Microsoft Azure Active Directory のバックアップ(No.17)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Microsoft Azure Active Directory へ行く。
  • 1 (2015-09-08 (火) 11:14:56)
  • 2 (2015-09-08 (火) 11:30:46)
  • 3 (2016-01-26 (火) 13:35:01)
  • 4 (2016-01-26 (火) 19:47:47)
  • 5 (2016-01-27 (水) 11:37:03)
  • 6 (2016-03-25 (金) 22:36:02)
  • 7 (2016-05-13 (金) 11:32:30)
  • 8 (2017-01-04 (水) 15:51:48)
  • 9 (2017-03-03 (金) 21:39:23)
  • 10 (2017-04-13 (木) 14:40:06)
  • 11 (2017-10-10 (火) 16:39:16)
  • 12 (2017-10-10 (火) 18:52:44)
  • 13 (2017-10-11 (水) 09:38:02)
  • 14 (2017-10-11 (水) 18:08:05)
  • 15 (2017-10-18 (水) 10:15:58)
  • 16 (2017-10-23 (月) 09:32:41)
  • 17 (2017-11-24 (金) 19:14:24)
  • 18 (2017-12-07 (木) 17:25:31)
  • 19 (2018-01-23 (火) 14:59:56)
  • 20 (2018-01-24 (水) 12:17:10)
  • 21 (2018-01-24 (水) 18:21:44)
  • 22 (2018-02-14 (水) 14:35:22)
  • 23 (2018-02-15 (木) 11:42:34)
  • 24 (2018-02-15 (木) 18:19:38)
  • 25 (2020-12-31 (木) 12:41:54)
  • 26 (2020-12-31 (木) 17:17:51)
  • 27 (2020-12-31 (木) 22:52:55)
  • 28 (2021-02-08 (月) 22:01:47)
  • 29 (2021-03-03 (水) 15:41:32)
  • 30 (2021-03-04 (木) 12:31:54)
  • 31 (2021-03-04 (木) 20:32:36)
  • 32 (2021-03-04 (木) 23:30:09)
  • 33 (2021-03-05 (金) 10:51:36)
  • 34 (2021-03-05 (金) 13:06:29)
  • 35 (2021-03-05 (金) 16:23:04)
  • 36 (2021-03-08 (月) 13:12:39)
  • 37 (2021-03-08 (月) 17:03:04)
  • 38 (2021-03-12 (金) 14:32:04)
  • 39 (2021-03-15 (月) 22:42:13)
  • 40 (2021-07-24 (土) 01:00:27)
  • 41 (2021-08-04 (水) 16:49:43)
  • 42 (2021-08-31 (火) 12:00:19)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

• Azure ADは、クラウド用ID管理サービスで、
  • ID管理
  • IDフェデレーション

といった機能を提供するものだったが、

• 最近は、IDMaaSとしてオンプレのデバイス管理なども行うようになっている。
  • Windows Hello for Business
    • Azure AD参加（Azure AD Join）

Edition †

• Azure Active Directory のエディション
  https://msdn.microsoft.com/ja-JP/library/azure/dn532272.aspx

無償版 (Free) †

• ユーザー アカウントの管理

• オンプレミス ディレクトリとの同期化
  • パスワード同期
  • Hybrid-IdP構成を組む

• SaaSとSSO認証

有償版 †

Basic †

無償のAzure ADの機能に加え、

• 組織に合わせたサイトのカスタマイズ
• グループベースのアクセス制御
• ユーザーによるパスワードリセット
• 99.9%のSLA

Premium †

Azure AD Basicに加え、

• ユーザーによるグループ管理

• レポートとアラート機能

• 多要素認証
  • ADFSの多要素認証機能の機能強化

• デバイス認証

機能 †

ユーザー アカウントの管理 †

シングルドメインのディレクトリサービスとしてクラウドIDを管理

マルチテナント †

• マルチテナント アプリケーション パターンを使用してすべての Azure Active Directory (AD) ユーザーがサインインできるようにする方法
  すべての Azure AD ユーザーがサインイン可能なアプリを構築する方法 | Microsoft Docs
  https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-devhowto-multi-tenant-overview

条件付きアクセス †

• 多要素認証
• Intune 登録デバイスに制限。
• ユーザの場所と IP 範囲で制限。

• 参考 : Graph API

SaaSとSSO認証 †

対象 †

• Azure
• Office 365
• Salesforce
• Google Apps
• Dropbox
• Facebook

SAML †

• Microsoft Docs
  • Azure AD SAML のプロトコル リファレンス
    https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-saml-protocol-reference

OAuth 2.0 †

• Microsoft Docs
  • Azure AD での OAuth 2.0 承認コード フローについて
    https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-protocols-oauth-code
  • Azure AD での OAuth2 の暗黙的な許可フローについて
    https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-dev-understanding-oauth2-implicit-grant

