マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

といった機能を提供するものだったが、

  • オンプレのActive Directoryとは別物と言える。
    • Azure用の認証基盤で(クラウド用)
    • (Microsoft Account, Live ID、MSAに近い(インターネット用)。

Edition

無償版 (Free)

ユーザー・アカウントの管理

SaaSとのSSO認証

オンプレミス・ディレクトリとの同期

  • なお、同期元は、1つのオンプレ・ディレクトリに限定される。
  • 1つのオンプレ・ディレクトリを
    複数のAzure Active Directory
    同期することは出来ない。
  • 複数のオンプレ・ディレクトリを
    1つのAzure Active Directory
    集約することは出来ない。

Azure Subscriptionとの関係

有償版

Basic

無償のAzure ADの機能に加え、

  • 組織に合わせたサイトのカスタマイズ
  • グループベースのアクセス制御
  • ユーザーによるパスワードリセット
  • 99.9%のSLA

Premium

Azure AD Basicに加え、

  • ユーザーによるグループ管理
  • レポートとアラート機能
  • デバイス認証

参考

https://azure.microsoft.com/ja-jp/pricing/details/active-directory/

ディレクトリ

オンプレミス・ディレクトリ

Azure Active Directory ディレクトリ (テナント)

Azure Active Directory ディレクトリ (テナント) は独立している。

  • YYY.XXX.com
  • ZZZ.XXX.com

既定のディレクトリ

  • 個人アカウント (Microsoft Account, Live ID、MSA) の既定のディレクトリ
  • Azure操作のための、ダミーのディレクトリとも言える。
  • 野良テナントなので、非常事態への対応ができなくなる。

O356用と運用用のディレクトリ(テナント)

機能

アクセス制御

Azure ADのアカウントによるアクセス制御

でも利用しているが、

  • Azure AD自体のアクセス制御は、
    • Azure AD管理者ロール

これとはまた、別の機能。

ロール

  • 企業
  • ★ グローバル管理者
    Global Administrator
  • 課金管理者
    Billing Administrator
  • 会社の管理者
    Company Administrator
  • 管理者(監査)
    • セキュリティ閲覧者
  • 管理者(オペレータ)
  • セキュリティ
    • セキュリティ管理者
      Security Administrator
    • ★ 特権ロール管理者
      Priviledged Role Administrator
    • 条件付きアクセス管理者
  • サポート要求
    • サービス サポート管理者
  • OAuthなどの同意フレームワークを、
    • サポートしていないアプリケーションで使用する、
      • ディレクトリ リーダー
        Directory Readers
      • ディレクトリ ライター
        Directory Writers
    • Hybrid-IdP構成でサポートするための、
      • ディレクトリ同期アカウント
  • SaaSのグローバル アクセス許可
    • コンプライアンス管理者
    • レポート リーダー
    • Intune サービス管理者
      Intune Administrator
    • Exchange サービス管理者
      Exchange Administrator
    • メールボックス管理者
    • Skype for Business/Lync サービス管理者
    • Information Protection 管理者
  • CRM サービス管理者
  • Power BI サービス管理者
  • SharePoint サービス管理者
  • Microsoft 再販パートナーを対象(廃止予定)
    • Partner Tier 1 サポート
    • Partner Tier 2 サポート

管理者

Azure Active Directory管理者ロールは、
Azure Active DirectoryOffice 365の管理に使用される。

  • 種類
    • 全体管理者
    • 課金管理者
  • サービス管理者
  • セキュリティ リーダー
  • セキュリティ管理者
  • Information Protection 管理者
  • レポート リーダー

参考

ユーザー・アカウントの管理

シングルドメインのディレクトリサービスとしてクラウドIDを管理

基本的な機能

  • ユーザー・アカウントの

ユーザの招待

Azure Active Directory B2B collaborationを使用してユーザを招待する。

条件付きアクセス

マルチテナント

アプリケーションがSaaSとのSSO認証の機能に対応することで実現する。

SaaSとのSSO認証

OpenID系の認証は、B2Cでも別の機能としてサポートされている模様。

対象

SAML

OAuth 2.0

OpenID Connect

参考

Hybrid-IdP構成

  • 上記のような、(Azure AD(RP側STS)の)IDフェデレーションは、

SAMLと連携したHybrid-IdP構成のサポート

ADFSWS-FED)と連携したHybrid-IdP構成のサポート

B2X

B2B (Azure Active Directory B2B collaboration)

B2C (Azure Active Directory B2C)

Azure Active Directory Domain Services

Azure Subscriptionとの関係

Azureによる基盤開発法

AzADirectoryのテナント作成方法

参考

Windows Server Insider 運用 - @IT

企業のID管理/シングルサインオンの新しい選択肢「IDaaS」の活用
http://www.atmarkit.co.jp/fwin2k/operation/indexpage/index.html#idaasov

山市良のえぬなんとかわーるど

  • お勧めホワイト ペーパー『マイクロソフト ID 保護ソリューション評価ガイド』
    http://yamanxworld.blogspot.jp/2016/04/id.html
    • Enterprise Mobility Suite および Azure 試用版サインアップ
    • Azure AD Premium (MFA、ディレクトリ同期、高度なレポート)
    • Azure AD Privileged Identity Management
    • Microsoft Identity Manager 2016
    • Azure RMS
    • Azure AD Identity Protection
    • Microsoft Advanced Threat Analytics

ネスケラボ

Always on the clock

  • Azure ADのアプリケーション連携

microsoft.com

azure

docs

Tsmatz

Web SSO 開発

WS-FEDSAMLでSSO。

SaaS 連携

SaaSとSAMLでSSO。

  • kintone (SAML)
    Azure AD の kintone 連携 (Application Gallery)

OAuth

  • HTTP Flow
    HTTP Flowは、resourcesというパラメタを使用したAzureADのOAuth2.0拡張っぽい。

OpenID

上記のコンテンツの内容を確認すると、

  • Microsoft の組織アカウント (Azure Active Directory, Azure AD) と
  • 個人アカウント (Microsoft Account, Live ID、MSA) の

双方に対応した v2.0 endpoint (App Model v2) と連携し、
OAuth 2.0(ではなく、推奨されるOpenID Connect)認証を行い、
認証結果を他の API (Service) で検証し認証させている。

Hybrid-IdP

Graph API

Web Account Manager API

Common Consent Framework

  • Common Consent Framework を使うと、
    • 管理者があらかじめ AzureポータルやPowerShellを使ってアプリ登録していたものを、
    • アプリ使用時に Consent UI(スコープの認可画面) を表示して権限設定を委譲 (Delegate) できる。

Multi-Factor Authentication

Password-based Single Sign-On

上記の、Federation-based single sign-onに対する、
UI automationぽい方法。あまりオススメでない。

nakama

FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure による仮想データセンタ構築手法 > 共通技術 > 認証基盤の構成方法

※ 体系はコチラ、pwdはコチラ

Azure AD 基礎

Azure AD 詳細

https://nakama.blob.core.windows.net/mskk/2019_04_18_AzureAuthorizationDesignAndManagement_v0.67.zip

Azure 管理用 Azure AD テナントの作成方法


Tags: :インフラストラクチャ, :クラウド, :Azure, :Active Directory, :認証基盤, :クレームベース認証


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-03-15 (月) 22:42:13 (61d)