン画面が表示され、認証される
※ドメインに参加したPCからはシングルサインオンするんじゃねーのかなぁ?
→結局プロキシ経由のサインイン画面が出るみたい
Windows Azure Active Directory クラウド側のディレクトリサービス
・フォレスト全体の同期になるよ、「どこかのOUだけ連携したい」とかはできないよ
・フォレストとドメインの機能レベルはWindows2003以上であればおk
■既存のシステムをすべてクラウド上に移行する必要はないよね
だけど、ID管理は簡単にしたいよねそんな時こそ、ADFS
ユーザー名について
サムアカウント(sAMAccountName): [DomainName][UseraName]
UPNアカウント(ユーザープリンシパルネーム) zzz@zzz.com
■証明書の基本知識
信頼されている証明書機関(CA)で発行されたCAが必要だよ
ADFS2.0以降は承認された時に渡すIDには、ユーザー名はコンピュータ名だけでなく、紐付く属性情報も含まれるよ
■クレーム(要求)ベース認証
1.アプリケーションを公開する側のアプリケーションが、承認に必要な属性を要求
2.要求に従い承認トークンをアプリケーション側に渡す
3.アプリケーションを公開する側の承認処理サーバーがアプリケーションサーバーに渡す
ID情報の運用方法2パターン
・承認側にID情報を持たせない
例:WIFアプリケーション もっと解りやすい例はないかな?
・承認側にID情報を持たせる(一部情報は同期される
例:Office365 AzureActiveDirectory
■Office365の認証ID
Office365に登録される2つのID
1.MicrosoftOnlineServiceID
Office365にアクセスする際、Office365条のIDで認証する
例: xxx@xxxx.onmaicrosoft.com
2.フェデレーションID
Office365にアクセスする際、ローカルActiveDirectoryのIDで認証する
クレームベース認証に使うことができるID ADFS連携すると、Office365管理画面のユーザーメニューの編集項目がグレイアウトする(ローカルADでやってください)
パスワードポリシーもローカルに合わせますよ
例:Office365で言う所の、メールアドレス
サポートするプロトコル
WS-Federation :Office365で利用されるプロトコル
属性ストア:DCのこと、LDAP、SQLServerも指定できる
認証側:要求プロバイダー(ClaimProvider CP)
属性ストアを持ち、認証を行う側のシステム/ネットワーク全般
承認側:証明書利用者(RelyingParty RP)
クレームベースアプリケーションを持ち、承認を行う側のシステム/ネットワーク全般
■クレームとトークン
発行されたトークンは発行元ADFS2.0サーバーの”トークン署名証明書”でデジタル署名される
トークン署名証明書(自己証明証明書を推奨)
ADFSによって作成されたトークンへのデジタル署名で使用する証明書
サービス通信証明書(SSL)
ADFSサーバーとクライアントの間のSSL安藤か通信で使用する証明書
推奨:信頼されている証明機関(CA)から発行された証明書を使用する
トークン解読証明書(自己証明証明書を推奨)
暗号化されて送られてきたトークンを解読するための証明書
フェデレーション認証のフロー
必ずユーザー側(ブラウザ)に都度つど、リダイレクションされる
・認証は社内の属性ストアで行われるため、インターネット上に流れない
トークンのみインターネット上に流れるがHTTPS通信
インストール時の注意
構成ウィザードでは、構成データベースをSQLServerに指定することができない。
→FsConfig.exeで構成する必要がある
フェデレーションドメイン名
・ActiveDirectoryドメイン:contoso.local
・Webサーバーなどの公開ドメイン名:contoso.com
・onmicrosoft.comドメイン名:Office365既定のドメイン名
・フェデレーションドメイン名:Office365へのシングルサインオンで使用するIDフェデレーションのドメイン名
フェデレーションサーバーとフェデレーションサーバープロキシのFQDNで使用するドメイン名:contoso365.com
すでに公開しているドメイン名とフェデレーションドメイン名を共有することは可能。すでに公開しているドメイン名のサブドメインとすることも可能(DNSレコードを登録するときに関係する)