「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Active Directory(機能一覧)]] * 目次 [#n93ca295] #contents *概要 [#y1dcdf5a] -Azure ADは、クラウド用ID管理サービスで、 --ID管理 --IDフェデレーション >といった機能を提供するものだったが、 -最近は、IDMaaSとしてオンプレのデバイス管理なども行うようになっている。 --[[Windows Hello for Business]] ---[[Azure AD参加(Azure AD Join)>Windows Hello for Business#xcfec57b]] *Edition [#uad34fb4] -Azure Active Directory のエディション~ https://msdn.microsoft.com/ja-JP/library/azure/dn532272.aspx **無償版 (Free) [#w8428399] -[[ユーザー アカウントの管理>#f134229f]] -オンプレミス ディレクトリとの同期化 --パスワード同期 --[[Hybrid-IdP構成を組む>#k86844c3]] -[[SaaSとSSO認証>#he1b97f0]] **有償版 [#j7e8b774] ***Basic [#r5e9f89f] 無償のAzure ADの機能に加え、 -組織に合わせたサイトのカスタマイズ -グループベースのアクセス制御 -ユーザーによるパスワードリセット -99.9%のSLA ***Premium [#s386b536] Azure AD Basicに加え、 -ユーザーによるグループ管理 -レポートとアラート機能 -多要素認証 --[[ADFS>フェデレーション サービス (AD FS)]]の多要素認証機能の機能強化 -デバイス認証 *機能 [#d76b405b] **ユーザー アカウントの管理 [#f134229f] シングルドメインのディレクトリサービスとしてクラウドIDを管理 ***マルチテナント [#tedae145] -マルチテナント アプリケーション パターンを使用してすべての Azure Active Directory (AD) ユーザーがサインインできるようにする方法~ すべての Azure AD ユーザーがサインイン可能なアプリを構築する方法 | Microsoft Docs~ https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-devhowto-multi-tenant-overview ***条件付きアクセス [#q14da5ee] -多要素認証 -Intune 登録デバイスに制限。 -ユーザの場所と IP 範囲で制限。 -参考 : [[Graph API]] **SaaSとSSO認証 [#he1b97f0] ***対象 [#o368f25f] -Azure -Office 365 -Salesforce -Google Apps -Dropbox -Facebook ***[[SAML]] [#cefa01ed] -Microsoft Docs --Azure AD SAML のプロトコル リファレンス~ https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-saml-protocol-reference ***[[OAuth]] 2.0 [#m24c66a2] -Microsoft Docs --Azure AD での OAuth 2.0 承認コード フローについて~ https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-protocols-oauth-code --Azure AD での OAuth2 の暗黙的な許可フローについて~ https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-dev-understanding-oauth2-implicit-grant ***[[OpenID Connect]] [#ie265567] -Microsoft Docs --Azure AD での OpenID Connect 認証コード フローについて~ https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-protocols-openid-connect-code ***参考 [#m2a3fcc1] -[[Web SSO 開発>#v27b2645]] -[[SaaS 連携>#qb08ac4e]] -[[OpenID>#edb8d156]] -[[OAuth>#a58c67e4]] -[[Hybrid-IdP>#y4bcb133]] **Hybrid-IdP構成を組む [#k86844c3] -[[Azure AD(RP側STS) <---> ADFS(CP側STS)>WS-Federation#r33d7b42]] -上記のような、(Azure AD(RP側STS)の)IDフェデレーションは、 --[[SAML]]と[[WS-FED>WS-Federation]]だけがサポートする。 --[[OAuth]] 2.0、[[OpenID Connect]]は、サポートしない。 ***[[SAML]]と連携したHybrid-IdP構成のサポート [#ob5098c9] ***[[ADFS>フェデレーション サービス (AD FS)]]([[WS-FED>WS-Federation]])と連携したHybrid-IdP構成のサポート [#c629589e] **[[Azure Active Directory B2C]] [#n13f7bac] *参考 [#e9da413c] -ドキュメント > Azure Active Directory > Azure ID 管理の基礎~ https://azure.microsoft.com/ja-jp/documentation/articles/fundamentals-identity/ **企業のID管理/シングルサインオンの新しい選択肢「IDaaS」の活用 [#m30941aa] -Windows Server Insider 運用 - @IT~ 企業のID管理/シングルサインオンの新しい選択肢「IDaaS」の活用~ http://www.atmarkit.co.jp/fwin2k/operation/indexpage/index.html#idaasov --第1回 もはや企業のID管理で避けては通れない「IDaaS」とは?