マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

クレームベース認証を行うための「STS」を構築する。

  • ADDS」を「IDP(CP)」として使用した「STS」を構築する。
  • SP(RP)」からの認証要求がリダイレクトされ「ADDS」の「IDP(CP)」上で認証処理が行われ、
  • ADFS」の「STS」の発行するクレームを使用して「SP(RP)」は認可処理を行う。

各種機能

プロトコル

以前はWS-Federationのみのサポートだったが、
最近はSAMLOpenID Connectなどのプロトコルもサポートしている模様。

  • シングル サインオンを実装するための SAML 2.0 ID プロバイダーの使用
    https://msdn.microsoft.com/ja-jp/library/azure/dn641269.aspx

    サンプルの SAML 2.0 の ID プロバイダーは、SAML-P プロトコルを使用するよう構成された Active Directory フェデレーション サービス (AD FS) です。

クレーム

クレームの役割

  • クレームの種類
    AD FS 2.0 はあらゆる種類のクレームをサポートする。
  • デフォルトで構成されているクレームの種類
名前説明URI
電子メール アドレスユーザーの電子メール アドレスhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
ファースト ネームユーザーのファースト ネームhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
名前ユーザーの一意の名前http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
UPNユーザーのユーザー プリンシパル名 (UPN)http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
共通名ユーザーの共通名http://schemas.xmlsoap.org/claims/CommonName
AD FS 1.x 電子メール アドレスAD FS 1.1 または AD FS 1.0 と相互運用する場合のユーザーの電子メール アドレスhttp://schemas.xmlsoap.org/claims/EmailAddress
グループユーザーが属しているグループhttp://schemas.xmlsoap.org/claims/Group
AD FS 1.x UPNAD FS 1.1 または AD FS 1.0 と相互運用する場合のユーザーの UPNhttp://schemas.xmlsoap.org/claims/UPN
ロールユーザーが果たす役割http://schemas.microsoft.com/ws/2008/06/identity/claims/role
ユーザーの姓http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
PPIDユーザーのプライベート識別子http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
名前識別子ユーザーの SAML 名識別子http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
認証方法ユーザーの認証に使用される方法http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
拒否専用のグループ SID拒否専用のユーザーのグループ SIDhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
拒否専用のプライマリ SID拒否専用のユーザーのプライマリ SIDhttp://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
拒否専用のプライマリ グループ SID拒否専用のユーザーのプライマリ グループ SIDhttp://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
グループ SIDユーザーのグループ SIDhttp://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
プライマリ グループ SIDユーザーのプライマリ グループ SIDhttp://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
プライマリ SIDユーザーのプライマリ SIDhttp://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
Windows アカウント名<domain>\<user> の形式で表されたユーザーのドメイン アカウント名http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname

クレーム パイプライン

  • 受け付け変換規則 : 受信クレームの受け入れ
  • 発行承認規則 : クレーム要求者の承認
  • 発行変換規則 : 送信クレームの発行

クレーム ルール

  • 要求規則
    Claim Rule : クレーム ルール
    • ADFSの本質的な機能は、クレームのセットを含むトークンを発行すること。
    • 発行に関する決定は、クレーム ルール(要求規則)によって管理される。
    • 1 つまたは複数の受信クレームから1 つまたは複数の送信クレームを生成する処理
  • 要求規則セット
    Claim Rule Set : クレーム ルール セット
  • 受け付け変換規則
    Acceptance Transform Rule Set : 受け入れ変換ルール セット
    • 要求プロバイダーから クレームを収集しセキュリティトークンを生成
    • 既定:Active Directory というクレーム プロバイダーの信頼
    • クレーム プロバイダーの信頼

↓↓↓

  • 発行承認規則
    Issuance Authorization Rule Set : 発行変換ルール セット
    • アクセス可能なユーザー評価(トークン発行OK/NG)する。
    • 証明書利用者の信頼

