埋もれそうなので書き出しておく。誤字脱字はあると思います。

 

アプリケーション[ExchangeOnline,SharePointOnline]

ミドルウェア：[SQLAzure,AzurePlatform]

オペレーティングシステム：[WindowsAzure]

 

Office365へのフェデレーションシングルサインオンに必要な構成

１．Office365テナント

２．ActiveDirectoryフェデレーションサービス

３．ローカル ActiveDirectory

 

ADFS連携は、Office365の「AD統合」機能が必要なので、Eプランor電子メールプランが必要だよ

※意外と電子メールプランでもおｋ

 

ADFS連携すると、

サインイン時にパスワード入力画面のテキストボックスがグレイアウトして

下に[ドメイン]にサインインする」リンクができる

※意外とoutlook.com のアドレスを入れても同じ

 

外出先からなどは、プロキシ経由でサインイン画面が表示され、認証される

※ドメインに参加したPCからはシングルサインオンするんじゃねーのかなぁ？

→結局プロキシ経由のサインイン画面が出るみたい

 

Windows Azure Active Directory クラウド側のディレクトリサービス

・フォレスト全体の同期になるよ、「どこかのOUだけ連携したい」とかはできないよ

・フォレストとドメインの機能レベルはWindows2003以上であればおｋ

 

■既存のシステムをすべてクラウド上に移行する必要はないよね

だけど、ID管理は簡単にしたいよねそんな時こそ、ADFS

 

ユーザー名について

サムアカウント(sAMAccountName): [DomainName][UseraName]

UPNアカウント(ユーザープリンシパルネーム)　zzz@zzz.com

 

■証明書の基本知識

信頼されている証明書機関(CA)で発行されたCAが必要だよ

 

ADFS2.0以降は承認された時に渡すIDには、ユーザー名はコンピュータ名だけでなく、紐付く属性情報も含まれるよ

 

■クレーム（要求）ベース認証

１．アプリケーションを公開する側のアプリケーションが、承認に必要な属性を要求

２．要求に従い承認トークンをアプリケーション側に渡す

３．アプリケーションを公開する側の承認処理サーバーがアプリケーションサーバーに渡す

 

ID情報の運用方法２パターン

・承認側にID情報を持たせない

例：WIFアプリケーション　もっと解りやすい例はないかな？

 

・承認側にID情報を持たせる（一部情報は同期される

例：Office365 AzureActiveDirectory

 

■Office365の認証ID

Office365に登録される２つのID

１．MicrosoftOnlineServiceID

Office365にアクセスする際、Office365条のIDで認証する

例： xxx@xxxx.onmaicrosoft.com

 

２．フェデレーションID

Office365にアクセスする際、ローカルActiveDirectoryのIDで認証する

クレームベース認証に使うことができるID　ADFS連携すると、Office365管理画面のユーザーメニューの編集項目がグレイアウトする（ローカルADでやってください）

パスワードポリシーもローカルに合わせますよ

例：Office365で言う所の、メールアドレス

 

サポートするプロトコル

WS-Federation :Office365で利用されるプロトコル

 

属性ストア：DCのこと、LDAP、SQLServerも指定できる

 

認証側：要求プロバイダー(ClaimProvider CP)

属性ストアを持ち、認証を行う側のシステム/ネットワーク全般

承認側：証明書利用者(RelyingParty RP)

クレームベースアプリケーションを持ち、承認を行う側のシステム/ネットワーク全般

 

■クレームとトークン

発行されたトークンは発行元ADFS2.0サーバーの”トークン署名証明書”でデジタル署名される

 

トークン署名証明書（自己証明証明書を推奨）

ADFSによって作成されたトークンへのデジタル署名で使用する証明書

 

サービス通信証明書（SSL）

ADFSサーバーとクライアントの間のSSL安藤か通信で使用する証明書

推奨：信頼されている証明機関（CA)から発行された証明書を使用する

 

トークン解読証明書（自己証明証明書を推奨）

暗号化されて送られてきたトークンを解読するための証明書

 

フェデレーション認証のフロー

必ずユーザー側（ブラウザ）に都度つど、リダイレクションされる

・認証は社内の属性ストアで行われるため、インターネット上に流れない

トークンのみインターネット上に流れるがHTTPS通信

 

インストール時の注意

構成ウィザードでは、構成データベースをSQLServerに指定することができない。

→FsConfig.exeで構成する必要がある

 

フェデレーションドメイン名

・ActiveDirectoryドメイン：contoso.local

・Webサーバーなどの公開ドメイン名：contoso.com

・onmicrosoft.comドメイン名：Office365既定のドメイン名

・フェデレーションドメイン名：Office365へのシングルサインオンで使用するIDフェデレーションのドメイン名

フェデレーションサーバーとフェデレーションサーバープロキシのFQDNで使用するドメイン名：contoso365.com

 

すでに公開しているドメイン名とフェデレーションドメイン名を共有することは可能。すでに公開しているドメイン名のサブドメインとすることも可能（DNSレコードを登録するときに関係する）