Azure ADとWindows 10によるドメイン環境の拡張
-
Upload
naohiro-fujie -
Category
Technology
-
view
5.500 -
download
2
Transcript of Azure ADとWindows 10によるドメイン環境の拡張
Azure ADとWindows 10によるドメイン環境の拡張
MVP for Enterprise Mobility
Naohiro Fujie / @phr_eidentity / http://idmlab.eidentity.jp
1
自己紹介• Blog
• IdM実験室(Identityに関することを徒然と):http://idmlab.eidentity.p
• Social
• Facebook Page : eIdentity:https://www.facebook.com/eidentity
• Modules(codeplex)
• Generic REST MA for FIM/MIM:https://restmafim.codeplex.com/
• 記事
• 企業のID管理/シングルサインオンの新しい選択肢「IDaaS」の活用
(http://www.atmarkit.co.jp/ait/articles/1508/07/news034.html)etc
• その他
• JNSA アイデンティティ管理WG(書籍:「クラウド環境におけるアイデンティティ管理ガイドライン」etc)
• OpenID Foundation Japan 教育・翻訳WG(OAuth/OpenID Connect仕様翻訳)、エンタープライズ・アイデン
ティティWG
Agenda1. 従来のID基盤の限界とAzure Active Directoryによる拡張
2. Windows 10で変わるドメインの世界
3. まとめ
従来のID基盤の限界とAzure Active Directoryによる拡張
社内PC
ドメイン
リソース(アプリケーション)
管理
管理
利用
社内ADによる資産の管理・利用
関係会社・取引先
社内ネットワーク
モバイルユーザ
クラウド・サービスADドメインでの管理の限界
個別管理、アクセス許可
新しい要求:クラウドや社外利用者を含めた管理
FireWall
デバイス管理が困難
個別ログイン
SSO出来ない
アクセス管理が困難
従来のID基盤の限界
社内PC
ドメイン
個社リソース
社内ネットワーク
モバイルユーザ
クラウド・サービス(共有リソース)
関係会社・取引先
ID基盤
利用
管理
ポリシーに沿った利用
利用
社内とSSO
利用
社内とSSO
登録・管理
Azure ADによるクラウドや社外利用者・モバイルを含めたアクセス管理
Azure ADによるID基盤の拡張
Azure AD/Intune(クラウドID基盤)
ID連携 ID連携
ID連
携
アクセス管理の一元化
Azure AD
社内ネットワーク インターネット
社内ネットワーク+インターネット
ファイルサーバ 社内Webアプリ クラウドWebアプリ
AD DS AD FS / WAP
ID基盤
アプリ連携
デバイス管理
Windows PC モバイルデバイス
AD DSによるオンプレミスID基盤
AD FSによるクラウドへの拡張(ハイブリッドID基盤)
Azure ADによるクラウドID基盤
ドメイン参加/グループポリ
シーによる管理
統合Windows認証 ID連携(SAML/OpenID Connect等)
DRS(デバイス登録サービス)
/Intuneによる管理
構成要素
8
比較項目 オンプレミスID基盤 クラウドID基盤
製品・サービス 特徴 製品・サービス 特徴
管理主体と対象 AD DS ユーザ、グループ、デバイス(ドメイン参加PC)
Azure AD ユーザ、グループ、デバイス(直接Azure ADで管理するWindows 10、オンプレのドメイン参加PC)
ポリシー適用 AD DS/SCCM 詳細な制限が可能 Azure AD/Intune
詳細な制限は不可能(モバイルデバイス管理機能が中心)
シングルサインオン対象
AD DS ファイルサーバ等を含む統合Windows認証
- Kerberos/NTLMアプリケーションやリソースは不可能
AD FS SAML/ws-federationに対応したWebアプリケーション(個別設定が前提)
Azure AD SAML/ws-federation/OpenID Connectに対応したWebアプリケーション(あらかじめプリセットされたアプリケーションから選択、および個別設定が可能)
ID管理 MIM(Microsoft Identity Manager)
各種アプリケーションへのID同期が可能(開発・カスタマイズが前提)
Azure AD 主要SaaSアプリケーションへのID同期機能がプリセットSCIMに対応したアプリケーションへのID同期も可能だが限定的
オンプレミスID基盤との比較
Azure AD
SaaSアプリケーション
自社開発アプリケーション
Azure ADと連携しているAPL群
③認証
①アクセス
②認証要求
④認証結果
APL登録- URL情報の交換- 公開鍵の取得、APL側へ登録
ID情報の同期
⑤認証結果の検証
⑥同期済みユーザとの紐づけ
シングルサインオン(APL連携)
Azure AD
社内ネットワーク
Azure AD
SaaSアプリケーションID連携(SAML/OpenID Connect/ws-federation)
