[[Open棟梁Project>http://opentouryo.osscons.jp/]] - [[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]] -[[戻る>Active Directory(機能一覧)]] * 目次 [#xd936942] #contents *概要 [#r9b957b1] [[クレームベース認証]]を行うための「[[STS>クレームベース認証#h4a44b62]]」を構築する。 -「[[ADDS>ドメイン サービス (AD DS)]]」を「[[IDP(CP)>クレームベース認証#h4a44b62]]」として使用した「[[STS>クレームベース認証#h4a44b62]]」を構築する。 -Webアプリケーション(「[[SP(RP)>クレームベース認証#h4a44b62]]」)は、「ADFS」の「[[STS>クレームベース認証#h4a44b62]]」と信頼関係を結ぶ([[フェデレーション・メタデータ>https://msdn.microsoft.com/ja-jp/library/azure/Dn195592.aspx]])。 -「[[SP(RP)>クレームベース認証#h4a44b62]]」からの認証要求がリダイレクトされ「[[ADDS>ドメイン サービス (AD DS)]]」の「[[IDP(CP)>クレームベース認証#h4a44b62]]」上で認証処理が行われ、 -「ADFS」の「[[STS>クレームベース認証#h4a44b62]]」の発行するクレームを使用して「[[SP(RP)>クレームベース認証#h4a44b62]]」は認可処理を行う。 *各種機能 [#m7f8afbb] **クレーム [#z4f1f730] ***クレームの役割 [#u50aecda] -クレームの役割~ https://technet.microsoft.com/ja-jp/library/gg308498.aspx --クレームの種類~ AD FS 2.0 はあらゆる種類のクレームをサポートする。 --デフォルトで構成されているクレームの種類 |名前|説明|URI|h |電子メール アドレス|ユーザーの電子メール アドレス|http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress| |ファースト ネーム|ユーザーのファースト ネーム|http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname| |名前|ユーザーの一意の名前|http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name| |UPN|ユーザーのユーザー プリンシパル名 (UPN)|http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn| |共通名|ユーザーの共通名|http://schemas.xmlsoap.org/claims/CommonName| |AD FS 1.x 電子メール アドレス|AD FS 1.1 または AD FS 1.0 と相互運用する場合のユーザーの電子メール アドレス|http://schemas.xmlsoap.org/claims/EmailAddress| |グループ|ユーザーが属しているグループ|http://schemas.xmlsoap.org/claims/Group| |AD FS 1.x UPN|AD FS 1.1 または AD FS 1.0 と相互運用する場合のユーザーの UPN|http://schemas.xmlsoap.org/claims/UPN| |ロール|ユーザーが果たす役割|http://schemas.microsoft.com/ws/2008/06/identity/claims/role| |姓|ユーザーの姓|http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname| |PPID|ユーザーのプライベート識別子|http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier| |名前識別子|ユーザーの SAML 名識別子|http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier| |認証方法|ユーザーの認証に使用される方法|http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod| |拒否専用のグループ SID|拒否専用のユーザーのグループ SID|http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid| |拒否専用のプライマリ SID|拒否専用のユーザーのプライマリ SID|http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid| |拒否専用のプライマリ グループ SID|拒否専用のユーザーのプライマリ グループ SID|http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid| |グループ SID|ユーザーのグループ SID|http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid| |プライマリ グループ SID|ユーザーのプライマリ グループ SID|http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid| |プライマリ SID|ユーザーのプライマリ SID|http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid| |Windows アカウント名|<domain>\<user> の形式で表されたユーザーのドメイン アカウント名|http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname| ***クレーム パイプライン [#r1174185] -クレーム パイプラインの役割~ https://technet.microsoft.com/ja-jp/library/gg308488.aspx --受け付け変換規則 : 受信クレームの受け入れ --発行承認規則 : クレーム要求者の承認 --発行変換規則 : 送信クレームの発行 -参考:[[セキュリティトークンの発行処理(クレームパイプライン)>WS-Federation#c299051a]] ***クレーム ルール [#w4002b44] -クレーム ルールの役割~ https://technet.microsoft.com/ja-jp/library/gg308490.aspx -要求規則~ Claim Rule : クレーム ルール~ --ADFSの本質的な機能は、クレームのセットを含むトークンを発行すること。 --発行に関する決定は、クレーム ルール(要求規則)によって管理される。 --1 つまたは複数の受信クレームから1 つまたは複数の送信クレームを生成する処理 -要求規則セット~ Claim Rule Set : クレーム ルール セット --受け付け変換規則~ Acceptance Transform Rule Set : 受け入れ変換ルール セット ---要求プロバイダーから クレームを収集しセキュリティトークンを生成 ---既定:[[Active Directory]] というクレーム プロバイダーの信頼 ---クレーム プロバイダーの信頼 >↓↓↓ --発行承認規則~ Issuance Authorization Rule Set : 発行変換ルール セット~ ---アクセス可能なユーザー評価(トークン発行OK/NG)する。 ---証明書利用者の信頼 >↓↓↓ --発行変換規則~ Issuance Transform Rule Set : 発行承認ルール セット ---トークンからクレームを生成する。 ---証明書利用者の信頼 --委任承認規則~ Delegation Authorization Rule Set : 委任承認ルール セット ---代理での[[SP(RP)>クレームベース認証#h4a44b62]]アクセスの可・不可を判断する。 ---証明書利用者の信頼 --偽装承認規則~ Impersonate Authorization Rule Set : 偽装承認ルール セット ---偽装しての[[SP(RP)>クレームベース認証#h4a44b62]]アクセスの可・不可を判断する。 ---証明書利用者の信頼 -クレーム ルール テンプレート~ クレーム ルール テンプレートを使用してクレーム ルールを作成 --Pass Through or Filter an Incoming Claim --Transform an Incoming Claim --Send LDAP Attributes as Claims --Send Group Membership as a Claim --Send Claims Using a Custom Rule --Permit or Deny Users Based on an Incoming Claim --Permit All Users **サポートする属性ストア [#kcf412d9] -[[ドメイン サービス (AD DS)]] -カスタム属性ストア --[[LDAP>LDAPプロトコルでのディレクトリ・エントリ検索処理]] --[[SQL Server]] --テキスト ファイル --[[Azure AD>AzureAD(IDMaaS)]], etc. ***参考 [#o6e834f5] -属性ストアの役割~ https://technet.microsoft.com/ja-jp/library/gg308494.aspx -ADFSのクレームにSQL Serverデータベースを使う方法~ http://azuread.net/2014/02/03/adfs%E3%81%AE%E3%82%AF%E3%83%AC%E3%83%BC%E3%83%A0%E3%81%ABsql-server%E3%83%87%E3%83%BC%E3%82%BF%E3%83%99%E3%83%BC%E3%82%B9%E3%82%92%E4%BD%BF%E3%81%86%E6%96%B9%E6%B3%95/ -IdM実験室: [AD FS2.0]カスタム属性ストアを作成する~ http://idmlab.eidentity.jp/2011/12/ad-fs20.html -Blogs - フィールドSEあがりの安納です - Site Home - TechNet Blogs~ http://blogs.technet.com/b/junichia/archive/2011/12/10/3470046.aspx -Azure ADアカウントを利用したADFSのクレームベース認可~ http://azuread.net/2014/11/04/azure-ad%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%82%92%E5%88%A9%E7%94%A8%E3%81%97%E3%81%9Fadfs%E3%81%AE%E3%82%AF%E3%83%AC%E3%83%BC%E3%83%A0%E3%83%99%E3%83%BC%E3%82%B9%E8%AA%8D%E5%8F%AF/ **クレームのカスタマイズ [#t6110dc2] 要求規則セットのカスタマイズにより、~ [[SAML]]トークンに含まれる情報のカスタマイズが可能。 -ADFSのトークンでシングルサインオンの範囲を広げる~ http://azuread.net/2012/02/17/adfs%E3%81%AE%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3%E3%81%A7%E3%82%B7%E3%83%B3%E3%82%B0%E3%83%AB%E3%82%B5%E3%82%A4%E3%83%B3%E3%82%AA%E3%83%B3%E3%81%AE%E7%AF%84%E5%9B%B2%E3%82%92%E5%BA%83%E3%81%92/ ***デバイス認証 [#z4babbb1] -デバイス認証サービス --DRS:Device Registration Services --ADFSサーバーが提供するデバイス認証機能 -Workplace Join機能 --クライアント側から事前デバイス登録とデバイス認証を行う機能 --Azure ADのWorkplace Join機能~ Azure AD(RP側STS) <---> ADFS(CP側STS)のHybrid-Idp構成でサポート。 ---デバイス登録だけ、Azure ADが担当する。 ---デバイス認証は、引き続きADFSが担当する。 -参考 --Windows Server 2012 R2を使ってiOSだけがOffice365にアクセスできるようにする ---(1)~ http://azuread.net/2013/09/17/windows-server-2012-r2%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6ios%E3%81%A0%E3%81%91%E3%81%8Coffice365%E3%81%AB%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%A7%E3%81%8D%E3%82%8B%E3%82%88%E3%81%86%E3%81%AB-2/ ---(2)~ http://azuread.net/2013/09/18/windows-server-2012-r2%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6ios%E3%81%A0%E3%81%91%E3%81%8Coffice365%E3%81%AB%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%A7%E3%81%8D%E3%82%8B%E3%82%88%E3%81%86%E3%81%AB/ ---(3)~ http://azuread.net/2013/09/19/windows-server-2012-r2%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6ios%E3%81%A0%E3%81%91%E3%81%8Coffice365%E3%81%AB%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%A7%E3%81%8D%E3%82%8B%E3%82%88%E3%81%86%E3%81%AB-3/ --ADFSでデバイス認証を実装~ http://azuread.net/2014/06/27/adfs%E3%81%A7%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E8%AA%8D%E8%A8%BC%E3%82%92%E5%AE%9F%E8%A3%85/ --続・ADFSでデバイス認証を実装~ http://azuread.net/2014/07/08/%E7%B6%9A%E3%83%BBadfs%E3%81%A7%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E8%AA%8D%E8%A8%BC%E3%82%92%E5%AE%9F%E8%A3%85/ ---証明書利用者信頼の設定 ---証明書利用者信頼の発行変換規則 ---証明書利用者信頼の発行承認規則 --Microsoft Intune × Azure AD × ADFS でのデバイス認証~ http://azuread.net/2015/04/28/microsoft-intune-azure-ad-adfs-%E3%81%A7%E3%81%AE%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E8%AA%8D%E8%A8%BC/ **多要素認証 [#b01980b9] Azure多要素認証のライセンスを購入した場合(またはAzure AD Premiumのライセンスを購入した場合)、~ Azureの多要素認証機能(電話、SMS、モバイルアプリなど)を利用して、ADFSでの多要素認証ができる。 -ユーザー名/パスワードと --クライアント証明書 --電話 --SMS --モバイルアプリ ***参考 [#b75d4afa] -ADFSによる多要素認証の設定~ http://azuread.net/2014/03/27/adfs%E3%81%AB%E3%82%88%E3%82%8B%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%81%AE%E8%A8%AD%E5%AE%9A/ -ADFS+Office365でブラウザーアクセスのみ多要素認証を設定~ http://azuread.net/2014/03/31/adfsoffice365%E3%81%A7%E3%83%96%E3%83%A9%E3%82%A6%E3%82%B6%E3%83%BC%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%AE%E3%81%BF%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%82%92%E8%A8%AD%E5%AE%9A/ -カスタム多要素認証プロバイダーの作成(概要のみ)~ http://azuread.net/2014/04/04/%E3%82%AB%E3%82%B9%E3%82%BF%E3%83%A0%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%83%97%E3%83%AD%E3%83%90%E3%82%A4%E3%83%80%E3%83%BC%E3%81%AE%E4%BD%9C%E6%88%90%E6%A6%82%E8%A6%81%E3%81%AE%E3%81%BF/ -Windows Azure Multi-Factor Authenticationを利用したADFSの多要素認証の設定 --(1)~ http://azuread.net/2015/06/17/azure-%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%83%97%E3%83%AD%E3%83%90%E3%82%A4%E3%83%80%E3%83%BC%E3%81%B8%E3%81%AE%E9%9B%BB%E8%A9%B1%E7%95%AA%E5%8F%B7%E7%99%BB%E9%8C%B2/ --(2)~ http://azuread.net/2014/04/14/windows-azure-multi-factor-authentication%E3%82%92%E5%88%A9%E7%94%A8%E3%81%97%E3%81%9Fadfs%E3%81%AE%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%81%AE%E8%A8%AD%E5%AE%9A2/ -Azure 多要素認証プロバイダーへの電話番号登録~ http://azuread.net/2015/06/17/azure-%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%83%97%E3%83%AD%E3%83%90%E3%82%A4%E3%83%80%E3%83%BC%E3%81%B8%E3%81%AE%E9%9B%BB%E8%A9%B1%E7%95%AA%E5%8F%B7%E7%99%BB%E9%8C%B2/ *構成 [#c51ded8a] **WAP(旧AD FS Proxy) [#m1eec92b] -Blogs - Technical Evangelist - Junichi Anno's blog - Site Home - TechNet Blogs~ http://blogs.technet.com/b/junichia/archive/2013/11/14/3610844.aspx >【IDM】Windows Server 2012 R2 の -Web Application Proxy ってナニするためのもの? -Device Registration Service との関係は? -AD FS-AD FS Proxy を Azure の仮想マシン上に構築してみる at SE の雑記~ http://blog.engineer-memo.com/2013/10/13/ad-fsad-fs-proxy-%E3%82%92-azure-%E3%81%AE%E4%BB%AE%E6%83%B3%E3%83%9E%E3%82%B7%E3%83%B3%E4%B8%8A%E3%81%AB%E6%A7%8B%E7%AF%89%E3%81%97%E3%81%A6%E3%81%BF%E3%82%8B/ ***WAP:Web Application Proxy [#h0c0378b] WAPと組み合わせると、SAMLトークンをKerberosトークンに変換し、~ [[クレームベース認証]]非対応WebアプリケーションのSSO対応と、インターネットアクセスを可能にする。 -IdM実験室: [告知]Japan SharePoint Group勉強会でお話します~ http://idmlab.eidentity.jp/2015/03/japan-sharepoint-group.html -内部アプリケーションの公開のために~ Web アプリケーション プロキシをインストールおよび構成する~ https://technet.microsoft.com/ja-jp/library/Dn383650.aspx ***AD FS Proxy [#q2e5e80f] **Single-Idp [#r4935ced] WebServer (<---> AD FS Proxy) <---> ADFS <---> ADDS **Hybrid-Idp [#j9bddc4f] -ADFS <---> ADFS WebServer (<---> AD FS Proxy) <---> ADFS <---> ADDS ↑↓ WebServer (<---> AD FS Proxy) <---> ADFS <---> ADDS --ADFSサーバー間の連携設定 ---(1)~ http://azuread.net/2014/02/28/adfs%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E9%96%93%E3%81%AE%E9%80%A3%E6%90%BA%E8%A8%AD%E5%AE%9A1/ ---(2)~ http://azuread.net/2014/03/03/adfs%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E9%96%93%E3%81%AE%E9%80%A3%E6%90%BA%E8%A8%AD%E5%AE%9A2/ ---(3)~ http://azuread.net/2014/03/05/adfs%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E9%96%93%E3%81%AE%E9%80%A3%E6%90%BA%E8%A8%AD%E5%AE%9A3/ ---(4)~ http://azuread.net/2014/03/11/adfs%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E9%96%93%E3%81%AE%E9%80%A3%E6%90%BA%E8%A8%AD%E5%AE%9A4/ ---(5)~ http://azuread.net/2014/03/24/adfs%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E9%96%93%E3%81%AE%E9%80%A3%E6%90%BA%E8%A8%AD%E5%AE%9A5/ -[[Azure AD(RP側STS) <---> ADFS(CP側STS)>Microsoft Azure Active Directory#k86844c3]] WebServer <---> AzureAD(RP側STS) (<---> AD FS Proxy) <---> ADFS(CP側STS) <---> ADDS *参考 [#abc723ee] -[[認証基盤]] --[[クレームベース認証]] ---[[SAML]] ---[[WS-Federation]] -ADFSまとめ~ http://azuread.net/page-0/ -ADFSとは?