フェデレーション サービス (AD FS) のバックアップソース(No.8)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• バックアップ を表示
• フェデレーション サービス (AD FS) へ行く。
  • 1 (2014-09-20 (土) 19:37:55)
  • 2 (2014-09-20 (土) 19:45:33)
  • 3 (2014-09-21 (日) 12:52:23)
  • 4 (2015-03-13 (金) 01:23:38)
  • 5 (2015-07-28 (火) 00:39:07)
  • 6 (2015-08-23 (日) 16:58:38)
  • 7 (2015-08-23 (日) 18:24:22)
  • 8 (2015-08-23 (日) 22:57:43)
  • 9 (2015-08-24 (月) 09:36:28)
  • 10 (2015-12-10 (木) 12:45:54)
  • 11 (2016-01-14 (木) 10:54:22)
  • 12 (2016-01-26 (火) 18:48:32)
  • 13 (2016-02-15 (月) 14:10:06)
  • 14 (2016-02-19 (金) 14:00:29)
  • 15 (2016-02-19 (金) 17:57:41)
  • 16 (2016-04-09 (土) 20:05:32)
  • 17 (2017-01-04 (水) 15:51:54)
  • 18 (2017-04-05 (水) 13:39:21)
  • 19 (2017-08-03 (木) 21:51:12)
  • 20 (2018-02-14 (水) 15:53:32)

Open棟梁Project - マイクロソフト系技術情報 Wiki

-[[戻る>Active Directory（機能一覧）]]

* 目次 [#xd936942]
#contents

*概要 [#r9b957b1]
[[クレームベース認証]]を行うための「[[STS>クレームベース認証#h4a44b62]]」を構築する。

-「[[ADDS>ドメイン サービス (AD DS)]]」を「[[IDP(CP)>クレームベース認証#h4a44b62]]」として使用した「[[STS>クレームベース認証#h4a44b62]]」を構築する。

-Webアプリケーション（「[[SP(RP)>クレームベース認証#h4a44b62]]」）は、「ADFS」の「[[STS>クレームベース認証#h4a44b62]]」と信頼関係を結ぶ（[[フェデレーション・メタデータ>https://msdn.microsoft.com/ja-jp/library/azure/Dn195592.aspx]]）。

-「[[SP(RP)>クレームベース認証#h4a44b62]]」からの認証要求がリダイレクトされ「[[ADDS>ドメイン サービス (AD DS)]]」の「[[IDP(CP)>クレームベース認証#h4a44b62]]」上で認証処理が行われ、

-「ADFS」の「[[STS>クレームベース認証#h4a44b62]]」の発行するクレームを使用して「[[SP(RP)>クレームベース認証#h4a44b62]]」は認可処理を行う。

**参考 [#s28a8f50]
-ADFSとは？フェデレーションとは？を知る方法~
http://azuread.net/2013/06/18/adfs%E3%81%A8%E3%81%AF%EF%BC%9F%E3%83%95%E3%82%A7%E3%83%87%E3%83%AC%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%A8%E3%81%AF%EF%BC%9F%E3%82%92%E7%9F%A5%E3%82%8B%E6%96%B9%E6%B3%95/

詳しくは下記参照。

-[[クレームベース認証]]
--[[WS-Federation]]

*各種機能 [#m7f8afbb]

-AD FS 2.0 を展開する前にキーとなる概念を理解する~
https://technet.microsoft.com/ja-jp/library/gg308486.aspx

