Microsoft Azure Active Directory のバックアップ(No.23)

SaaSのグローバルアクセス許可
- コンプライアンス管理者
- レポートリーダー
- Intune サービス管理者
- Exchange サービス管理者
- メールボックス管理者
- Skype for Business/Lync サービス管理者
- Information Protection 管理者

CRM サービス管理者
Power BI サービス管理者
SharePoint サービス管理者

Microsoft 再販パートナーを対象（廃止予定）
- Partner Tier 1 サポート
- Partner Tier 2 サポート

↑

権限 †

全体管理者
課金管理者

サービス管理者

セキュリティリーダー
セキュリティ管理者

ユーザーアカウント管理者
パスワード管理者/ヘルプデスク管理者
条件付きアクセス管理者

Information Protection 管理者
レポートリーダー

↑

参考 †

Microsoft Docs
- Azure Active Directory による Azure リソースへのアクセス管理
  https://docs.microsoft.com/ja-jp/azure/active-directory/manage-access-to-azure-resources
- Azure Active Directory でのユーザーの追加または削除
  https://docs.microsoft.com/ja-jp/azure/active-directory/add-users-azure-active-directory
- Azure Active Directory でユーザーを管理者ロールに割り当てる
  https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-users-assign-role-azure-portal
- Azure Active Directory の管理者ロールの割り当て
  https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-assign-admin-roles-azure-portal

↑

ユーザーアカウントの管理 †

シングルドメインのディレクトリサービスとしてクラウドIDを管理

↑

基本的な機能 †

ユーザーアカウントの
- 追加と削除
- パスワードの変更
- ロール / 権限の管理

↑

ゲストユーザーの招待 †

Azure Active Directory B2B collaborationを使用してゲストユーザーを招待する。

↑

条件付きアクセス †

多要素認証
Intune 登録デバイスに制限。
ユーザの場所と IP 範囲で制限。

参考
- Microsoft Docs
  - Azure Active Directory の条件付きアクセス
    https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-conditional-access-azure-portal
  - Azure Active Directory の条件付きアクセスについての開発者ガイド
    https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-conditional-access-developer#scenario-app-accessing-microsoft-graph

↑

マルチテナント †

SaaSとのSSO認証の機能で実現している。

マルチテナントアプリケーションパターンを使用してすべての
Azure Active Directory (AD) ユーザーがサインインできるようにする方法
（すべての Azure AD ユーザーがサインイン可能なアプリを構築する方法） | Microsoft Docs
https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-devhowto-multi-tenant-overview

↑

SaaSとのSSO認証 †

OpenID系の認証は、B2Cでも別の機能としてサポートされている模様。

↑

対象 †

Azure
Office 365
Salesforce
Google Apps
Dropbox
Facebook

↑

上記のような、（Azure AD(RP側STS)の）IDフェデレーションは、
- SAMLとWS-FEDだけがサポートする。
- OAuth 2.0、OpenID Connectは、サポートしない。

参考

↑

SAMLと連携したHybrid-IdP構成のサポート †

↑

ADFS（WS-FED）と連携したHybrid-IdP構成のサポート †

↑

B2X †

MS、「Azure Active Directory」に2種類の認証サービスを追加 - ZDNet Japan
https://japan.zdnet.com/article/35070674/
Azure Active Directory での B2B コラボレーションと B2C の比較 | Microsoft Docs
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-b2b-compare-b2c

↑

B2B (Azure Active Directory B2B collaboration) †

↑

B2C (Azure Active Directory B2C) †

↑

参考 †

ドキュメント > Azure Active Directory > Azure ID 管理の基礎
https://azure.microsoft.com/ja-jp/documentation/articles/fundamentals-identity/

↑

企業のID管理／シングルサインオンの新しい選択肢「IDaaS」の活用 †

Windows Server Insider 運用－＠IT
企業のID管理／シングルサインオンの新しい選択肢「IDaaS」の活用
http://www.atmarkit.co.jp/fwin2k/operation/indexpage/index.html#idaasov
- 第1回　もはや企業のID管理で避けては通れない「IDaaS」とは？
  http://www.atmarkit.co.jp/ait/articles/1508/07/news034.html
- 第2回　IDaaSの実装をAzure ADで理解する（前編）
  http://www.atmarkit.co.jp/ait/articles/1509/30/news051.html
- 第3回　IDaaSの実装をAzure ADで理解する（後編）
  http://www.atmarkit.co.jp/ait/articles/1510/05/news013.html
- 最終回　Windows 10によるAzure Active Directory活用の最大化--2015/12/16
  http://www.atmarkit.co.jp/ait/articles/1512/16/news041.html