~ http://www.atmarkit.co.jp/ait/articles/1508/07/news034.html --第2回 IDaaSの実装をAzure ADで理解する(前編)~ http://www.atmarkit.co.jp/ait/articles/1509/30/news051.html --第3回 IDaaSの実装をAzure ADで理解する(後編)~ http://www.atmarkit.co.jp/ait/articles/1510/05/news013.html --最終回 Windows 10によるAzure Active Directory活用の最大化--2015/12/16~ http://www.atmarkit.co.jp/ait/articles/1512/16/news041.html **山市良のえぬなんとかわーるど [#q46d0613] -お勧めホワイト ペーパー『マイクロソフト ID 保護ソリューション評価ガイド』~ http://yamanxworld.blogspot.jp/2016/04/id.html --Enterprise Mobility Suite および Azure 試用版サインアップ --Azure AD Premium (MFA、ディレクトリ同期、高度なレポート) --Azure AD Privileged Identity Management --Microsoft Identity Manager 2016 --Azure RMS --Azure AD Identity Protection --Microsoft Advanced Threat Analytics **ネスケラボ [#e726314b] -第1回 Azure Active Directory で簡単ユーザー認証~ https://blog.nextscape.net/archives/Date/2015/06/azuread01 -第2回 Azure Active Directoryで簡単認証~OpenIdConnect編~~ https://blog.nextscape.net/archives/Date/2015/06/azuread02 -第3回 Azure Active Directoryで簡単認証~多要素認証編(新規ユーザー作成時)~~ https://blog.nextscape.net/archives/Date/2015/06/azuread03 -第4回 Azure Active Directoryで簡単認証~多要素認証編(既存ユーザー設定時)~~ https://blog.nextscape.net/archives/Date/2015/06/azuread04 -第5回 Azure Active Directoryで簡単認証~自前でユーザー管理しよう Nativeアプリ 前編~~ https://blog.nextscape.net/archives/Date/2015/06/azuread05 -第6回 Azure Active Directoryで簡単認証~自前でユーザー管理しよう Nativeアプリ 後編~~ https://blog.nextscape.net/archives/Date/2015/07/azuread06 **Always on the clock [#afc0b06c] -エキスパートが語るIdentity as a Service~ http://azuread.net/2011/07/11/%E3%82%A8%E3%82%AD%E3%82%B9%E3%83%91%E3%83%BC%E3%83%88%E3%81%8C%E8%AA%9E%E3%82%8Bidentity-as-a-service/ -Azure ADのアプリケーション連携 --Azure ADテナント ---> Facebook~ http://azuread.net/2013/10/15/windows-azure-active-directory%E3%81%AE%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E9%80%A3%E6%90%BA/ --Google Apps編~ http://azuread.net/2013/10/17/azure-ad%E3%81%AE%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E9%80%A3%E6%90%BA-%EF%BD%9E-google-apps%E7%B7%A8/ -Office 365にADFSが必要な理由~ http://azuread.net/2013/12/16/office-365%E3%81%ABadfs%E3%81%8C%E5%BF%85%E8%A6%81%E3%81%AA%E7%90%86%E7%94%B1/ -もうひとつのID連携 ~ Microsoft Azure Active Directoryとは?~ http://azuread.net/2014/09/01/%E3%82%82%E3%81%86%E3%81%B2%E3%81%A8%E3%81%A4%E3%81%AEid%E9%80%A3%E6%90%BA-%EF%BD%9E-microsoft-azure-active-directory%E3%81%A8%E3%81%AF%EF%BC%9F/ -Azure Active Directory Premiumまとめ(インフラ技術編)~ http://azuread.net/2014/10/15/azure-active-directory-premium%E3%81%BE%E3%81%A8%E3%82%81%E3%82%A4%E3%83%B3%E3%83%95%E3%83%A9%E6%8A%80%E8%A1%93%E7%B7%A8/ -Azure AD への参加とデバイス登録~ http://azuread.net/2015/08/18/azure-ad-%E3%81%B8%E3%81%AE%E5%8F%82%E5%8A%A0%E3%81%A8%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E7%99%BB%E9%8C%B2/ **docs.microsoft.com [#j7e5bfb0] ***ハイブリッド ID [#pbda68dc] -AzureActive Directory > 方法 > 計画と設計 --Azure AD のアーキテクチャを理解する > ハイブリッド ID ソリューションをデプロイする~ Azure Active Directory ハイブリッド ID の設計上の考慮事項~ https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-overview --Azure Active Directory での要求マッピング ---要件を確認する >ID のライフサイクル戦略~ ハイブリッド ID ライフサイクルの導入戦略の決定~ https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-lifecycle-adoption-strategy ---ID ライフサイクルを計画する > タスク~ ハイブリッド