Azure ADと連携しているAPL間でSSO
ID連携(SAML/ws-federation)
AD FS
Azure ADConnect
AD DS
ID情報の同期ID情報の同期
Azure ADを経由して社内AD FSへ連携
企業内ユーザ
統合Windows認証でSSO
シングルサインオン(APL連携)/ハイブリッド
Azure AD
連携アプリの選択と利用
12
SSOとID同期の設定
13
IPベースのアクセス制御
Windows 10で変わるドメインの世界
IdPApps
Organization Network
Office365SAML/OIDC SPAD DS AD FS Windows
Apps
Firewall
VPN or WAP(Reverse Proxy)
Single Sign On
Non SSO
ID/PWD
目指すもの=デバイス・APLのSSO
今できるデバイス・APL間のSSOの範囲
どこから 社内から
どんなデバイスから ADドメインに参加したPCから
何に対して ドメインに参加したアプリケーション
AD FSと連携したアプリケーション
AD FSを導入しても、制限はある・社外ではPCログオンとAPLログオンは別・ドメイン参加PCのみ
• どこにからでも、どんなデバイスから
でも、デバイス~アプリケーション間
でのSSOを実現
• 必要な要素
• どこからでも使えるID管理基盤
• どこからでも使えるデバイス管理基盤
• 各基盤に対応するデバイス
• 過渡期における移行も大事
• レガシー基盤との橋渡し
IdPApps
Organization Network
Office365SAML/OIDC SPAD DS AD FS Windows
Apps
Firewall
VPN or WAP(Reverse Proxy)
Single Sign On
Non SSO
ID/PWD
どこからでも使える- ID基盤- デバイス管理基盤
対応デバイス
対応デバイス
橋渡し
目指すもの=デバイス・APLのSSO
Azure AD
Windows 10
Internal Services Azure Active Directory Cloud Services
Office365
SAML/OIDC SPWebAPI
AD FSAD DS
IdP(SAML/OIDC)
AuthZ(OAuth2.0)Device
Mgmt
Reporting
Store Apps
Registered Windows 10 Devices(Internal or External)
Sync
Org’s Apps
Single Sign On
• 統一されたID/デバイス管理
• クラウド、オンプレのHUBとし
て機能
• 統一ポリシーの適用
• デバイスの種類、アプリケー
ションの種類に依存しないSSO
• WEBアプリケーション、ネイ
ティブアプリケーション、デバ
イスを跨いだSSO
• PC、モバイルに向けた共通のエ
クスペリエンス
目指すもの=デバイス・APLのSSO
シナリオ 参加先 オンプレSSO クラウドSSO
SSO方式 APL連携先 SSO方式 APL連携先
オンプレミス AD DS WIA AD DS なし なし
オンプレミス AD DS WIA AD DS AD FSへのWIA AD FS
ハイブリッド AD DS WIA AD DS Azure AD⇒AD FSへのWIA
Azure AD
クラウド Azure AD なし なし Passport Azure AD
ハイブリッド AD DS WIA AD DS Passport(デバイス同期)
Azure AD
ハイブリッド Azure AD Azure WAP経由のWIA(ID同期)
AD DS Passport Azure AD
ハイブリッド AD DS Passport(AD FS) AD DS Passport(デバイス同期)
Azure AD
ハイブリッド Azure AD Passport(AD FS)(デバイス同期)
AD DS Passport Azure AD
Windows 10のドメイン参加 ※WIA:統合Windows認証
Windows 10新機能 Windows 10+Windows Server 2016新機能
あらかじめ登録された端末を信頼
あらかじめ登録されたユーザを信頼
認証サーバデバイスユーザ
キーペアを用いた署名検証で認証
知識(PIN・パスワード)、生体情報で認証
余談)Microsoft Passport
信頼のチェインによりデバイスとユーザの認証を分離。・端末認証:キーペアによる署名検証・ユーザ認証:秘密鍵を取り出す目的。手段は問わず
概要 特徴
① PCは従来と同様にオンプレミスADへ参加、デバイス情報をAzure ADへ同期することで各種アプリケーションへシングルサインオン
• Windows Server 2012R2ドメインで実現可能なので、早期実現が可能
• 別コンポーネントが不要なので構成がシンプル• SSOのセットアップ完了に若干時間がかかる
② PCはAzure ADへ参加、オンプレミスのリソース(Webに限定)へはAzure AD Web Application Proxy(WAP)を利用することでシングルサインオン(社内ドメイン参加PCは構成パターン①と同じ)
• Windows Server 2012R2ドメインで実現可能なので、早期実現が可能
• Azure AD WAPが必要• SSO対応できる社内アプリケーションがWebアプリに
限定される(ファイルサーバ等は不可能)
