フェデレーションサービス (AD FS) のバックアップ(No.19)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

↑

概要 †

クレームベース認証を行うための「STS」を構築する。

「ADDS」を「IDP(CP)」として使用した「STS」を構築する。

Webアプリケーション（「SP(RP)」）は、「ADFS」の「STS」と信頼関係を結ぶ（フェデレーション・メタデータ）。

「SP(RP)」からの認証要求がリダイレクトされ「ADDS」の「IDP(CP)」上で認証処理が行われ、

「ADFS」の「STS」の発行するクレームを使用して「SP(RP)」は認可処理を行う。

↑

各種機能 †

↑

プロトコル †

以前はWS-Federationのみのサポートだったが、
最近はSAMLやOpenID Connectなどのプロトコルもサポートしている模様。

ADFS – SAML 2.0 Identity Provider and SaaS Service Providers | The Access Onion
https://blog.auth360.net/2012/09/02/adfs-as-an-identity-provider-and-saml-2-0-saas-application-integration/

シングルサインオンを実装するための SAML 2.0 ID プロバイダーの使用
https://msdn.microsoft.com/ja-jp/library/azure/dn641269.aspx
サンプルの SAML 2.0 の ID プロバイダーは、SAML-P プロトコルを使用するよう構成された Active Directory フェデレーションサービス (AD FS) です。

↑

クレーム †

↑

クレームの役割 †

クレームの役割
https://technet.microsoft.com/ja-jp/library/gg308498.aspx

クレームの種類
AD FS 2.0 はあらゆる種類のクレームをサポートする。

デフォルトで構成されているクレームの種類

名前	説明	URI
電子メールアドレス	ユーザーの電子メールアドレス	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
ファーストネーム	ユーザーのファーストネーム	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
名前	ユーザーの一意の名前	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
UPN	ユーザーのユーザープリンシパル名 (UPN)	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
共通名	ユーザーの共通名	http://schemas.xmlsoap.org/claims/CommonName
AD FS 1.x 電子メールアドレス	AD FS 1.1 または AD FS 1.0 と相互運用する場合のユーザーの電子メールアドレス	http://schemas.xmlsoap.org/claims/EmailAddress
グループ	ユーザーが属しているグループ	http://schemas.xmlsoap.org/claims/Group
AD FS 1.x UPN	AD FS 1.1 または AD FS 1.0 と相互運用する場合のユーザーの UPN	http://schemas.xmlsoap.org/claims/UPN
ロール	ユーザーが果たす役割	http://schemas.microsoft.com/ws/2008/06/identity/claims/role
姓	ユーザーの姓	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
PPID	ユーザーのプライベート識別子	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
名前識別子	ユーザーの SAML 名識別子	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
認証方法	ユーザーの認証に使用される方法	http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
拒否専用のグループ SID	拒否専用のユーザーのグループ SID	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
拒否専用のプライマリ SID	拒否専用のユーザーのプライマリ SID	http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
拒否専用のプライマリグループ SID	拒否専用のユーザーのプライマリグループ SID	http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
グループ SID	ユーザーのグループ SID	http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
プライマリグループ SID	ユーザーのプライマリグループ SID	http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
プライマリ SID	ユーザーのプライマリ SID	http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
Windows アカウント名	<domain>\<user> の形式で表されたユーザーのドメインアカウント名	http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname

↑

クレームパイプライン †

クレームパイプラインの役割
https://technet.microsoft.com/ja-jp/library/gg308488.aspx

受け付け変換規則 : 受信クレームの受け入れ
発行承認規則 : クレーム要求者の承認
発行変換規則 : 送信クレームの発行

参考：セキュリティトークンの発行処理（クレームパイプライン）

↑

クレームルール †

クレームルールの役割
https://technet.microsoft.com/ja-jp/library/gg308490.aspx

要求規則
Claim Rule : クレームルール
- ADFSの本質的な機能は、クレームのセットを含むトークンを発行すること。
- 発行に関する決定は、クレームルール（要求規則）によって管理される。
- 1 つまたは複数の受信クレームから1 つまたは複数の送信クレームを生成する処理