フェデレーションとは?を知る方法~ http://azuread.net/2013/06/18/adfs%E3%81%A8%E3%81%AF%EF%BC%9F%E3%83%95%E3%82%A7%E3%83%87%E3%83%AC%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%A8%E3%81%AF%EF%BC%9F%E3%82%92%E7%9F%A5%E3%82%8B%E6%96%B9%E6%B3%95/ -vNextに備えよ! 次期Windows Serverのココに注目(23):~ クラウド時代のセキュリティ担保にはActive Directoryフェデレーションサービスが必須となる? - @IT~ http://www.atmarkit.co.jp/ait/articles/1508/19/news021.html -AD FS 2.0 コンテンツマップ - Microsoft Office 365 Community~ https://community.office365.com/ja-jp/w/sso/1911 -AD FS 2.0 を展開する前にキーとなる概念を理解する~ https://technet.microsoft.com/ja-jp/library/gg308486.aspx -AD FS 2.0 デザイン ガイド~ https://technet.microsoft.com/ja-jp/library/gg308546.aspx -Windows Server 2012 R2 の ADFS はかなり変更されています~ 都内で働くSEの技術的なひとりごと~ http://ryuchan.hatenablog.com/entry/2013/09/02/091144 --IdM実験室 [AD FS]Windows Server 2012 R2 Preview の AD FS ①~ http://idmlab.eidentity.jp/2013/06/ad-fswindows-server-2012-r2-preview-ad.html --IdM実験室 [AD FS]Windows Server 2012 R2 Preview の AD FS ②~ http://idmlab.eidentity.jp/2013/07/ad-fswindows-server-2012-r2-preview-ad.html **手順 [#z6367583] -Microsoft Office 365 自習書 AD FS によるシングル サインオン環境構築~ ステップ バイ ステップ ガイド from Official Microsoft Download Center~ http://www.microsoft.com/ja-jp/download/details.aspx?id=28716 -AD FS-AD FS Proxy を Azure の仮想マシン上に構築してみる at SE の雑記~ http://blog.engineer-memo.com/2013/10/13/ad-fsad-fs-proxy-%E3%82%92-azure-%E3%81%AE%E4%BB%AE%E6%83%B3%E3%83%9E%E3%82%B7%E3%83%B3%E4%B8%8A%E3%81%AB%E6%A7%8B%E7%AF%89%E3%81%97%E3%81%A6%E3%81%BF%E3%82%8B/ -Blogs - IT プロフェッショナルのみなさまへ - Site Home - TechNet Blogs~ Active Directory の最新情報をキャッチアップ!~ クラウド時代の Active Directory 次の一手シリーズ 第1回~6回 公開中!~ http://blogs.technet.com/b/jpitpro/archive/2014/09/12/3637537.aspx --第 1 回 Active Directory の位置づけ~ http://www.microsoftvirtualacademy.com/training-courses/cloud-activedirectory-onlineseminar-series1 --第 2 回 Active Directory ドメイン サービスの新しい役割~ http://www.microsoftvirtualacademy.com/training-courses/cloud-activedirectory-onlineseminar-series2 --第 3 回 Active Directory フェデレーション サービスの役割 解説編~ http://www.microsoftvirtualacademy.com/training-courses/cloud-activedirectory-onlineseminar-series3 --第 4 回 Active Directory フェデレーション サービスの役割 構築編~ http://www.microsoftvirtualacademy.com/training-courses/cloud-activedirectory-onlineseminar-series4 --第 5 回 認証のためのプロキシ Web Application Proxy~ http://www.microsoftvirtualacademy.com/training-courses/cloud-activedirectory-onlineseminar-series5 --第 6 回 Microsoft Azure Active Directory とは~ http://www.microsoftvirtualacademy.com/training-courses/cloud-activedirectory-onlineseminar-series6