ADFS クレームルール言語 Deep Dive

クレームルール言語 Deep Dive株式会社ソフィアネットワーク

国井傑 (くにいすぐる)

スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/

自己紹介

Microsoft MVP for Directory Services (2006～2015)

マイクロソフト認定トレーナー(1997～)

ブログAlways on the clock

＠sophiakunii

株式会社ソフィアネットワーク所属

連載～基礎から分かるActive Directory再入門

評価ガイドあります

ADFS トレーニングコースがリニューアルしました

ニーズに合わせて、2つのコースをご提供！

Office 365ユーザー認証ベストプラクティス (2日コース)

Microsoft Azureを活用したADFS構築 (1日コース)

こんな人におすすめです。テスト環境を用意するだけでも大変なので、手っ取り早く学習したい。

今はとりあえずADFSが動いているけど、トラブルが起きたらどうしよう。

ADFSでデバイス制御を行いたい。

詳しくはクリエ・イルミネートWebサイトでご確認ください。http://www.crie-illuminate.jp

はじめに

ADFS と Azure Active Directory (Azure AD)ADFS による ID 連携

Azure AD による ID 連携

クレームルールとはトークンに含まれるクレームの定義またはアクセス制御を行うためのルール

クレームルールのお作法

クレームルールのお作法条件を指定しないで役割クレームに manager の値を発行

役職が設定されていない場合、役職クレームに一般社員の値を発行

役職が部長の場合、役職クレームを発行

クレームルールのお作法役職が部長の場合、役割クレームにも役職クレームと同じ値を発行

役職と名前を組み合わせた値を指定名クレームとして発行

クレームルールのお作法SQL Server の WorkerIDTable テーブルから emailaddress をキーにして WorkerID 列を取得し、WorkerID クレームにセット

【注意】SQL Server 属性ストアの定義が事前に必要

ADFS のクレームに SQL Server データベースを使う方法http://tinyurl.com/lm4gkyz

クレームルールのお作法発行承認規則で許可を発行

発行承認規則で拒否を発行

【参考】承認規則利用可能な主な要求記述

クレームルールのお作法正規表現

多要素認証利用のためのアクセス制御設定 Set-ADFSAdditionalAuthenticationRuleコマンドレットで設定

基本的な構文

条件=>処理

条件部分の書き方

ここでの「処理」とは「多要素認証を行いなさい」ということ

issue(Type = “http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod”, Value = “http://schemas.microsoft.com/claims/multipleauthn”);

Exists([Type==○○, Value==××])

c:[Type==○○, Value==××]

多要素認証利用のためのアクセス制御設定条件のシナリオ1：社内ネットワークからブラウザーでアクセスした場合

条件のシナリオ2 : Workplace Joinによるデバイス認証をしていない場合

exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"])

c:[Type == "http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value == "false"]

NOT EXISTS([Type == "http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser"])

多要素認証利用のためのアクセス制御設定条件のシナリオ1の場合における、アクセス制御設定の全文

‘exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"])=> issue(Type = “http://schemas.microsoft.com/ws/2008/06/

identity/claims/authenticationmethod”, Value = “http://schemas.microsoft.com/claims/multipleauthn”);’

デバイス認証利用のためのアクセス制御設定 Microsoft Office365 Identity Platform証明書利用者信頼の

発行承認規則で設定

クレームルールの書き方

処理部の書き方

条件部の書き方は次のスライドから

issue (Type = “http://schemas.microsoft.com/authorization/claims/permit”,value = “true”);

デバイス認証利用のためのアクセス制御設定条件のシナリオ1：デバイスクレームがある場合

条件のシナリオ2 : iOS の場合

exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier”])

exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/ostype”, Value == “iOS”])

デバイス認証利用のためのアクセス制御設定条件のシナリオ1の場合における、アクセス制御設定の全文

exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier”])=> issue (Type =

“http://schemas.microsoft.com/authorization/claims/permit”,value = “true”);

ADFS トレーニングコース開催しています！http://www.crie-illuminate.jp/

Active Directory フェデレーションサービストレーニング

Office 365ユーザー認証ベストプラクティス (2日コース)Microsoft Azure を活用した ADFS 構築 (1日コース)

Microsoft Confidential24

We don’t even have to try,It’s always a good time.

from “good time” by owl city & carly rae jepsen

ADFS クレームルール言語 Deep Dive

Internet

Transcript of ADFS クレームルール言語 Deep Dive

CUDA Deep Dive

MagniV Integrated Solution Deep Dive

MQTT Deep Dive Workshop [GERMAN]

Deep Dive into Modules

Senlin Clustering Service Deep Dive

async/await deep dive

Taxi Fare Deep Dive

Aruba ClearPass Exchange Deep Dive

C# Deep Dive

Deep Dive AWS CloudTrail

Deep Dive Para Slideshare

Deep Dive C# 6.0

Amazon Redshift Integration Deep Dive

Aerospike Deep Dive 資料

Deep dive into deeplearn.js

Deep Dive Interviewing Secrets

[오픈소스컨설팅]Atlassian JIRA Deep Dive

Ws2012フェールオーバークラスタリングdeep dive 130802

Deep dive (Analisa Trolly Cart)

Java Configuration Deep Dive with Spring