要求規則セット
Claim Rule Set : クレームルールセット

受け付け変換規則
Acceptance Transform Rule Set : 受け入れ変換ルールセット
- 要求プロバイダーからクレームを収集しセキュリティトークンを生成
- 既定:Active Directory というクレームプロバイダーの信頼
- クレームプロバイダーの信頼

↓↓↓

発行承認規則
Issuance Authorization Rule Set : 発行変換ルールセット
- アクセス可能なユーザー評価(トークン発行OK/NG)する。
- 証明書利用者の信頼

↓↓↓

発行変換規則
Issuance Transform Rule Set : 発行承認ルールセット
- トークンからクレームを生成する。
- 証明書利用者の信頼

委任承認規則
Delegation Authorization Rule Set : 委任承認ルールセット
- 代理でのSP(RP)アクセスの可・不可を判断する。
- 証明書利用者の信頼

偽装承認規則
Impersonate Authorization Rule Set : 偽装承認ルールセット
- 偽装してのSP(RP)アクセスの可・不可を判断する。
- 証明書利用者の信頼

クレームルールテンプレート
クレームルールテンプレートを使用してクレームルールを作成
- Pass Through or Filter an Incoming Claim
- Transform an Incoming Claim
- Send LDAP Attributes as Claims
- Send Group Membership as a Claim
- Send Claims Using a Custom Rule
- Permit or Deny Users Based on an Incoming Claim
- Permit All Users

↑

サポートする属性ストア †

↑

ストア †

ユーザストアではなく、属性ストアという点がミソ。
認証を行う、ドメインサービス (AD DS)が前提である点は崩れない。

ドメインサービス (AD DS)

カスタム属性ストア
- LDAP
- SQL Server
- テキストファイル
- Azure AD?, etc.

↑

参考 †

属性ストアの役割
https://technet.microsoft.com/ja-jp/library/gg308494.aspx

ADFSのクレームにSQL Serverデータベースを使う方法
http://azuread.net/2014/02/03/adfs%E3%81%AE%E3%82%AF%E3%83%AC%E3%83%BC%E3%83%A0%E3%81%ABsql-server%E3%83%87%E3%83%BC%E3%82%BF%E3%83%99%E3%83%BC%E3%82%B9%E3%82%92%E4%BD%BF%E3%81%86%E6%96%B9%E6%B3%95/

IdM実験室: [AD FS2.0]カスタム属性ストアを作成する
http://idmlab.eidentity.jp/2011/12/ad-fs20.html
Blogs - フィールドSEあがりの安納です - Site Home - TechNet? Blogs
http://blogs.technet.com/b/junichia/archive/2011/12/10/3470046.aspx

Azure ADアカウントを利用したADFSのクレームベース認可
http://azuread.net/2014/11/04/azure-ad%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%82%92%E5%88%A9%E7%94%A8%E3%81%97%E3%81%9Fadfs%E3%81%AE%E3%82%AF%E3%83%AC%E3%83%BC%E3%83%A0%E3%83%99%E3%83%BC%E3%82%B9%E8%AA%8D%E5%8F%AF/

↑

クレームのカスタマイズ †

要求規則セットのカスタマイズにより、
SAMLトークンに含まれる情報のカスタマイズが可能。

ADFSのトークンでシングルサインオンの範囲を広げる
http://azuread.net/2012/02/17/adfs%E3%81%AE%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3%E3%81%A7%E3%82%B7%E3%83%B3%E3%82%B0%E3%83%AB%E3%82%B5%E3%82%A4%E3%83%B3%E3%82%AA%E3%83%B3%E3%81%AE%E7%AF%84%E5%9B%B2%E3%82%92%E5%BA%83%E3%81%92/