↓↓↓

  • 発行変換規則
    Issuance Transform Rule Set : 発行承認ルール セット
    • トークンからクレームを生成する。
    • 証明書利用者の信頼
  • 委任承認規則
    Delegation Authorization Rule Set : 委任承認ルール セット
    • 代理でのSP(RP)アクセスの可・不可を判断する。
    • 証明書利用者の信頼
  • 偽装承認規則
    Impersonate Authorization Rule Set : 偽装承認ルール セット
    • 偽装してのSP(RP)アクセスの可・不可を判断する。
    • 証明書利用者の信頼
  • クレーム ルール テンプレート
    クレーム ルール テンプレートを使用してクレーム ルールを作成
    • Pass Through or Filter an Incoming Claim
    • Transform an Incoming Claim
    • Send LDAP Attributes as Claims
    • Send Group Membership as a Claim
    • Send Claims Using a Custom Rule
    • Permit or Deny Users Based on an Incoming Claim
    • Permit All Users

サポートする属性ストア

ストア

ユーザストアではなく、属性ストアという点がミソ。
認証を行う、ドメイン サービス (AD DS)が前提である点は崩れない。

参考

クレームのカスタマイズ

要求規則セットのカスタマイズにより、
SAMLトークンに含まれる情報のカスタマイズが可能。

デバイス認証

  • デバイス認証サービス
    • DRS:Device Registration Services
    • ADFSが提供するデバイス認証機能
  • Workplace Join機能
    • クライアント側から事前デバイス登録とデバイス認証を行う機能
  • Azure ADのWorkplace Join機能
    Azure AD(RP側STS) <---> ADFS(CP側STS)のHybrid-Idp構成でサポート。
    • デバイス登録だけ、Azure ADが担当する。
    • デバイス認証は、引き続きADFSが担当する。
  • 参考

多要素認証

Azure多要素認証のライセンスを購入した場合(またはAzure AD Premiumのライセンスを購入した場合)、
Azureの多要素認証機能(電話、SMS、モバイルアプリなど)を利用して、ADFSでの多要素認証ができる。

  • ユーザー名/パスワードと
    • クライアント証明書
    • 電話
    • SMS
    • モバイルアプリ

参考

構成

WAP(旧AD FS Proxy)

AD FS Proxy

AD FS Proxyを経由させる方法は、インターネット側からADFSにアクセスする際のセキュリティを考慮した一般的な方法らしい。

WAP:Web Application Proxy

WAPと組み合わせると、SAMLトークンをKerberosトークンに変換し、
クレームベース認証非対応WebアプリケーションのSSO対応と、
インターネットアクセスを可能にする。

Single-Idp

最も基本的な、ADFSの構成。

WebServer (<---> AD FS Proxy) <---> ADFS <---> ADDS
  • 手順(概要)

Hybrid-Idp

ADFS <---> ADFS

要求プロバイダー信頼と証明書利用者信頼にそれぞれ異なるADFSを登録して、連携させる。

WebServer (<---> AD FS Proxy) <---> ADFS <---> ADDS
                                    ↑↓
WebServer (<---> AD FS Proxy) <---> ADFS <---> ADDS
  • 手順(概要)
  • 参考, Always on the clock

Azure AD(RP側STS) <---> ADFS(CP側STS)

  • 企業のADDS上のアカウントをADFS経由でAzure ADに同期して、
  • アプリケーションはAzure ADに問い合わせを行い認証を受ける。
WebServer <---> Azure AD(RP側STS) (<---> AD FS Proxy) <---> ADFS(CP側STS) <---> ADDS
  • 手順(概要)
  • 参考

参考

AD FS

Always on the clock

IdM実験室

AD FS Proxy, Web Application Proxy

クラウド時代の Active Directory

手順


Tags: :Active Directory, :認証基盤, :クレームベース認証


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-02-14 (水) 15:53:32 (402d)