ID ライフサイクルの計画を立てる~ https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-hybrid-id-management-tasks ---ID ライフサイクルを計画する > 採用戦略~ ハイブリッド ID 導入戦略の定義~ https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-identity-adoption-strategy -Azure > Active Directory接続 > 概要 > Azure AD Connect とは~ オンプレミスのディレクトリと Azure Active Directory の統合~ https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect **Tsmatz [#p86310cf] -Azure Active Directory とは (事前準備)~ http://blogs.msdn.com/b/tsmatsuz/archive/2012/09/01/windows-azure-active-directory-aad-basics.aspx ***Web SSO 開発 [#v27b2645] [[WS-FED>WS-Federation]]や[[SAML]]でSSO。 -.NET 編 (WS-Fed)~ Azure Active Directory の SSO 開発 (Visual Studio 2013 編)~ http://blogs.msdn.com/b/tsmatsuz/archive/2013/10/03/develop-using-windows-azure-active-directory-and-visual-studio-2013.aspx -PHP 編 (SAML)~ Azure Active Directory の SSO 開発 (PHP 編)~ http://blogs.msdn.com/b/tsmatsuz/archive/2014/01/30/azure-ad-and-php-application-sso-federation-using-simplesamlphp.aspx -Node.js 編 (SAML)~ Azure Active Directory の SSO 開発 (Node.js 編)~ http://blogs.msdn.com/b/tsmatsuz/archive/2014/03/23/azure-ad-and-node-js-sso-federation-using-passport.aspx -Microsoft Docs --Azure Active Directory とアプリケーションの統合~ https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-integrating-applications ***SaaS 連携 [#qb08ac4e] SaaSと[[SAML]]でSSO。 -Google Apps (SAML)~ Azure AD の Google Apps (SaaS) 連携 (App Access Enhancements)~ http://blogs.msdn.com/b/tsmatsuz/archive/2014/01/17/windows-azure-active-directory-google-apps-federation-using-application-access-enhancements.aspx -kintone (SAML)~ Azure AD の kintone 連携 (Application Gallery)~ http://blogs.msdn.com/b/tsmatsuz/archive/2014/11/14/kintone-and-azure-active-directory-saml-sso.aspx ***OAuth [#a58c67e4] -Service の開発 (OAuth)~ Azure AD を使った API 開発 (access token の verify)~ http://blogs.msdn.com/b/tsmatsuz/archive/2015/02/18/azure-ad-service-web-api-programming-with-access-token-validation-check.aspx -JavaScript Application の開発~ JavaScript による Azure AD 連携 (OAuth Implicit Grant)~ http://blogs.msdn.com/b/tsmatsuz/archive/2015/03/06/azure-ad-oauth-implicit-grant-flow-using-javascript.aspx -Backend Server-Side アプリの開発~ Azure AD : ログインをしない Backend Server-Side アプリの開発 (Daemon など)~ http://blogs.msdn.com/b/tsmatsuz/archive/2015/04/10/azure-ad-create-server-side-daemon-app-with-application-role-using-client-secret-or-certificate.aspx -HTTP Flow~ HTTP Flowは、resourcesというパラメタを使用したAzureADのOAuth2.0拡張っぽい。 --Native Application (iOS, Android, etc) の開発~ Azure AD を使った API 連携の Client 開発 (OAuth 2.0 紹介)~ http://blogs.msdn.com/b/tsmatsuz/archive/2013/07/11/native-application-login-to-windows-azure-active-directory-using-aal.aspx --Login UI が表示できない場合のフロー (OAuth)~ Login UI が出せない Client の OAuth フロー (Azure AD)~ https://blogs.msdn.microsoft.com/tsmatsuz/2016/03/12/azure-ad-device-profile-oauth-flow/ ***OpenID [#edb8d156] -OpenID Connect サポート (OpenID)~ Azure AD の OpenID Connect サポート~ http://blogs.msdn.com/b/tsmatsuz/archive/2014/04/18/microsoft-azure-active-directory-openid-connect.aspx -Azure AD v2.0 endpoint