Post on 15-Jun-2015
description
ADFS+Office365によるセキュリティ強化~デバイス認証/多要素認証編
株式会社ソフィアネットワーク
国井 傑 (くにい すぐる)
スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/
自己紹介
Copyright 2014 Sophia Network Ltd.2
Microsoft MVP for Directory Services (2006~2014)
マイクロソフト認定トレーナー(1997~)
ブログAlways on the clock
@sophiakunii
株式会社ソフィアネットワーク 所属
連載~基礎から分かるActive Directory再入門
スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/
ADFS トレーニングコースがリニューアルします!
Copyright 2014 Sophia Network Ltd.3
ニーズに合わせて、2つのコースをご提供!
Office 365ユーザー認証ベストプラクティス (2日コース)
Microsoft Azureを活用したADFS構築 (1日コース)
こんな人におすすめです。テスト環境を用意するだけでも大変なので、手っ取り早く学習したい。
今はとりあえずADFSが動いているけど、トラブルが起きたらどうしよう。
クラウド連携の案件で先行者利益を取りたい!
詳しくはクリエ・イルミネートWebサイトでご確認ください。http://www.crie-illuminate.jp
こんな人に聞いてもらいたい
Copyright 2014 Sophia Network Ltd.4
スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/
これからお話しすること
1. はじめに
2. ADFSの多要素認証をOffice 365に実装
3. ADFSのデバイス認証をOffice 365に実装
Copyright 2014 Sophia Network Ltd.5
スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/
はじめに
Copyright 2014 Sophia Network Ltd.6
ユーザー名とパスワードだけでは、もう限界資格情報はすべて一緒は危険だし、別々にすれば覚えられない
7
【おさらい】 ADFSを利用したクラウドとの信頼関係Active Directoryフェデレーションサービス(ADFS)を活用すれば、クラウドを「1回のサインインでアクセスできる範囲」にできる
Office 365 のサインインもActive Directoryドメインサービスと統合できる
Copyright 2014 Sophia Network Ltd.
Office 365の認証を安全にするために
Copyright 2014 Sophia Network Ltd.9
複数の要素を利用した認証を行う~ ADFSの多要素認証をOffice 365に実装
Copyright 2014 Sophia Network Ltd.10
多要素認証とは? 複数の要素を利用して本人確認(認証)を行うこと
認証に使われる「要素」
1要素目 = ユーザー名/パスワード (知っていることを前提とした認証)
2要素目 = 電話、メール、OTPデバイスなど (所有していることを前提とした認証)
Copyright 2014 Sophia Network Ltd.11
+
Office 365の多要素認証 Azue ADで実装する多要素認証
Office365など、Azure ADを利用するクラウドサービスのみで利用可能
ユーザー単位で多要素認証を実装
多要素認証の方法は自分で選択可能 (電話・SMS・モバイルアプリ)
ADFSで実装する多要素認証
ADFSを利用する、すべてのサービス/アプリケーションで利用可能
様々な単位で多要素認証の有効・無効を設定可能
多要素認証には様々な認証方法を実装可能だが、既定では証明書による認証のみをサポート
Copyright 2014 Sophia Network Ltd.12
多要素認証で利用可能な認証方法を追加する 認証方法の追加
Microsoft Azure Multi-Factor Authenticationの利用
Microsoft.IdentityServer.web.dllファイルのカスタマイズ参考「カスタム多要素認証プロバイダーの作成(概要のみ)」(Always on the clock)
Copyright 2014 Sophia Network Ltd.13
Microsoft Azure Multi-Factor Authentication AAD の有償オプションとして用意された多要素認証機能
以下の認証方法をサポート電話
テキストメッセージ (SMS)
モバイルアプリ (Phone Factor, Inc)
OAUTHトークン (サードパーティのOTPデバイスを利用)
AAD内では「多要素認証プロバイダー」という名称で機能を提供
レポート機能の提供
ワンタイムバイパスによる多要素認証を一時的に使わない設定
音声メッセージのカスタマイズなど
Copyright 2014 Sophia Network Ltd.14
Microsoft Azure Multi-Factor Authentication
Copyright 2014 Sophia Network Ltd.15
利用開始方法
1. Azure管理ポータルから新規または既存のAADテナントを登録
2. Azure管理ポータルから多要素認証プロバイダーを登録
3. Azure管理ポータルから多要素認証プロバイダーポータルにアクセス
Azure Multi-Factor Authenticationアプリケーション
Azure管理ポータルから提供される、ADFSの多要素認証をカスタマイズするアプリケーション
参考「Windows Azure Multi-Factor Authenticationを利用したADFSの多要素認証の設定」
参考「モバイルアプリからOffice 365の多要素認証を使う」(以上、always on the clockより)
Copyright 2014 Sophia Network Ltd.16
多要素認証利用のためのアクセス制御設定 Set-ADFSAdditionalAuthenticationRuleコマンドレットで設定
基本的な構文
条件=>処理
条件部分の書き方
ここでの「処理」とは「多要素認証を行いなさい」ということ
Copyright 2014 Sophia Network Ltd.17
issue(Type = “http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod”, Value = “http://schemas.microsoft.com/claims/multipleauthn”);
Exists([Type==○○, Value==××])
c:[Type==○○, Value==××]
多要素認証利用のためのアクセス制御設定 条件のシナリオ1:社内ネットワークからブラウザーでアクセスした場合