OpenID Connect †

• Microsoft Docs
  • Azure AD での OpenID Connect 認証コード フローについて
    https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-protocols-openid-connect-code

参考 †

• Web SSO 開発
• SaaS 連携
• OpenID
• OAuth
• Hybrid-IdP

Hybrid-IdP構成を組む †

• Azure AD(RP側STS) <---> ADFS(CP側STS)

• 上記のような、（Azure AD(RP側STS)の）IDフェデレーションは、
  • SAMLとWS-FEDだけがサポートする。
  • OAuth 2.0、OpenID Connectは、サポートしない。

SAMLと連携したHybrid-IdP構成のサポート †

ADFS（WS-FED）と連携したHybrid-IdP構成のサポート †

Azure Active Directory B2C †

参考 †

• ドキュメント > Azure Active Directory > Azure ID 管理の基礎
  https://azure.microsoft.com/ja-jp/documentation/articles/fundamentals-identity/

企業のID管理／シングルサインオンの新しい選択肢「IDaaS」の活用 †

• Windows Server Insider 運用 － ＠IT
  企業のID管理／シングルサインオンの新しい選択肢「IDaaS」の活用
  http://www.atmarkit.co.jp/fwin2k/operation/indexpage/index.html#idaasov
  • 第1回　もはや企業のID管理で避けては通れない「IDaaS」とは？
    http://www.atmarkit.co.jp/ait/articles/1508/07/news034.html
  • 第2回　IDaaSの実装をAzure ADで理解する（前編）
    http://www.atmarkit.co.jp/ait/articles/1509/30/news051.html
  • 第3回　IDaaSの実装をAzure ADで理解する（後編）
    http://www.atmarkit.co.jp/ait/articles/1510/05/news013.html
  • 最終回　Windows 10によるAzure Active Directory活用の最大化--2015/12/16
    http://www.atmarkit.co.jp/ait/articles/1512/16/news041.html

山市良のえぬなんとかわーるど †

• お勧めホワイト ペーパー『マイクロソフト ID 保護ソリューション評価ガイド』
  http://yamanxworld.blogspot.jp/2016/04/id.html
  • Enterprise Mobility Suite および Azure 試用版サインアップ
  • Azure AD Premium (MFA、ディレクトリ同期、高度なレポート)
  • Azure AD Privileged Identity Management
  • Microsoft Identity Manager 2016
  • Azure RMS
  • Azure AD Identity Protection
  • Microsoft Advanced Threat Analytics

ネスケラボ †

• 第１回 Azure Active Directory で簡単ユーザー認証
  https://blog.nextscape.net/archives/Date/2015/06/azuread01
• 第２回 Azure Active Directoryで簡単認証～OpenIdConnect?編～
  https://blog.nextscape.net/archives/Date/2015/06/azuread02
• 第３回 Azure Active Directoryで簡単認証～多要素認証編(新規ユーザー作成時)～
  https://blog.nextscape.net/archives/Date/2015/06/azuread03
• 第４回 Azure Active Directoryで簡単認証～多要素認証編(既存ユーザー設定時)～
  https://blog.nextscape.net/archives/Date/2015/06/azuread04
• 第５回 Azure Active Directoryで簡単認証～自前でユーザー管理しよう Nativeアプリ 前編～
  https://blog.nextscape.net/archives/Date/2015/06/azuread05
• 第６回 Azure Active Directoryで簡単認証～自前でユーザー管理しよう Nativeアプリ 後編～
  https://blog.nextscape.net/archives/Date/2015/07/azuread06

Always on the clock †

• エキスパートが語るIdentity as a Service
  http://azuread.net/2011/07/11/%E3%82%A8%E3%82%AD%E3%82%B9%E3%83%91%E3%83%BC%E3%83%88%E3%81%8C%E8%AA%9E%E3%82%8Bidentity-as-a-service/

• Azure ADのアプリケーション連携

• Azure ADテナント ---> Facebook
  http://azuread.net/2013/10/15/windows-azure-active-directory%E3%81%AE%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E9%80%A3%E6%90%BA/

• Google Apps編
  http://azuread.net/2013/10/17/azure-ad%E3%81%AE%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E9%80%A3%E6%90%BA-%EF%BD%9E-google-apps%E7%B7%A8/

• Office 365にADFSが必要な理由
  http://azuread.net/2013/12/16/office-365%E3%81%ABadfs%E3%81%8C%E5%BF%85%E8%A6%81%E3%81%AA%E7%90%86%E7%94%B1/