を使った Azure AD & MSA 対応アプリ開発 --v2.0 endpoint の OAuth を使った Client 開発 (Azure AD と MSA への対応)~ https://blogs.msdn.microsoft.com/tsmatsuz/2016/02/24/v2-endpoint-oauth2-client-using-azure-active-directory-and-microsoft-account/ --v2.0 endpoint の JavaScript Client 開発 (OAuth Implicit Grant Flow)~ https://blogs.msdn.microsoft.com/tsmatsuz/2016/03/02/azure-ad-msa-v2-endpoint-javascript-app-using-oauth-implicit-grant/ --How to use Application Permission with v2 endpoint and Microsoft Graph~ https://blogs.msdn.microsoft.com/tsmatsuz/2016/10/07/application-permission-with-v2-endpoint-and-microsoft-graph/ --v2.0 endpoint の OAuth Token の検証 (Verify)~ https://blogs.msdn.microsoft.com/tsmatsuz/2016/03/08/azure-ad-msa-v2-endpoint-validate-id_token/ --Build your own Web API protected by Azure AD v2.0 endpoint with custom scopes~ https://blogs.msdn.microsoft.com/tsmatsuz/2017/06/22/web-api-and-custom-scope-with-azure-ad-v2-endpoint/ >上記のコンテンツの内容を確認すると、 --Microsoft の組織アカウント (Azure Active Directory, Azure AD) と --個人アカウント (Microsoft Account, MSA) の >双方に対応した v2.0 endpoint (App Model v2) と連携し、~ [[OAuth]] 2.0(ではなく、推奨されるOpenID Connect)認証を行い、~ 認証結果を他の API (Service) で検証し認証させている。 ***Hybrid-IdP [#y4bcb133] -Active Directory (企業内 Windows 環境) との Federation と同期~ Azure AD と Active Directory (AD FS) の Federation の手順~ http://blogs.msdn.com/b/tsmatsuz/archive/2015/03/04/federation-and-sync-with-azure-active-directory-and-server-active-directory.aspx ***[[Graph API]] [#sc0270fb] ***[[Web Account Manager API]] [#y949f4c9] ***Common Consent Framework [#l811026f] -Common Consent Framework を使うと、 --管理者があらかじめ Microsoft Azure Management Portal や Windows PowerShell を使って Application登録していたものを、~ --Application 使用時に Consent UI(スコープの認可画面) を表示して権限設定を委譲 (Delegate) できる。 -Azure Active Directory の Common Consent Framework --(Client 側)~ http://blogs.msdn.com/b/tsmatsuz/archive/2014/04/02/microsoft-azure-active-directory-user-consent-administrator-consent-for-multi-tenant-application.aspx --(Service 側)~ http://blogs.msdn.com/b/tsmatsuz/archive/2014/05/27/microsoft-azure-active-directory-consent-ui-permissions-asp-net-web-api-programming-and-impersonation.aspx ***Multi-Factor Authentication [#x1aeef2b] -Multi-Factor Authentication~ Azure Active Directory の Multi-Factor Authentication (MFA) の利用~ http://blogs.msdn.com/b/tsmatsuz/archive/2013/03/06/windows-azure-active-directory-multifactor-authentication.aspx --Azureの認証におけるその他サービス ~ Azureモバイルサービス、多要素認証 - Build Insider~ http://www.buildinsider.net/web/msidentitydev/04 ---Azureモバイルサービス: 認証機能とプッシュ通知をしよう![Objective-C] - Build Insider~ http://www.buildinsider.net/web/azuremobilesvc/02 ***Password-based Single Sign-On [#r571067e] 上記の、Federation-based single sign-onに対する、~ UI automationぽい方法。あまりオススメでない。 -フェデレーション未対応の Web アプリとのWeb SSO (Password-based Single Sign-On)~ Azure AD で フェデレーション未対応の Web アプリと SSO を構成する (Password-based Single Sign-On)~ http://blogs.msdn.com/b/tsmatsuz/archive/2014/12/24/azure-ad-password-based-single-sign-on-sso.aspx ---- Tags: [[:クラウド]], [[:Azure]], [[:Active Directory]], [[:認証基盤]], [[:クレームベース認証]]