**クレーム、クレーム ルールの役割 [#z4f1f730]

***クレームの役割 [#u50aecda]
https://technet.microsoft.com/ja-jp/library/gg308498.aspx

-クレームの種類~
AD FS 2.0 はあらゆる種類のクレームをサポートする。

-デフォルトで構成されているクレームの種類

|名前|説明|URI|h
|電子メール アドレス|ユーザーの電子メール アドレス|http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress|
|ファースト ネーム|ユーザーのファースト ネーム|http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname|
|名前|ユーザーの一意の名前|http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name|
|UPN|ユーザーのユーザー プリンシパル名 (UPN)|http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn|
|共通名|ユーザーの共通名|http://schemas.xmlsoap.org/claims/CommonName|
|AD FS 1.x 電子メール アドレス|AD FS 1.1 または AD FS 1.0 と相互運用する場合のユーザーの電子メール アドレス|http://schemas.xmlsoap.org/claims/EmailAddress|
|グループ|ユーザーが属しているグループ|http://schemas.xmlsoap.org/claims/Group|
|AD FS 1.x UPN|AD FS 1.1 または AD FS 1.0 と相互運用する場合のユーザーの UPN|http://schemas.xmlsoap.org/claims/UPN|
|ロール|ユーザーが果たす役割|http://schemas.microsoft.com/ws/2008/06/identity/claims/role|
|姓|ユーザーの姓|http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname|
|PPID|ユーザーのプライベート識別子|http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier|
|名前識別子|ユーザーの SAML 名識別子|http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier|
|認証方法|ユーザーの認証に使用される方法|http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod|
|拒否専用のグループ SID|拒否専用のユーザーのグループ SID|http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid|
|拒否専用のプライマリ SID|拒否専用のユーザーのプライマリ SID|http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid|
|拒否専用のプライマリ グループ SID|拒否専用のユーザーのプライマリ グループ SID|http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid|
|グループ SID|ユーザーのグループ SID|http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid|
|プライマリ グループ SID|ユーザーのプライマリ グループ SID|http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid|
|プライマリ SID|ユーザーのプライマリ SID|http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid|
|Windows アカウント名|<domain>\<user> の形式で表されたユーザーのドメイン アカウント名|http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname|

***クレーム パイプラインの役割 [#r1174185]
https://technet.microsoft.com/ja-jp/library/gg308488.aspx

-受信クレームの受け入れ(受け付け変換規則)
-クレーム要求者の承認(発行承認規則)
-送信クレームの発行(発行変換規則)

-参考：[[セキュリティトークンの発行処理（クレームパイプライン）>WS-Federation#c299051a]]

***クレーム ルールの役割 [#w4002b44]
https://technet.microsoft.com/ja-jp/library/gg308490.aspx

-要求規則~
Claim Rule : クレーム ルール~
--ADFSの本質的な機能は、クレームのセットを含むトークンを発行すること。
--発行に関する決定は、クレーム ルール（要求規則）によって管理される。
--1 つまたは複数の受信クレームから1 つまたは複数の送信クレームを生成する処理

-要求規則セット~
Claim Rule Set : クレーム ルール セット

--受け付け変換規則~
Acceptance Transform Rule Set : 受け入れ変換ルール セット
---要求プロバイダーから クレームを収集しセキュリティトークンを生成
---既定:[[Active Directory]] というクレーム プロバイダーの信頼
---クレーム プロバイダーの信頼

>↓↓↓

--発行承認規則~
Issuance Authorization Rule Set : 発行変換ルール セット~
---アクセス可能なユーザー評価(トークン発行OK/NG)する。
---証明書利用者の信頼

>↓↓↓

--発行変換規則~
Issuance Transform Rule Set : 発行承認ルール セット
---トークンからクレームを生成する。
---証明書利用者の信頼

--委任承認規則~
Delegation Authorization Rule Set : 委任承認ルール セット
---代理での[[SP(RP)>クレームベース認証#h4a44b62]]アクセスの可・不可を判断する。
---証明書利用者の信頼

--偽装承認規則~
Impersonate Authorization Rule Set : 偽装承認ルール セット
---偽装しての[[SP(RP)>クレームベース認証#h4a44b62]]アクセスの可・不可を判断する。
---証明書利用者の信頼

-クレーム ルール テンプレート~
クレーム ルール テンプレートを使用してクレーム ルールを作成
--Pass Through or Filter an Incoming Claim
--Transform an Incoming Claim
--Send LDAP Attributes as Claims
--Send Group Membership as a Claim
--Send Claims Using a Custom Rule
--Permit or Deny Users Based on an Incoming Claim
--Permit All Users

**サポートする属性ストア [#kcf412d9]
-[[ドメイン サービス (AD DS)]]

-カスタム属性ストア
--[[LDAP>LDAPプロトコルでのディレクトリ・エントリ検索処理]]
--[[SQL Server]]
--テキスト ファイル
--[[Azure AD>AzureAD(IDMaaS)]], etc.