• もうひとつのID連携 ～ Microsoft Azure Active Directoryとは？
  http://azuread.net/2014/09/01/%E3%82%82%E3%81%86%E3%81%B2%E3%81%A8%E3%81%A4%E3%81%AEid%E9%80%A3%E6%90%BA-%EF%BD%9E-microsoft-azure-active-directory%E3%81%A8%E3%81%AF%EF%BC%9F/

• Azure Active Directory Premiumまとめ(インフラ技術編)
  http://azuread.net/2014/10/15/azure-active-directory-premium%E3%81%BE%E3%81%A8%E3%82%81%E3%82%A4%E3%83%B3%E3%83%95%E3%83%A9%E6%8A%80%E8%A1%93%E7%B7%A8/

• Azure AD への参加とデバイス登録
  http://azuread.net/2015/08/18/azure-ad-%E3%81%B8%E3%81%AE%E5%8F%82%E5%8A%A0%E3%81%A8%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E7%99%BB%E9%8C%B2/

docs.microsoft.com †

ハイブリッド ID †

• AzureActive? Directory > 方法 > 計画と設計
  • Azure AD のアーキテクチャを理解する > ハイブリッド ID ソリューションをデプロイする
    Azure Active Directory ハイブリッド ID の設計上の考慮事項
    https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-overview
  • Azure Active Directory での要求マッピング
    • 要件を確認する >ID のライフサイクル戦略
      ハイブリッド ID ライフサイクルの導入戦略の決定
      https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-lifecycle-adoption-strategy
    • ID ライフサイクルを計画する > タスク
      ハイブリッド ID ライフサイクルの計画を立てる
      https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-hybrid-id-management-tasks
    • ID ライフサイクルを計画する > 採用戦略
      ハイブリッド ID 導入戦略の定義
      https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-identity-adoption-strategy

• Azure > Active Directory接続 > 概要 > Azure AD Connect とは
  オンプレミスのディレクトリと Azure Active Directory の統合
  https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect

Tsmatz †

• Azure Active Directory とは (事前準備)
  http://blogs.msdn.com/b/tsmatsuz/archive/2012/09/01/windows-azure-active-directory-aad-basics.aspx

Web SSO 開発 †

WS-FEDやSAMLでSSO。

• .NET 編 (WS-Fed)
  Azure Active Directory の SSO 開発 (Visual Studio 2013 編)
  http://blogs.msdn.com/b/tsmatsuz/archive/2013/10/03/develop-using-windows-azure-active-directory-and-visual-studio-2013.aspx
• PHP 編 (SAML)
  Azure Active Directory の SSO 開発 (PHP 編)
  http://blogs.msdn.com/b/tsmatsuz/archive/2014/01/30/azure-ad-and-php-application-sso-federation-using-simplesamlphp.aspx
• Node.js 編 (SAML)
  Azure Active Directory の SSO 開発 (Node.js 編)
  http://blogs.msdn.com/b/tsmatsuz/archive/2014/03/23/azure-ad-and-node-js-sso-federation-using-passport.aspx

• Microsoft Docs
  • Azure Active Directory とアプリケーションの統合
    https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-integrating-applications

SaaS 連携 †

SaaSとSAMLでSSO。

• Google Apps (SAML)
  Azure AD の Google Apps (SaaS) 連携 (App Access Enhancements)
  http://blogs.msdn.com/b/tsmatsuz/archive/2014/01/17/windows-azure-active-directory-google-apps-federation-using-application-access-enhancements.aspx

• kintone (SAML)
  Azure AD の kintone 連携 (Application Gallery)
  http://blogs.msdn.com/b/tsmatsuz/archive/2014/11/14/kintone-and-azure-active-directory-saml-sso.aspx

OAuth †

• Service の開発 (OAuth)
  Azure AD を使った API 開発 (access token の verify)
  http://blogs.msdn.com/b/tsmatsuz/archive/2015/02/18/azure-ad-service-web-api-programming-with-access-token-validation-check.aspx

• JavaScript Application の開発
  JavaScript による Azure AD 連携 (OAuth Implicit Grant)
  http://blogs.msdn.com/b/tsmatsuz/archive/2015/03/06/azure-ad-oauth-implicit-grant-flow-using-javascript.aspx

• Backend Server-Side アプリの開発
  Azure AD : ログインをしない Backend Server-Side アプリの開発 (Daemon など)
  http://blogs.msdn.com/b/tsmatsuz/archive/2015/04/10/azure-ad-create-server-side-daemon-app-with-application-role-using-client-secret-or-certificate.aspx

