「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- Azure ADは、クラウド用ID管理サービスで、
といった機能を提供するものだったが、
- 最近は、IDMaaS機能を提供するようになっている。
Edition †
無償版 (Free) †
有償版 †
Basic †
無償のAzure ADの機能に加え、
- 組織に合わせたサイトのカスタマイズ
- グループベースのアクセス制御
- ユーザーによるパスワードリセット
- 99.9%のSLA
Premium †
Azure AD Basicに加え、
機能 †
アクセス制御 †
Azure ADのアカウントは、Azure SubscriptionのRBACアクセス制御でも利用しているが、
Azure ADのアカウントを使用したAzure AD自体のアクセス制御は、これとはまた、別の機能。
概要 †
ロール †
- SaaSのグローバル アクセス許可
- コンプライアンス管理者
- レポート リーダー
- Intune サービス管理者
- Exchange サービス管理者
- メールボックス管理者
- Skype for Business/Lync サービス管理者
- Information Protection 管理者
- Microsoft 再販パートナーを対象(廃止予定)
- Partner Tier 1 サポート
- Partner Tier 2 サポート
権限 †
- Information Protection 管理者
- レポート リーダー
参考 †
ユーザー アカウントの管理 †
シングルドメインのディレクトリサービスとしてクラウドIDを管理
基本的な機能 †
- ユーザー アカウントの
- 追加と削除
- パスワードの変更
- ロール / 権限の管理
ゲスト ユーザーの招待 †
Azure Active Directory B2B collaborationを使用してゲスト ユーザーを招待する。
条件付きアクセス †
- 多要素認証
- Intune 登録デバイスに制限。
- ユーザの場所と IP 範囲で制限。
マルチテナント †
SaaSとのSSO認証の機能で実現している。
SaaSとのSSO認証 †
OpenID系の認証は、B2Cでも別の機能としてサポートされている模様。
対象 †
- Azure
- Office 365
- Salesforce
- Google Apps
- Dropbox
- Facebook
参考 †
Hybrid-IdP構成 †
- 上記のような、(Azure AD(RP側STS)の)IDフェデレーションは、
SAMLと連携したHybrid-IdP構成のサポート †
ADFS(WS-FED)と連携したHybrid-IdP構成のサポート †
B2X †
参考 †
企業のID管理/シングルサインオンの新しい選択肢「IDaaS」の活用 †
山市良のえぬなんとかわーるど †
- お勧めホワイト ペーパー『マイクロソフト ID 保護ソリューション評価ガイド』
http://yamanxworld.blogspot.jp/2016/04/id.html
- Enterprise Mobility Suite および Azure 試用版サインアップ
- Azure AD Premium (MFA、ディレクトリ同期、高度なレポート)
- Azure AD Privileged Identity Management
- Microsoft Identity Manager 2016
- Azure RMS
- Azure AD Identity Protection
- Microsoft Advanced Threat Analytics
ネスケラボ †
Always on the clock †
docs.microsoft.com †
Hybrid-IdP構成 †
- AzureActive? Directory > 方法 > 計画と設計
Tsmatz †
Web SSO 開発 †
WS-FEDやSAMLでSSO。
SaaS 連携 †
SaaSとSAMLでSSO。
OAuth †
- HTTP Flow
HTTP Flowは、resourcesというパラメタを使用したAzureADのOAuth2.0拡張っぽい。
OpenID †
- Azure AD v2.0 endpoint を使った Azure AD & MSA 対応アプリ開発
上記のコンテンツの内容を確認すると、
- Microsoft の組織アカウント (Azure Active Directory, Azure AD) と
- 個人アカウント (Microsoft Account, MSA) の
双方に対応した v2.0 endpoint (App Model v2) と連携し、
OAuth 2.0(ではなく、推奨されるOpenID Connect)認証を行い、
認証結果を他の API (Service) で検証し認証させている。
Hybrid-IdP †
Common Consent Framework †
- Common Consent Framework を使うと、
- 管理者があらかじめ Microsoft Azure Management Portal や Windows PowerShell を使って Application登録していたものを、
- Application 使用時に Consent UI(スコープの認可画面) を表示して権限設定を委譲 (Delegate) できる。
- Azure Active Directory の Common Consent Framework
Multi-Factor Authentication †
Password-based Single Sign-On †
上記の、Federation-based single sign-onに対する、
UI automationぽい方法。あまりオススメでない。
Tags: :インフラストラクチャ, :クラウド, :Azure, :Active Directory, :認証基盤, :クレームベース認証