↑

デバイス認証 †

デバイス認証サービス
- DRS：Device Registration Services
- ADFSサーバーが提供するデバイス認証機能

Workplace Join機能
- クライアント側から事前デバイス登録とデバイス認証を行う機能

Azure ADのWorkplace Join機能
Azure AD(RP側STS) <---> ADFS(CP側STS)のHybrid-Idp構成でサポート。
- デバイス登録だけ、Azure ADが担当する。
- デバイス認証は、引き続きADFSが担当する。

参考

Windows Server 2012 R2を使ってiOSだけがOffice365にアクセスできるようにする

ADFSでデバイス認証を実装
http://azuread.net/2014/06/27/adfs%E3%81%A7%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E8%AA%8D%E8%A8%BC%E3%82%92%E5%AE%9F%E8%A3%85/

続・ADFSでデバイス認証を実装
http://azuread.net/2014/07/08/%E7%B6%9A%E3%83%BBadfs%E3%81%A7%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E8%AA%8D%E8%A8%BC%E3%82%92%E5%AE%9F%E8%A3%85/
- 証明書利用者信頼の設定
- 証明書利用者信頼の発行変換規則
- 証明書利用者信頼の発行承認規則

Microsoft Intune × Azure AD × ADFS でのデバイス認証
http://azuread.net/2015/04/28/microsoft-intune-azure-ad-adfs-%E3%81%A7%E3%81%AE%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E8%AA%8D%E8%A8%BC/

↑

多要素認証 †

Azure多要素認証のライセンスを購入した場合(またはAzure AD Premiumのライセンスを購入した場合)、
Azureの多要素認証機能(電話、SMS、モバイルアプリなど)を利用して、ADFSでの多要素認証ができる。

ユーザー名/パスワードと
- クライアント証明書
- 電話
- SMS
- モバイルアプリ

↑

参考 †

ADFSによる多要素認証の設定
http://azuread.net/2014/03/27/adfs%E3%81%AB%E3%82%88%E3%82%8B%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%81%AE%E8%A8%AD%E5%AE%9A/

ADFS+Office365でブラウザーアクセスのみ多要素認証を設定
http://azuread.net/2014/03/31/adfsoffice365%E3%81%A7%E3%83%96%E3%83%A9%E3%82%A6%E3%82%B6%E3%83%BC%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%AE%E3%81%BF%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%82%92%E8%A8%AD%E5%AE%9A/

カスタム多要素認証プロバイダーの作成(概要のみ)
http://azuread.net/2014/04/04/%E3%82%AB%E3%82%B9%E3%82%BF%E3%83%A0%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%83%97%E3%83%AD%E3%83%90%E3%82%A4%E3%83%80%E3%83%BC%E3%81%AE%E4%BD%9C%E6%88%90%E6%A6%82%E8%A6%81%E3%81%AE%E3%81%BF/

Windows Azure Multi-Factor Authenticationを利用したADFSの多要素認証の設定
- (1)
  http://azuread.net/2015/06/17/azure-%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%83%97%E3%83%AD%E3%83%90%E3%82%A4%E3%83%80%E3%83%BC%E3%81%B8%E3%81%AE%E9%9B%BB%E8%A9%B1%E7%95%AA%E5%8F%B7%E7%99%BB%E9%8C%B2/

(2)
http://azuread.net/2014/04/14/windows-azure-multi-factor-authentication%E3%82%92%E5%88%A9%E7%94%A8%E3%81%97%E3%81%9Fadfs%E3%81%AE%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%81%AE%E8%A8%AD%E5%AE%9A2/

Azure 多要素認証プロバイダーへの電話番号登録
http://azuread.net/2015/06/17/azure-%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%83%97%E3%83%AD%E3%83%90%E3%82%A4%E3%83%80%E3%83%BC%E3%81%B8%E3%81%AE%E9%9B%BB%E8%A9%B1%E7%95%AA%E5%8F%B7%E7%99%BB%E9%8C%B2/

↑

構成 †

↑

WAP（旧AD FS Proxy） †

Blogs - Technical Evangelist - Junichi Anno's blog - Site Home - TechNet? Blogs
http://blogs.technet.com/b/junichia/archive/2013/11/14/3610844.aspx
【IDM】Windows Server 2012 R2 の
- Web Application Proxy ってナニするためのもの?
- Device Registration Service との関係は?