③ PCはオンプレミスAD、Azure ADのいずれかに参加、オンプレミスのADとAzure ADがID連携、Azure AD Connectでデバイス情報を同期することで各種アプリケーションへシングルサインオン
• Windows Server 2016リリースを待つ必要あり• AD FS(構成によってはAD CS)が必要• デバイスのドメイン参加形態の自由度は高い
ハイブリッド構成パターン
シナリオ 参加先 オンプレSSO クラウドSSO
SSO方式 APL連携先 SSO方式 APL連携先
オンプレミス AD DS WIA AD DS なし なし
オンプレミス AD DS WIA AD FSへのWIA AD FS
ハイブリッド AD DS WIA Azure AD⇒AD FSへのWIA
Azure AD
クラウド Azure AD なし なし Passport Azure AD
ハイブリッド AD DS WIA AD DS Passport(デバイス同期)
Azure AD
ハイブリッド Azure AD Azure WAP経由のWIA(ID同期)
AD DS Passport Azure AD
ハイブリッド AD DS Passport(AD FS) AD DS Passport(デバイス同期)
Azure AD
ハイブリッド Azure AD Passport(AD FS)(デバイス同期)
AD DS Passport Azure AD
Windows 10のドメイン参加 ※WIA:統合Windows認証
Windows 10新機能 Windows 10+Windows Server 2016新機能
1
3
3
2
ファイルサーバ等 ドメインコントローラ AAD Connect
デバイス情報同期
社内PC(Windows 10)
ドメイン参加
Azure AD アプリケーション群
ドメイン参加PCログイン
統合Windows認証
デバイス情報同期
Microsoft Passport
連携
①デバイスをAzure ADへ同期してPassport利用
参考)デバイス情報をAzure ADへ登録する方法にはAzure AD Connectを使う方法と、AD FSでデバイス・クレームを発行する方法の2つが存在
デバイス情報をオンプレミスからAzure ADへ同期することにより、Microsoft Passportを利用可能とする
ファイルサーバ等 ドメインコントローラ AAD Connect
デバイス情報同期
社内PC(Windows 10)
ドメイン参加
Azure AD アプリケーション群
ドメイン参加PCログイン
統合Windows認証
デバイス情報同期
MicrosoftPassport
連携
Azure WAP 連携
社外PC(Windows 10)
Azure AD参加PCログイン
Microsoft Passport
Webアプリ
統合Windows認証(WAP経由)
②Azure AD WAPで外部デバイスに内部リソースを開放
Azure AD WAP(Web Application Proxy)を使い、Azure AD参加している社外PCに社内の統合Windows認証アプリケーションを開放
ファイルサーバ等ドメインコントローラ+AD FS(WS 2016) AAD Connect
デバイス情報同期
社内PC(Windows 10)
ドメイン参加
Azure AD アプリケーション群
ドメイン参加PCログイン
Microsoft Passport
デバイス情報同期
Microsoft Passport
連携
社内 or 社外PC(Windows 10)
Azure AD参加PCログイン
Microsoft Passport
Microsoft Passport
ID連携
③社内も社外もMicrosoft Passport
デバイス情報をオンプレミスとAzure ADで相互に同期することにより、社内外でMicrosoft Passportを利用可能とする
まとめ
まとめ
• Azure AD/Intuneを核としたクラウドID基盤を活用することにより、
従来のドメインの限界であったモバイル、クラウド、他社連携といっ
た課題を解決することが可能
• Windows 10、Windows Server 2016を活用するとさらに柔軟かつ利
便性の高いユーザ利用環境を構築することが可能
おしらせActive Directory & Security Conference 2016
• 日時:2016年3月18日(金)12:00~20:00
• 場所:日本マイクロソフト株式会社 品川本社セミナルームA~D
• 申込URL:http://aka.ms/ad15th
• もしくは:http://events.msfthcp.com/?CR_CC=200764089&eventID=JA-EMS-IPVNT-FY16-
03Mar-18-Active-Directory-Security-Coference%20&ls=Website&lsd=AzureWebsite
• 概要:Active Directory が登場から 15 周年を迎えたことを記念し、これまでの Active Directory の
歩みを振り返りつつ、Active Directory の業界における位置づけ、Active Directory を使用したさま
ざまなシステム設計手法、TIPS、トラブルシューティング、今後の方向性などについてお伝えする、
Active Directory とセキュリティをテーマにしたカンファレンスです。