↑

山市良のえぬなんとかわーるど †

お勧めホワイトペーパー『マイクロソフト ID 保護ソリューション評価ガイド』
http://yamanxworld.blogspot.jp/2016/04/id.html
- Enterprise Mobility Suite および Azure 試用版サインアップ
- Azure AD Premium (MFA、ディレクトリ同期、高度なレポート)
- Azure AD Privileged Identity Management
- Microsoft Identity Manager 2016
- Azure RMS
- Azure AD Identity Protection
- Microsoft Advanced Threat Analytics

↑

ネスケラボ †

第１回 Azure Active Directory で簡単ユーザー認証
https://blog.nextscape.net/archives/Date/2015/06/azuread01
第２回 Azure Active Directoryで簡単認証～OpenIdConnect?編～
https://blog.nextscape.net/archives/Date/2015/06/azuread02
第３回 Azure Active Directoryで簡単認証～多要素認証編(新規ユーザー作成時)～
https://blog.nextscape.net/archives/Date/2015/06/azuread03
第４回 Azure Active Directoryで簡単認証～多要素認証編(既存ユーザー設定時)～
https://blog.nextscape.net/archives/Date/2015/06/azuread04
第５回 Azure Active Directoryで簡単認証～自前でユーザー管理しよう Nativeアプリ前編～
https://blog.nextscape.net/archives/Date/2015/06/azuread05
第６回 Azure Active Directoryで簡単認証～自前でユーザー管理しよう Nativeアプリ後編～
https://blog.nextscape.net/archives/Date/2015/07/azuread06

↑

Always on the clock †

エキスパートが語るIdentity as a Service
http://azuread.net/2011/07/11/%E3%82%A8%E3%82%AD%E3%82%B9%E3%83%91%E3%83%BC%E3%83%88%E3%81%8C%E8%AA%9E%E3%82%8Bidentity-as-a-service/

Azure ADのアプリケーション連携

Azure ADテナント ---> Facebook
http://azuread.net/2013/10/15/windows-azure-active-directory%E3%81%AE%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E9%80%A3%E6%90%BA/

Google Apps編
http://azuread.net/2013/10/17/azure-ad%E3%81%AE%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E9%80%A3%E6%90%BA-%EF%BD%9E-google-apps%E7%B7%A8/

Office 365にADFSが必要な理由
http://azuread.net/2013/12/16/office-365%E3%81%ABadfs%E3%81%8C%E5%BF%85%E8%A6%81%E3%81%AA%E7%90%86%E7%94%B1/

もうひとつのID連携～ Microsoft Azure Active Directoryとは？
http://azuread.net/2014/09/01/%E3%82%82%E3%81%86%E3%81%B2%E3%81%A8%E3%81%A4%E3%81%AEid%E9%80%A3%E6%90%BA-%EF%BD%9E-microsoft-azure-active-directory%E3%81%A8%E3%81%AF%EF%BC%9F/

Azure Active Directory Premiumまとめ(インフラ技術編)
http://azuread.net/2014/10/15/azure-active-directory-premium%E3%81%BE%E3%81%A8%E3%82%81%E3%82%A4%E3%83%B3%E3%83%95%E3%83%A9%E6%8A%80%E8%A1%93%E7%B7%A8/

Azure AD への参加とデバイス登録
http://azuread.net/2015/08/18/azure-ad-%E3%81%B8%E3%81%AE%E5%8F%82%E5%8A%A0%E3%81%A8%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E7%99%BB%E9%8C%B2/

↑

docs.microsoft.com †

↑

Hybrid-IdP構成 †

AzureActive? Directory > 方法 > 計画と設計
- Azure AD のアーキテクチャを理解する > ハイブリッド ID ソリューションをデプロイする
  Azure Active Directory ハイブリッド ID の設計上の考慮事項
  https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-overview
- Azure Active Directory での要求マッピング
  - 要件を確認する >ID のライフサイクル戦略
    ハイブリッド ID ライフサイクルの導入戦略の決定
    https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-lifecycle-adoption-strategy
  - ID ライフサイクルを計画する > タスク
    ハイブリッド ID ライフサイクルの計画を立てる
    https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-hybrid-id-management-tasks
  - ID ライフサイクルを計画する > 採用戦略
    ハイブリッド ID 導入戦略の定義
    https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-identity-adoption-strategy

