Open棟梁Project - マイクロソフト系技術情報 Wiki
目次 †
概要 †
クレームベース認証を行うための「STS」を構築する。
各種機能 †
クレーム †
クレームの役割 †
- クレームの種類
AD FS 2.0 はあらゆる種類のクレームをサポートする。
クレーム パイプライン †
- 受け付け変換規則 : 受信クレームの受け入れ
- 発行承認規則 : クレーム要求者の承認
- 発行変換規則 : 送信クレームの発行
クレーム ルール †
- 要求規則
Claim Rule : クレーム ルール
- ADFSの本質的な機能は、クレームのセットを含むトークンを発行すること。
- 発行に関する決定は、クレーム ルール(要求規則)によって管理される。
- 1 つまたは複数の受信クレームから1 つまたは複数の送信クレームを生成する処理
- 要求規則セット
Claim Rule Set : クレーム ルール セット
- 受け付け変換規則
Acceptance Transform Rule Set : 受け入れ変換ルール セット
- 要求プロバイダーから クレームを収集しセキュリティトークンを生成
- 既定:Active Directory というクレーム プロバイダーの信頼
- クレーム プロバイダーの信頼
↓↓↓
- 発行承認規則
Issuance Authorization Rule Set : 発行変換ルール セット
- アクセス可能なユーザー評価(トークン発行OK/NG)する。
- 証明書利用者の信頼
↓↓↓
- 発行変換規則
Issuance Transform Rule Set : 発行承認ルール セット
- トークンからクレームを生成する。
- 証明書利用者の信頼
- 委任承認規則
Delegation Authorization Rule Set : 委任承認ルール セット
- 代理でのSP(RP)アクセスの可・不可を判断する。
- 証明書利用者の信頼
- 偽装承認規則
Impersonate Authorization Rule Set : 偽装承認ルール セット
- 偽装してのSP(RP)アクセスの可・不可を判断する。
- 証明書利用者の信頼
- クレーム ルール テンプレート
クレーム ルール テンプレートを使用してクレーム ルールを作成
- Pass Through or Filter an Incoming Claim
- Transform an Incoming Claim
- Send LDAP Attributes as Claims
- Send Group Membership as a Claim
- Send Claims Using a Custom Rule
- Permit or Deny Users Based on an Incoming Claim
- Permit All Users
サポートする属性ストア †
参考 †
クレームのカスタマイズ †
要求規則セットのカスタマイズにより、
SAMLトークンに含まれる情報のカスタマイズが可能。
デバイス認証 †
- デバイス認証サービス
- DRS:Device Registration Services
- ADFSサーバーが提供するデバイス認証機能
- Workplace Join機能
- クライアント側から事前デバイス登録とデバイス認証を行う機能
- Azure ADのWorkplace Join機能
Azure AD(RP側STS) <---> ADFS(CP側STS)のHybrid-Idp構成でサポート。
- デバイス登録だけ、Azure ADが担当する。
- デバイス認証は、引き続きADFSが担当する。
- Windows Server 2012 R2を使ってiOSだけがOffice365にアクセスできるようにする
多要素認証 †
Azure多要素認証のライセンスを購入した場合(またはAzure AD Premiumのライセンスを購入した場合)、
Azureの多要素認証機能(電話、SMS、モバイルアプリなど)を利用して、ADFSでの多要素認証ができる。
参考 †
- Windows Azure Multi-Factor Authenticationを利用したADFSの多要素認証の設定
構成 †
WAP(旧AD FS Proxy) †
AD FS Proxy †
AD FS Proxyを経由させる方法は、インターネット側からADFSにアクセスする際のセキュリティを考慮した一般的な方法らしい。
WAP:Web Application Proxy †
WAPと組み合わせると、SAMLトークンをKerberosトークンに変換し、
クレームベース認証非対応WebアプリケーションのSSO対応と、
インターネットアクセスを可能にする。
Single-Idp †
WebServer (<---> AD FS Proxy) <---> ADFS <---> ADDS
Hybrid-Idp †
ADFS <---> ADFS †
WebServer (<---> AD FS Proxy) <---> ADFS <---> ADDS
↑↓
WebServer (<---> AD FS Proxy) <---> ADFS <---> ADDS
WebServer <---> AzureAD(RP側STS) (<---> AD FS Proxy) <---> ADFS(CP側STS) <---> ADDS
参考 †
手順 †