***参考 [#o6e834f5]
-属性ストアの役割~
https://technet.microsoft.com/ja-jp/library/gg308494.aspx

-ADFSのクレームにSQL Serverデータベースを使う方法~
http://azuread.net/2014/02/03/adfs%E3%81%AE%E3%82%AF%E3%83%AC%E3%83%BC%E3%83%A0%E3%81%ABsql-server%E3%83%87%E3%83%BC%E3%82%BF%E3%83%99%E3%83%BC%E3%82%B9%E3%82%92%E4%BD%BF%E3%81%86%E6%96%B9%E6%B3%95/

-IdM実験室: [AD FS2.0]カスタム属性ストアを作成する~
http://idmlab.eidentity.jp/2011/12/ad-fs20.html
-Blogs - フィールドSEあがりの安納です - Site Home - TechNet Blogs~
http://blogs.technet.com/b/junichia/archive/2011/12/10/3470046.aspx

-Azure ADアカウントを利用したADFSのクレームベース認可~
http://azuread.net/2014/11/04/azure-ad%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%82%92%E5%88%A9%E7%94%A8%E3%81%97%E3%81%9Fadfs%E3%81%AE%E3%82%AF%E3%83%AC%E3%83%BC%E3%83%A0%E3%83%99%E3%83%BC%E3%82%B9%E8%AA%8D%E5%8F%AF/

**クレームのカスタマイズ [#t6110dc2]
要求規則セットのカスタマイズにより、~
[[SAML]]トークンに含まれる情報のカスタマイズが可能。

-ADFSのトークンでシングルサインオンの範囲を広げる~
http://azuread.net/2012/02/17/adfs%E3%81%AE%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3%E3%81%A7%E3%82%B7%E3%83%B3%E3%82%B0%E3%83%AB%E3%82%B5%E3%82%A4%E3%83%B3%E3%82%AA%E3%83%B3%E3%81%AE%E7%AF%84%E5%9B%B2%E3%82%92%E5%BA%83%E3%81%92/

***デバイス認証 [#z4babbb1]

-デバイス認証サービス
--DRS：Device Registration Services
--ADFSサーバーが提供するデバイス認証機能

-Workplace Join機能
--クライアント側から事前デバイス登録とデバイス認証を行う機能

--Azure ADのWorkplace Join機能~
Azure AD(RP側STS) <---> ADFS(CP側STS)のHybrid-Idp構成でサポート。
---デバイス登録だけ、Azure ADが担当する。
---デバイス認証は、引き続きADFSが担当する。

-参考

--Windows Server 2012 R2を使ってiOSだけがOffice365にアクセスできるようにする
---(1)~
http://azuread.net/2013/09/17/windows-server-2012-r2%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6ios%E3%81%A0%E3%81%91%E3%81%8Coffice365%E3%81%AB%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%A7%E3%81%8D%E3%82%8B%E3%82%88%E3%81%86%E3%81%AB-2/
---(2)~
http://azuread.net/2013/09/18/windows-server-2012-r2%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6ios%E3%81%A0%E3%81%91%E3%81%8Coffice365%E3%81%AB%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%A7%E3%81%8D%E3%82%8B%E3%82%88%E3%81%86%E3%81%AB/
---(3)~
http://azuread.net/2013/09/19/windows-server-2012-r2%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6ios%E3%81%A0%E3%81%91%E3%81%8Coffice365%E3%81%AB%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%A7%E3%81%8D%E3%82%8B%E3%82%88%E3%81%86%E3%81%AB-3/

--ADFSでデバイス認証を実装~
http://azuread.net/2014/06/27/adfs%E3%81%A7%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E8%AA%8D%E8%A8%BC%E3%82%92%E5%AE%9F%E8%A3%85/

--続・ADFSでデバイス認証を実装~
http://azuread.net/2014/07/08/%E7%B6%9A%E3%83%BBadfs%E3%81%A7%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E8%AA%8D%E8%A8%BC%E3%82%92%E5%AE%9F%E8%A3%85/
---証明書利用者信頼の設定
---証明書利用者信頼の発行変換規則
---証明書利用者信頼の発行承認規則

--Microsoft Intune × Azure AD × ADFS でのデバイス認証~
http://azuread.net/2015/04/28/microsoft-intune-azure-ad-adfs-%E3%81%A7%E3%81%AE%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E8%AA%8D%E8%A8%BC/

**多要素認証 [#b01980b9]
Azure多要素認証のライセンスを購入した場合(またはAzure AD Premiumのライセンスを購入した場合)、~
Azureの多要素認証機能(電話、SMS、モバイルアプリなど)を利用して、ADFSでの多要素認証ができる。