Azure > Active Directory接続 > 概要 > Azure AD Connect とは
オンプレミスのディレクトリと Azure Active Directory の統合
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect

↑

Tsmatz †

Azure Active Directory とは (事前準備)
http://blogs.msdn.com/b/tsmatsuz/archive/2012/09/01/windows-azure-active-directory-aad-basics.aspx

↑

Web SSO 開発 †

WS-FEDやSAMLでSSO。

.NET 編 (WS-Fed)
Azure Active Directory の SSO 開発 (Visual Studio 2013 編)
http://blogs.msdn.com/b/tsmatsuz/archive/2013/10/03/develop-using-windows-azure-active-directory-and-visual-studio-2013.aspx
PHP 編 (SAML)
Azure Active Directory の SSO 開発 (PHP 編)
http://blogs.msdn.com/b/tsmatsuz/archive/2014/01/30/azure-ad-and-php-application-sso-federation-using-simplesamlphp.aspx
Node.js 編 (SAML)
Azure Active Directory の SSO 開発 (Node.js 編)
http://blogs.msdn.com/b/tsmatsuz/archive/2014/03/23/azure-ad-and-node-js-sso-federation-using-passport.aspx

Microsoft Docs
- Azure Active Directory とアプリケーションの統合
  https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-integrating-applications

↑

SaaS 連携 †

SaaSとSAMLでSSO。

Google Apps (SAML)
Azure AD の Google Apps (SaaS) 連携 (App Access Enhancements)
http://blogs.msdn.com/b/tsmatsuz/archive/2014/01/17/windows-azure-active-directory-google-apps-federation-using-application-access-enhancements.aspx

kintone (SAML)
Azure AD の kintone 連携 (Application Gallery)
http://blogs.msdn.com/b/tsmatsuz/archive/2014/11/14/kintone-and-azure-active-directory-saml-sso.aspx

↑

OAuth †

Service の開発 (OAuth)
Azure AD を使った API 開発 (access token の verify)
http://blogs.msdn.com/b/tsmatsuz/archive/2015/02/18/azure-ad-service-web-api-programming-with-access-token-validation-check.aspx

JavaScript Application の開発
JavaScript による Azure AD 連携 (OAuth Implicit Grant)
http://blogs.msdn.com/b/tsmatsuz/archive/2015/03/06/azure-ad-oauth-implicit-grant-flow-using-javascript.aspx

Backend Server-Side アプリの開発
Azure AD : ログインをしない Backend Server-Side アプリの開発 (Daemon など)
http://blogs.msdn.com/b/tsmatsuz/archive/2015/04/10/azure-ad-create-server-side-daemon-app-with-application-role-using-client-secret-or-certificate.aspx

HTTP Flow
HTTP Flowは、resourcesというパラメタを使用したAzureADのOAuth2.0拡張っぽい。

Native Application (iOS, Android, etc) の開発
Azure AD を使った API 連携の Client 開発 (OAuth 2.0 紹介)
http://blogs.msdn.com/b/tsmatsuz/archive/2013/07/11/native-application-login-to-windows-azure-active-directory-using-aal.aspx
Login UI が表示できない場合のフロー (OAuth)
Login UI が出せない Client の OAuth フロー (Azure AD)
https://blogs.msdn.microsoft.com/tsmatsuz/2016/03/12/azure-ad-device-profile-oauth-flow/

↑

OpenID †

OpenID Connect サポート (OpenID)
Azure AD の OpenID Connect サポート
http://blogs.msdn.com/b/tsmatsuz/archive/2014/04/18/microsoft-azure-active-directory-openid-connect.aspx

Azure AD v2.0 endpoint を使った Azure AD & MSA 対応アプリ開発
- v2.0 endpoint の OAuth を使った Client 開発 (Azure AD と MSA への対応)
  https://blogs.msdn.microsoft.com/tsmatsuz/2016/02/24/v2-endpoint-oauth2-client-using-azure-active-directory-and-microsoft-account/

v2.0 endpoint の JavaScript Client 開発 (OAuth Implicit Grant Flow)
https://blogs.msdn.microsoft.com/tsmatsuz/2016/03/02/azure-ad-msa-v2-endpoint-javascript-app-using-oauth-implicit-grant/

How to use Application Permission with v2 endpoint and Microsoft Graph
https://blogs.msdn.microsoft.com/tsmatsuz/2016/10/07/application-permission-with-v2-endpoint-and-microsoft-graph/

v2.0 endpoint の OAuth Token の検証 (Verify)
https://blogs.msdn.microsoft.com/tsmatsuz/2016/03/08/azure-ad-msa-v2-endpoint-validate-id_token/