条件のシナリオ2 : Workplace Joinによるデバイス認証をしていない場合
Copyright 2014 Sophia Network Ltd.18
exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"])
c:[Type == "http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value == "false"]
NOT EXISTS([Type == "http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser"])
多要素認証利用のためのアクセス制御設定 条件のシナリオ1の場合における、アクセス制御設定の全文
Copyright 2014 Sophia Network Ltd.19
‘exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"])=> issue(Type = “http://schemas.microsoft.com/ws/2008/06/
identity/claims/authenticationmethod”, Value = “http://schemas.microsoft.com/claims/multipleauthn”);’
参考情報「ADFS+Office365でブラウザーアクセスのみ多要素認証を設定」(Always on the clock)
Copyright 2014 Sophia Network Ltd.20
デバイスをベースにした認証を行う~ADFSのデバイス認証をOffice 365に実装
Copyright 2014 Sophia Network Ltd.21
Office 365のデバイス認証 ADFSで実装するデバイス認証
ADFSを利用する、すべてのサービス/アプリケーションで利用可能
Workplace Join機能を利用可能なWindows, iOSデバイスをサポート
Azue ADで実装するデバイス認証 (NEW!)
Office365など、Azure ADを利用するクラウドサービスのみで利用可能
Workplace Join機能を利用可能なWindows, iOSデバイスをサポート
いずれのデバイス認証もADFSサーバー/Webアプリケーションプロキシ必須
Copyright 2014 Sophia Network Ltd.22
ADFSで実装するデバイス認証 ADFSでユーザー認証とデバイス認証を実装し、登録されたデバイスだけがADFSからトークンをもらえる
登録されたデバイスだけがOffice 365にアクセスできる
Copyright 2014 Sophia Network Ltd.23
Azure ADで実装するデバイス認証 Azure ADでデバイス認証、ADFSでユーザー認証を実装し、登録されたデバイスだけがADFSからトークンをもらえる
登録されたデバイスだけがOffice 365にアクセスできる
Copyright 2014 Sophia Network Ltd.24
Device Registration ServiceとWorkplace Joinの関係
ADFSサーバーのデバイス認証の場合(初回登録時)
Copyright 2014 Sophia Network Ltd.25
Device Registration ServiceとWorkplace Joinの関係
Azure ADのデバイス認証の場合(初回登録時)
Copyright 2014 Sophia Network Ltd.26
Device Registration ServiceとWorkplace Joinの関係
ADFSサーバーのデバイス認証の場合(デバイス認証時)
Copyright 2014 Sophia Network Ltd.27
Device Registration ServiceとWorkplace Joinの関係
Azure ADのデバイス認証の場合(デバイス認証時)
Copyright 2014 Sophia Network Ltd.28
Device Registration ServiceとWorkplace Joinの関係
Active Directoryに保存される情報
Copyright 2014 Sophia Network Ltd.29
Device Registration ServiceとWorkplace Joinの関係
デバイス認証後のアクセス制御
Copyright 2014 Sophia Network Ltd.30
デバイス認証利用のためのアクセス制御設定 Microsoft Office365 Identity Platform証明書利用者信頼の
発行承認規則で設定
クレームルールの書き方
処理部の書き方
条件部の書き方は次のスライドから
Copyright 2014 Sophia Network Ltd.31
issue (Type = “http://schemas.microsoft.com/authorization/claims/permit”,value = “true”);
デバイス認証利用のためのアクセス制御設定 条件のシナリオ1:デバイスクレームがある場合
条件のシナリオ2 : iOS の場合
Copyright 2014 Sophia Network Ltd.32
exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier”])
exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/ostype”, Value == “iOS”])
デバイス認証利用のためのアクセス制御設定 条件のシナリオ1の場合における、アクセス制御設定の全文
Copyright 2014 Sophia Network Ltd.33
exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier”])=> issue (Type =
“http://schemas.microsoft.com/authorization/claims/permit”,value = “true”);
ADFSサーバーのデバイス認証の実装
「Windows Server 2012 R2を使ってiOSだけがOffice365にアクセスできるようにする(1)~(3)」
Azure ADのデバイス認証の実装
「ADFSでデバイス認証を実装」
デバイス認証のクレームルール
「Windows Server 2012 R2を使ってiOSだけがOffice365にアクセスできるようにする(3)」(以上、Always on the clock)
参考情報
Copyright 2014 Sophia Network Ltd.34
まとめ ~ Office 365の認証を安全にするために
Copyright 2014 Sophia Network Ltd.35
Microsoft Confidential36
We don’t even have to try,It’s always a good time.
from “good time” by owl city & carly rae jepsen