-ユーザー名/パスワードと
--クライアント証明書
--電話
--SMS
--モバイルアプリ

***参考 [#b75d4afa]
-ADFSによる多要素認証の設定~
http://azuread.net/2014/03/27/adfs%E3%81%AB%E3%82%88%E3%82%8B%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%81%AE%E8%A8%AD%E5%AE%9A/

-ADFS+Office365でブラウザーアクセスのみ多要素認証を設定~
http://azuread.net/2014/03/31/adfsoffice365%E3%81%A7%E3%83%96%E3%83%A9%E3%82%A6%E3%82%B6%E3%83%BC%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%AE%E3%81%BF%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%82%92%E8%A8%AD%E5%AE%9A/

-カスタム多要素認証プロバイダーの作成(概要のみ)~
http://azuread.net/2014/04/04/%E3%82%AB%E3%82%B9%E3%82%BF%E3%83%A0%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%83%97%E3%83%AD%E3%83%90%E3%82%A4%E3%83%80%E3%83%BC%E3%81%AE%E4%BD%9C%E6%88%90%E6%A6%82%E8%A6%81%E3%81%AE%E3%81%BF/

-Windows Azure Multi-Factor Authenticationを利用したADFSの多要素認証の設定
--(1)~
http://azuread.net/2015/06/17/azure-%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%83%97%E3%83%AD%E3%83%90%E3%82%A4%E3%83%80%E3%83%BC%E3%81%B8%E3%81%AE%E9%9B%BB%E8%A9%B1%E7%95%AA%E5%8F%B7%E7%99%BB%E9%8C%B2/

--(2)~
http://azuread.net/2014/04/14/windows-azure-multi-factor-authentication%E3%82%92%E5%88%A9%E7%94%A8%E3%81%97%E3%81%9Fadfs%E3%81%AE%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%81%AE%E8%A8%AD%E5%AE%9A2/

-Azure 多要素認証プロバイダーへの電話番号登録~
http://azuread.net/2015/06/17/azure-%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%83%97%E3%83%AD%E3%83%90%E3%82%A4%E3%83%80%E3%83%BC%E3%81%B8%E3%81%AE%E9%9B%BB%E8%A9%B1%E7%95%AA%E5%8F%B7%E7%99%BB%E9%8C%B2/

*構成 [#c51ded8a]
**WAP [#m1eec92b]
WAP（旧AD FS Proxy）と組み合わせると、~
SAMLトークンをKerberosトークンに変換し、~
[[クレームベース認証]]非対応Webアプリケーションの~
SSO対応と、インターネットアクセスを可能にする。

-IdM実験室: [告知]Japan SharePoint Group勉強会でお話します~
http://idmlab.eidentity.jp/2015/03/japan-sharepoint-group.html

-内部アプリケーションの公開のために~
Web アプリケーション プロキシをインストールおよび構成する~
https://technet.microsoft.com/ja-jp/library/Dn383650.aspx

**Hybrid-Idp [#j9bddc4f]
-ADFS <---> ADFS
--ADFSサーバー間の連携設定
---(1)~
http://azuread.net/2014/02/28/adfs%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E9%96%93%E3%81%AE%E9%80%A3%E6%90%BA%E8%A8%AD%E5%AE%9A1/
---(2)~
http://azuread.net/2014/03/03/adfs%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E9%96%93%E3%81%AE%E9%80%A3%E6%90%BA%E8%A8%AD%E5%AE%9A2/
---(3)~
http://azuread.net/2014/03/05/adfs%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E9%96%93%E3%81%AE%E9%80%A3%E6%90%BA%E8%A8%AD%E5%AE%9A3/
---(4)~
http://azuread.net/2014/03/11/adfs%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E9%96%93%E3%81%AE%E9%80%A3%E6%90%BA%E8%A8%AD%E5%AE%9A4/
---(5)~
http://azuread.net/2014/03/24/adfs%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E9%96%93%E3%81%AE%E9%80%A3%E6%90%BA%E8%A8%AD%E5%AE%9A5/

-[[Azure AD(RP側STS) <---> ADFS(CP側STS)>AzureAD(IDMaaS)#k86844c3]]

*参考 [#abc723ee]
-[[認証基盤]]
--[[クレームベース認証]]
---[[SAML]]
---[[WS-Federation]]

-ADFSまとめ~
http://azuread.net/page-0/

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.009 sec.