Build your own Web API protected by Azure AD v2.0 endpoint with custom scopes
https://blogs.msdn.microsoft.com/tsmatsuz/2017/06/22/web-api-and-custom-scope-with-azure-ad-v2-endpoint/

上記のコンテンツの内容を確認すると、

Microsoft の組織アカウント (Azure Active Directory, Azure AD) と

個人アカウント (Microsoft Account, MSA) の

双方に対応した v2.0 endpoint (App Model v2) と連携し、
OAuth 2.0（ではなく、推奨されるOpenID Connect）認証を行い、
認証結果を他の API (Service) で検証し認証させている。

↑

Hybrid-IdP †

Active Directory (企業内 Windows 環境) との Federation と同期
Azure AD と Active Directory (AD FS) の Federation の手順
http://blogs.msdn.com/b/tsmatsuz/archive/2015/03/04/federation-and-sync-with-azure-active-directory-and-server-active-directory.aspx

↑

Graph API †

↑

Web Account Manager API †

↑

Common Consent Framework †

Common Consent Framework を使うと、
- 管理者があらかじめ Microsoft Azure Management Portal や Windows PowerShell を使って Application登録していたものを、
- Application 使用時に Consent UI（スコープの認可画面）を表示して権限設定を委譲 (Delegate) できる。

Azure Active Directory の Common Consent Framework
- (Client 側)
  http://blogs.msdn.com/b/tsmatsuz/archive/2014/04/02/microsoft-azure-active-directory-user-consent-administrator-consent-for-multi-tenant-application.aspx
- (Service 側)
  http://blogs.msdn.com/b/tsmatsuz/archive/2014/05/27/microsoft-azure-active-directory-consent-ui-permissions-asp-net-web-api-programming-and-impersonation.aspx

↑

Multi-Factor Authentication †

Multi-Factor Authentication
Azure Active Directory の Multi-Factor Authentication (MFA) の利用
http://blogs.msdn.com/b/tsmatsuz/archive/2013/03/06/windows-azure-active-directory-multifactor-authentication.aspx

Azureの認証におけるその他サービス～ Azureモバイルサービス、多要素認証 - Build Insider
http://www.buildinsider.net/web/msidentitydev/04
- Azureモバイルサービス：認証機能とプッシュ通知をしよう！［Objective-C］ - Build Insider
  http://www.buildinsider.net/web/azuremobilesvc/02

↑

Password-based Single Sign-On †

上記の、Federation-based single sign-onに対する、
UI automationぽい方法。あまりオススメでない。

フェデレーション未対応の Web アプリとのWeb SSO (Password-based Single Sign-On)
Azure AD でフェデレーション未対応の Web アプリと SSO を構成する (Password-based Single Sign-On)
http://blogs.msdn.com/b/tsmatsuz/archive/2014/12/24/azure-ad-password-based-single-sign-on-sso.aspx

Tags: :インフラストラクチャ, :クラウド, :Azure, :Active Directory, :認証基盤, :クレームベース認証

目次 †

概要 †

Edition †

無償版 (Free) †

有償版 †

Basic †

Premium †

機能 †

アクセス制御 †

概要 †

ロール †

権限 †

参考 †

ユーザー アカウントの管理 †

基本的な機能 †

ゲスト ユーザーの招待 †

条件付きアクセス †

マルチテナント †

SaaSとのSSO認証 †

対象 †

SAML †

OAuth 2.0 †

OpenID Connect †

参考 †

Hybrid-IdP構成 †

SAMLと連携したHybrid-IdP構成のサポート †

ADFS（WS-FED）と連携したHybrid-IdP構成のサポート †

B2X †

B2B (Azure Active Directory B2B collaboration) †

B2C (Azure Active Directory B2C) †

参考 †

企業のID管理／シングルサインオンの新しい選択肢「IDaaS」の活用 †

山市良のえぬなんとかわーるど †

ネスケラボ †

Always on the clock †

docs.microsoft.com †

Hybrid-IdP構成 †

Tsmatz †

Web SSO 開発 †

SaaS 連携 †

OAuth †

OpenID †

Hybrid-IdP †

Graph API †

Web Account Manager API †

Common Consent Framework †

Multi-Factor Authentication †

Password-based Single Sign-On †

ユーザーアカウントの管理 †

ゲストユーザーの招待 †