↑

AD FS Proxy †

AD FS Proxyを経由させる方法は、インターネット側からADFSにアクセスする際のセキュリティを考慮した一般的な方法らしい。

AD FS-AD FS Proxy を Azure の仮想マシン上に構築してみる at SE の雑記
http://blog.engineer-memo.com/2013/10/13/ad-fsad-fs-proxy-%E3%82%92-azure-%E3%81%AE%E4%BB%AE%E6%83%B3%E3%83%9E%E3%82%B7%E3%83%B3%E4%B8%8A%E3%81%AB%E6%A7%8B%E7%AF%89%E3%81%97%E3%81%A6%E3%81%BF%E3%82%8B/

↑

WAP：Web Application Proxy †

WAPと組み合わせると、SAMLトークンをKerberosトークンに変換し、
クレームベース認証非対応WebアプリケーションのSSO対応と、
インターネットアクセスを可能にする。

IdM実験室: [告知]Japan SharePoint Group勉強会でお話します
http://idmlab.eidentity.jp/2015/03/japan-sharepoint-group.html

Web アプリケーションプロキシを使用して
アプリケーションを公開することを計画する
https://technet.microsoft.com/ja-jp/library/dn383650.aspx

AD FS 事前認証を使用してアプリケーションを公開する
https://technet.microsoft.com/ja-jp/library/dn383640.aspx

↑

Single-Idp †

WebServer (<---> AD FS Proxy) <---> ADFS <---> ADDS

手順（概要）

↑

Hybrid-Idp †

↑

ADFS <---> ADFS †

WebServer (<---> AD FS Proxy) <---> ADFS <---> ADDS
                                    ↑↓
WebServer (<---> AD FS Proxy) <---> ADFS <---> ADDS

手順（概要）

参考
- ADFSサーバー間の連携設定

↑

Azure AD(RP側STS) <---> ADFS(CP側STS) †

WebServer <---> AzureAD(RP側STS) (<---> AD FS Proxy) <---> ADFS(CP側STS) <---> ADDS

手順（概要）

↑

参考 †

認証基盤
- クレームベース認証
  - SAML
  - WS-Federation

↑

AD FS †

ADFSまとめ
http://azuread.net/page-0/

ADFSとは？フェデレーションとは？を知る方法
http://azuread.net/2013/06/18/adfs%E3%81%A8%E3%81%AF%EF%BC%9F%E3%83%95%E3%82%A7%E3%83%87%E3%83%AC%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%A8%E3%81%AF%EF%BC%9F%E3%82%92%E7%9F%A5%E3%82%8B%E6%96%B9%E6%B3%95/

vNextに備えよ！次期Windows Serverのココに注目（23）：
クラウド時代のセキュリティ担保にはActive Directoryフェデレーションサービスが必須となる？ - ＠IT
http://www.atmarkit.co.jp/ait/articles/1508/19/news021.html

AD FS 2.0 コンテンツマップ - Microsoft Office 365 Community
https://community.office365.com/ja-jp/w/sso/1911

AD FS 2.0 を展開する前にキーとなる概念を理解する
https://technet.microsoft.com/ja-jp/library/gg308486.aspx

