「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- Azure ADは、クラウド用ID管理サービスで、
といった機能を提供するものだったが、
- 最近は、IDMaaS機能を提供するようになっている。
Edition †
無償版 (Free) †
オンプレミス・ディレクトリとの同期 †
- なお、同期元は、1つのオンプレ・ディレクトリに限定される。
※ Azure Subscriptionとの関係
有償版 †
Basic †
無償のAzure ADの機能に加え、
- 組織に合わせたサイトのカスタマイズ
- グループベースのアクセス制御
- ユーザーによるパスワードリセット
- 99.9%のSLA
Premium †
Azure AD Basicに加え、
参考 †
https://azure.microsoft.com/ja-jp/pricing/details/active-directory/
機能 †
ディレクトリ †
各 Azure Active Directory ディレクトリ (テナント) は独立している。
アクセス制御 †
Azure ADのアカウントによるアクセス制御
でも利用しているが、
これとはまた、別の機能。
ロール †
- ★ グローバル管理者
Global Administrator
- 課金管理者
Billing Administrator
- 会社の管理者
Company Administrator
- セキュリティ
- セキュリティ管理者
Security Administrator
- ★ 特権ロール管理者
Priviledged Role Administrator
- 条件付きアクセス管理者
- アカウント
- ★ ユーザー・アカウント管理者
User Account Administrator
- ★ ゲスト招待元
Guest Inviter
- デバイス管理者
Device Administrators
- SaaSのグローバル アクセス許可
- コンプライアンス管理者
- レポート リーダー
- Intune サービス管理者
Intune Administrator
- Exchange サービス管理者
Exchange Administrator
- メールボックス管理者
- Skype for Business/Lync サービス管理者
- Information Protection 管理者
- Microsoft 再販パートナーを対象(廃止予定)
- Partner Tier 1 サポート
- Partner Tier 2 サポート
管理者 †
Azure Active Directory管理者ロールは、
Azure Active DirectoryとOffice 365の管理に使用される。
- Information Protection 管理者
- レポート リーダー
- 例えば
YYY.XXX.com と言うディレクトリの全体管理者は、
ZZZ.XXX.com と言うディレクトリの全体管理者ではない。
参考 †
ユーザー・アカウントの管理 †
シングルドメインのディレクトリサービスとしてクラウドIDを管理
基本的な機能 †
- ユーザー・アカウントの
- 追加と削除
- パスワードの変更
- ロール / 権限の管理
ユーザの招待 †
Azure Active Directory B2B collaborationを使用してユーザを招待する。
条件付きアクセス †
- シグナル
- ユーザまたはグループ メンバーシップ
- IP の場所に関する情報
- Device、Application
- リスクベース認証
- Microsoft Cloud App Security (MCAS)
- OATH トークン
・ハードウェア・トークン
・ソフトウェア・トークン
Microsoft Authenticator スマホ・アプリ
マルチテナント †
アプリケーションがSaaSとのSSO認証の機能に対応することで実現する。
SaaSとのSSO認証 †
OpenID系の認証は、B2Cでも別の機能としてサポートされている模様。
対象 †
参考 †
Hybrid-IdP構成 †
- 上記のような、(Azure AD(RP側STS)の)IDフェデレーションは、
SAMLと連携したHybrid-IdP構成のサポート †
ADFS(WS-FED)と連携したHybrid-IdP構成のサポート †
B2X †
その他 †
参考 †
Windows Server Insider 運用 - @IT †
企業のID管理/シングルサインオンの新しい選択肢「IDaaS」の活用
http://www.atmarkit.co.jp/fwin2k/operation/indexpage/index.html#idaasov
山市良のえぬなんとかわーるど †
- お勧めホワイト ペーパー『マイクロソフト ID 保護ソリューション評価ガイド』
http://yamanxworld.blogspot.jp/2016/04/id.html
- Enterprise Mobility Suite および Azure 試用版サインアップ
- Azure AD Premium (MFA、ディレクトリ同期、高度なレポート)
- Azure AD Privileged Identity Management
- Microsoft Identity Manager 2016
- Azure RMS
- Azure AD Identity Protection
- Microsoft Advanced Threat Analytics
ネスケラボ †
Always on the clock †
microsoft.com †
azure †
docs †
- Hybrid-IdP構成
- AzureActive? Directory > 方法 > 計画と設計
Tsmatz †
Web SSO 開発 †
WS-FEDやSAMLでSSO。
SaaS 連携 †
SaaSとSAMLでSSO。
kintone (SAML)
Azure AD の kintone 連携 (Application Gallery)
OAuth †
- HTTP Flow
HTTP Flowは、resourcesというパラメタを使用したAzureADのOAuth2.0拡張っぽい。
OpenID †
- OAuth : App development for Azure AD v2.0 endpoint
上記のコンテンツの内容を確認すると、
- Microsoft の組織アカウント (Azure Active Directory, Azure AD) と
- 個人アカウント (Microsoft Account, MSA) の
双方に対応した v2.0 endpoint (App Model v2) と連携し、
OAuth 2.0(ではなく、推奨されるOpenID Connect)認証を行い、
認証結果を他の API (Service) で検証し認証させている。
Hybrid-IdP †
Common Consent Framework †
- Common Consent Framework を使うと、
- 管理者があらかじめ Microsoft Azure Management Portal や Windows PowerShell を使って Application登録していたものを、
- Application 使用時に Consent UI(スコープの認可画面) を表示して権限設定を委譲 (Delegate) できる。
- Azure Active Directory の Common Consent Framework
Multi-Factor Authentication †
Password-based Single Sign-On †
上記の、Federation-based single sign-onに対する、
UI automationぽい方法。あまりオススメでない。
nakama †
FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure による仮想データセンタ構築手法
- > Azure 管理用 Azure AD テナントの作成方法
※ 体系はコチラ、pwdはコチラ
Tags: :インフラストラクチャ, :クラウド, :Azure, :Active Directory, :認証基盤, :クレームベース認証
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