• HTTP Flow
  HTTP Flowは、resourcesというパラメタを使用したAzureADのOAuth2.0拡張っぽい。

• Native Application (iOS, Android, etc) の開発
  Azure AD を使った API 連携の Client 開発 (OAuth 2.0 紹介)
  http://blogs.msdn.com/b/tsmatsuz/archive/2013/07/11/native-application-login-to-windows-azure-active-directory-using-aal.aspx
• Login UI が表示できない場合のフロー (OAuth)
  Login UI が出せない Client の OAuth フロー (Azure AD)
  https://blogs.msdn.microsoft.com/tsmatsuz/2016/03/12/azure-ad-device-profile-oauth-flow/

OpenID †

• OpenID Connect サポート (OpenID)
  Azure AD の OpenID Connect サポート
  http://blogs.msdn.com/b/tsmatsuz/archive/2014/04/18/microsoft-azure-active-directory-openid-connect.aspx

• Azure AD v2.0 endpoint を使った Azure AD & MSA 対応アプリ開発
  • v2.0 endpoint の OAuth を使った Client 開発 (Azure AD と MSA への対応)
    https://blogs.msdn.microsoft.com/tsmatsuz/2016/02/24/v2-endpoint-oauth2-client-using-azure-active-directory-and-microsoft-account/

• v2.0 endpoint の JavaScript Client 開発 (OAuth Implicit Grant Flow)
  https://blogs.msdn.microsoft.com/tsmatsuz/2016/03/02/azure-ad-msa-v2-endpoint-javascript-app-using-oauth-implicit-grant/

• How to use Application Permission with v2 endpoint and Microsoft Graph
  https://blogs.msdn.microsoft.com/tsmatsuz/2016/10/07/application-permission-with-v2-endpoint-and-microsoft-graph/

• v2.0 endpoint の OAuth Token の検証 (Verify)
  https://blogs.msdn.microsoft.com/tsmatsuz/2016/03/08/azure-ad-msa-v2-endpoint-validate-id_token/

• Build your own Web API protected by Azure AD v2.0 endpoint with custom scopes
  https://blogs.msdn.microsoft.com/tsmatsuz/2017/06/22/web-api-and-custom-scope-with-azure-ad-v2-endpoint/

上記のコンテンツの内容を確認すると、

• Microsoft の組織アカウント (Azure Active Directory, Azure AD) と
• 個人アカウント (Microsoft Account, MSA) の

双方に対応した v2.0 endpoint (App Model v2) と連携し、
OAuth 2.0（ではなく、推奨されるOpenID Connect）認証を行い、
認証結果を他の API (Service) で検証し認証させている。

Hybrid-IdP †

• Active Directory (企業内 Windows 環境) との Federation と同期
  Azure AD と Active Directory (AD FS) の Federation の手順
  http://blogs.msdn.com/b/tsmatsuz/archive/2015/03/04/federation-and-sync-with-azure-active-directory-and-server-active-directory.aspx

Graph API †

Web Account Manager API †

Common Consent Framework †

• Common Consent Framework を使うと、
  • 管理者があらかじめ Microsoft Azure Management Portal や Windows PowerShell を使って Application登録していたものを、
    
  • Application 使用時に Consent UI（スコープの認可画面） を表示して権限設定を委譲 (Delegate) できる。

• Azure Active Directory の Common Consent Framework
  • (Client 側)
    http://blogs.msdn.com/b/tsmatsuz/archive/2014/04/02/microsoft-azure-active-directory-user-consent-administrator-consent-for-multi-tenant-application.aspx
  • (Service 側)
    http://blogs.msdn.com/b/tsmatsuz/archive/2014/05/27/microsoft-azure-active-directory-consent-ui-permissions-asp-net-web-api-programming-and-impersonation.aspx

Multi-Factor Authentication †

• Multi-Factor Authentication
  Azure Active Directory の Multi-Factor Authentication (MFA) の利用
  http://blogs.msdn.com/b/tsmatsuz/archive/2013/03/06/windows-azure-active-directory-multifactor-authentication.aspx

• Azureの認証におけるその他サービス ～ Azureモバイルサービス、多要素認証 - Build Insider
  http://www.buildinsider.net/web/msidentitydev/04
  • Azureモバイルサービス： 認証機能とプッシュ通知をしよう！［Objective-C］ - Build Insider
    http://www.buildinsider.net/web/azuremobilesvc/02

Password-based Single Sign-On †

上記の、Federation-based single sign-onに対する、
UI automationぽい方法。あまりオススメでない。

• フェデレーション未対応の Web アプリとのWeb SSO (Password-based Single Sign-On)
  Azure AD で フェデレーション未対応の Web アプリと SSO を構成する (Password-based Single Sign-On)
  http://blogs.msdn.com/b/tsmatsuz/archive/2014/12/24/azure-ad-password-based-single-sign-on-sso.aspx

---

Tags: :クラウド, :Azure, :Active Directory, :認証基盤, :クレームベース認証

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.089 sec.