AD FS 2.0 デザインガイド
https://technet.microsoft.com/ja-jp/library/gg308546.aspx

Windows Server 2012 R2 の ADFS はかなり変更されています
都内で働くSEの技術的なひとりごと
http://ryuchan.hatenablog.com/entry/2013/09/02/091144
- IdM実験室 [AD FS]Windows Server 2012 R2 Preview の AD FS　①
  http://idmlab.eidentity.jp/2013/06/ad-fswindows-server-2012-r2-preview-ad.html
- IdM実験室 [AD FS]Windows Server 2012 R2 Preview の AD FS　②
  http://idmlab.eidentity.jp/2013/07/ad-fswindows-server-2012-r2-preview-ad.html

↑

AD FS Proxy, Web Application Proxy †

AD FS Proxyの役割 | 日々徒然
http://blog.o365mvp.com/2011/06/17/adfs-proxy%E3%81%AE%E5%BD%B9%E5%89%B2/
Microsoftの認証システムの歴史と
過渡期におけるWAPの活用 +Next Generation Credentials
http://www.slideshare.net/naohiro.fujie/jpsps-wap-ngc20150314

↑

クラウド時代の Active Directory †

Blogs - IT プロフェッショナルのみなさまへ - Site Home - TechNet? Blogs
Active Directory の最新情報をキャッチアップ！
クラウド時代の Active Directory 次の一手シリーズ第1回～6回公開中!
http://blogs.technet.com/b/jpitpro/archive/2014/09/12/3637537.aspx
- 第 1 回 Active Directory の位置づけ
  http://www.microsoftvirtualacademy.com/training-courses/cloud-activedirectory-onlineseminar-series1
- 第 2 回 Active Directory ドメインサービスの新しい役割
  http://www.microsoftvirtualacademy.com/training-courses/cloud-activedirectory-onlineseminar-series2
- 第 3 回 Active Directory フェデレーションサービスの役割解説編
  http://www.microsoftvirtualacademy.com/training-courses/cloud-activedirectory-onlineseminar-series3
- 第 4 回 Active Directory フェデレーションサービスの役割構築編
  http://www.microsoftvirtualacademy.com/training-courses/cloud-activedirectory-onlineseminar-series4
- 第 5 回認証のためのプロキシ Web Application Proxy
  http://www.microsoftvirtualacademy.com/training-courses/cloud-activedirectory-onlineseminar-series5
- 第 6 回 Microsoft Azure Active Directory とは
  http://www.microsoftvirtualacademy.com/training-courses/cloud-activedirectory-onlineseminar-series6

↑

手順 †

Microsoft Office 365 自習書 AD FS によるシングルサインオン環境構築
ステップバイステップガイド from Official Microsoft Download Center
http://www.microsoft.com/ja-jp/download/details.aspx?id=28716

AD FS-AD FS Proxy を Azure の仮想マシン上に構築してみる at SE の雑記
http://blog.engineer-memo.com/2013/10/13/ad-fsad-fs-proxy-%E3%82%92-azure-%E3%81%AE%E4%BB%AE%E6%83%B3%E3%83%9E%E3%82%B7%E3%83%B3%E4%B8%8A%E3%81%AB%E6%A7%8B%E7%AF%89%E3%81%97%E3%81%A6%E3%81%BF%E3%82%8B/

Tags: :Active Directory, :認証基盤, :クレームベース認証

フェデレーション サービス (AD FS) のバックアップ(No.19)

目次 †

概要 †

各種機能 †

プロトコル †

クレーム †

クレームの役割 †

クレーム パイプライン †

クレーム ルール †

サポートする属性ストア †

ストア †

参考 †

クレームのカスタマイズ †

デバイス認証 †

多要素認証 †

参考 †

構成 †

WAP（旧AD FS Proxy） †

AD FS Proxy †

WAP：Web Application Proxy †

Single-Idp †

Hybrid-Idp †

ADFS <---> ADFS †

Azure AD(RP側STS) <---> ADFS(CP側STS) †

参考 †

AD FS †

AD FS Proxy, Web Application Proxy †

クラウド時代の Active Directory †

手順 †

フェデレーションサービス (AD FS) のバックアップ(No.19)

クレームパイプライン †

クレームルール †