ADFS＋Office365によるセキュリティ強化～デバイス・多要素認証

ADFS+Office365によるセキュリティ強化～デバイス認証/多要素認証編

株式会社ソフィアネットワーク

国井傑 (くにいすぐる)

スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/

自己紹介

Copyright 2014 Sophia Network Ltd.2

Microsoft MVP for Directory Services (2006～2014)

マイクロソフト認定トレーナー(1997～)

ブログAlways on the clock

＠sophiakunii

株式会社ソフィアネットワーク所属

連載～基礎から分かるActive Directory再入門


http://gravatar.com/e1fb8058e63b3ba2706f7ac43a43fc47

http://gravatar.com/e1fb8058e63b3ba2706f7ac43a43fc47

http://www.takashimedia.com/blog/wp-content/uploads/2011/11/twitter-logo.jpg

http://www.takashimedia.com/blog/wp-content/uploads/2011/11/twitter-logo.jpg

ADFS トレーニングコースがリニューアルします！


ニーズに合わせて、2つのコースをご提供！

Office 365ユーザー認証ベストプラクティス (2日コース)

Microsoft Azureを活用したADFS構築 (1日コース)

こんな人におすすめです。テスト環境を用意するだけでも大変なので、手っ取り早く学習したい。

今はとりあえずADFSが動いているけど、トラブルが起きたらどうしよう。

クラウド連携の案件で先行者利益を取りたい！

詳しくはクリエ・イルミネートWebサイトでご確認ください。http://www.crie-illuminate.jp

こんな人に聞いてもらいたい



これからお話しすること

1. はじめに

2. ADFSの多要素認証をOffice 365に実装

3. ADFSのデバイス認証をOffice 365に実装



はじめに


ユーザー名とパスワードだけでは、もう限界資格情報はすべて一緒は危険だし、別々にすれば覚えられない

7

【おさらい】 ADFSを利用したクラウドとの信頼関係Active Directoryフェデレーションサービス(ADFS)を活用すれば、クラウドを「1回のサインインでアクセスできる範囲」にできる

Office 365 のサインインもActive Directoryドメインサービスと統合できる

Copyright 2014 Sophia Network Ltd.

Office 365の認証を安全にするために


複数の要素を利用した認証を行う～ ADFSの多要素認証をOffice 365に実装


多要素認証とは？複数の要素を利用して本人確認(認証)を行うこと

認証に使われる「要素」

1要素目 = ユーザー名/パスワード (知っていることを前提とした認証)

2要素目 = 電話、メール、OTPデバイスなど (所有していることを前提とした認証)


+

Office 365の多要素認証 Azue ADで実装する多要素認証

Office365など、Azure ADを利用するクラウドサービスのみで利用可能

ユーザー単位で多要素認証を実装

多要素認証の方法は自分で選択可能 (電話・SMS・モバイルアプリ)

ADFSで実装する多要素認証

ADFSを利用する、すべてのサービス/アプリケーションで利用可能

様々な単位で多要素認証の有効・無効を設定可能

多要素認証には様々な認証方法を実装可能だが、既定では証明書による認証のみをサポート


多要素認証で利用可能な認証方法を追加する認証方法の追加

Microsoft Azure Multi-Factor Authenticationの利用

Microsoft.IdentityServer.web.dllファイルのカスタマイズ参考「カスタム多要素認証プロバイダーの作成(概要のみ)」(Always on the clock)


Microsoft Azure Multi-Factor Authentication AAD の有償オプションとして用意された多要素認証機能

以下の認証方法をサポート電話

テキストメッセージ (SMS)

モバイルアプリ (Phone Factor, Inc)

OAUTHトークン (サードパーティのOTPデバイスを利用)

AAD内では「多要素認証プロバイダー」という名称で機能を提供

レポート機能の提供

ワンタイムバイパスによる多要素認証を一時的に使わない設定

音声メッセージのカスタマイズなど


Microsoft Azure Multi-Factor Authentication


利用開始方法

1. Azure管理ポータルから新規または既存のAADテナントを登録

2. Azure管理ポータルから多要素認証プロバイダーを登録

3. Azure管理ポータルから多要素認証プロバイダーポータルにアクセス

Azure Multi-Factor Authenticationアプリケーション

Azure管理ポータルから提供される、ADFSの多要素認証をカスタマイズするアプリケーション

参考「Windows Azure Multi-Factor Authenticationを利用したADFSの多要素認証の設定」

参考「モバイルアプリからOffice 365の多要素認証を使う」(以上、always on the clockより)


多要素認証利用のためのアクセス制御設定 Set-ADFSAdditionalAuthenticationRuleコマンドレットで設定

基本的な構文

条件=>処理

条件部分の書き方

ここでの「処理」とは「多要素認証を行いなさい」ということ


issue(Type = “http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod”, Value = “http://schemas.microsoft.com/claims/multipleauthn”);

Exists([Type==○○, Value==××])

c:[Type==○○, Value==××]

多要素認証利用のためのアクセス制御設定条件のシナリオ1：社内ネットワークからブラウザーでアクセスした場合

条件のシナリオ2 : Workplace Joinによるデバイス認証をしていない場合


exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"])

c:[Type == "http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value == "false"]

NOT EXISTS([Type == "http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser"])

多要素認証利用のためのアクセス制御設定条件のシナリオ1の場合における、アクセス制御設定の全文


‘exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"])=> issue(Type = “http://schemas.microsoft.com/ws/2008/06/

identity/claims/authenticationmethod”, Value = “http://schemas.microsoft.com/claims/multipleauthn”);’

参考情報「ADFS+Office365でブラウザーアクセスのみ多要素認証を設定」(Always on the clock)


デバイスをベースにした認証を行う～ADFSのデバイス認証をOffice 365に実装


Office 365のデバイス認証 ADFSで実装するデバイス認証

ADFSを利用する、すべてのサービス/アプリケーションで利用可能

Workplace Join機能を利用可能なWindows, iOSデバイスをサポート

Azue ADで実装するデバイス認証 (NEW!)

Office365など、Azure ADを利用するクラウドサービスのみで利用可能

Workplace Join機能を利用可能なWindows, iOSデバイスをサポート

いずれのデバイス認証もADFSサーバー/Webアプリケーションプロキシ必須


ADFSで実装するデバイス認証 ADFSでユーザー認証とデバイス認証を実装し、登録されたデバイスだけがADFSからトークンをもらえる

登録されたデバイスだけがOffice 365にアクセスできる


Azure ADで実装するデバイス認証 Azure ADでデバイス認証、ADFSでユーザー認証を実装し、登録されたデバイスだけがADFSからトークンをもらえる

登録されたデバイスだけがOffice 365にアクセスできる


Device Registration ServiceとWorkplace Joinの関係

ADFSサーバーのデバイス認証の場合(初回登録時)



Azure ADのデバイス認証の場合(初回登録時)



ADFSサーバーのデバイス認証の場合(デバイス認証時)



Azure ADのデバイス認証の場合(デバイス認証時)



Active Directoryに保存される情報



デバイス認証後のアクセス制御


デバイス認証利用のためのアクセス制御設定 Microsoft Office365 Identity Platform証明書利用者信頼の

発行承認規則で設定

クレームルールの書き方

処理部の書き方

条件部の書き方は次のスライドから


issue (Type = “http://schemas.microsoft.com/authorization/claims/permit”,value = “true”);

デバイス認証利用のためのアクセス制御設定条件のシナリオ1：デバイスクレームがある場合

条件のシナリオ2 : iOS の場合


exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier”])

exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/ostype”, Value == “iOS”])

デバイス認証利用のためのアクセス制御設定条件のシナリオ1の場合における、アクセス制御設定の全文


exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier”])=> issue (Type =

“http://schemas.microsoft.com/authorization/claims/permit”,value = “true”);

ADFSサーバーのデバイス認証の実装

「Windows Server 2012 R2を使ってiOSだけがOffice365にアクセスできるようにする(1)～(3)」

Azure ADのデバイス認証の実装

「ADFSでデバイス認証を実装」

デバイス認証のクレームルール

「Windows Server 2012 R2を使ってiOSだけがOffice365にアクセスできるようにする(3)」(以上、Always on the clock)

参考情報


まとめ～ Office 365の認証を安全にするために


Microsoft Confidential36

We don’t even have to try,It’s always a good time.

from “good time” by owl city & carly rae jepsen

ADFS＋Office365によるセキュリティ強化～デバイス・多要素認証

Engineering

Transcript of ADFS＋Office365によるセキュリティ強化～デバイス・多要素認証