フェデレーション サービス (AD FS)
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Active Directory(機能一覧)]]
* 目次 [#xd936942]
#contents
*概要 [#r9b957b1]
[[クレームベース認証]]を行うための「[[STS>クレームベース...
-「[[ADDS>ドメイン サービス (AD DS)]]」を「[[IDP(CP)>クレ...
-Webアプリケーション(「[[SP(RP)>クレームベース認証#h4a44...
-「[[SP(RP)>クレームベース認証#h4a44b62]]」からの認証要求...
-「[[ADFS>#]]」の「[[STS>クレームベース認証#h4a44b62]]」...
*各種機能 [#m7f8afbb]
**プロトコル [#u2e0a1d5]
以前は[[WS-Federation]]のみのサポートだったが、~
最近は[[SAML]]や[[OpenID Connect]]などのプロトコルもサポ...
-ADFS – SAML 2.0 Identity Provider and SaaS Service Provi...
https://blog.auth360.net/2012/09/02/adfs-as-an-identity-p...
-シングル サインオンを実装するための SAML 2.0 ID プロバイ...
https://msdn.microsoft.com/ja-jp/library/azure/dn641269.a...
>サンプルの SAML 2.0 の ID プロバイダーは、SAML-P プロト...
**クレーム [#z4f1f730]
***クレームの役割 [#u50aecda]
-クレームの役割~
https://technet.microsoft.com/ja-jp/library/gg308498.aspx
--クレームの種類~
AD FS 2.0 はあらゆる種類のクレームをサポートする。
--デフォルトで構成されているクレームの種類
|名前|説明|URI|h
|電子メール アドレス|ユーザーの電子メール アドレス|http:/...
|ファースト ネーム|ユーザーのファースト ネーム|http://sch...
|名前|ユーザーの一意の名前|http://schemas.xmlsoap.org/ws/...
|UPN|ユーザーのユーザー プリンシパル名 (UPN)|http://schem...
|共通名|ユーザーの共通名|http://schemas.xmlsoap.org/claim...
|AD FS 1.x 電子メール アドレス|AD FS 1.1 または AD FS 1.0...
|グループ|ユーザーが属しているグループ|http://schemas.xml...
|AD FS 1.x UPN|AD FS 1.1 または AD FS 1.0 と相互運用する...
|ロール|ユーザーが果たす役割|http://schemas.microsoft.com...
|姓|ユーザーの姓|http://schemas.xmlsoap.org/ws/2005/05/id...
|PPID|ユーザーのプライベート識別子|http://schemas.xmlsoap...
|名前識別子|ユーザーの SAML 名識別子|http://schemas.xmlso...
|認証方法|ユーザーの認証に使用される方法|http://schemas.m...
|拒否専用のグループ SID|拒否専用のユーザーのグループ SID|...
|拒否専用のプライマリ SID|拒否専用のユーザーのプライマリ ...
|拒否専用のプライマリ グループ SID|拒否専用のユーザーのプ...
|グループ SID|ユーザーのグループ SID|http://schemas.micro...
|プライマリ グループ SID|ユーザーのプライマリ グループ SI...
|プライマリ SID|ユーザーのプライマリ SID|http://schemas.m...
|Windows アカウント名|<domain>\<user> の形式で表されたユ...
***クレーム パイプライン [#r1174185]
-クレーム パイプラインの役割~
https://technet.microsoft.com/ja-jp/library/gg308488.aspx
--受け付け変換規則 : 受信クレームの受け入れ
--発行承認規則 : クレーム要求者の承認
--発行変換規則 : 送信クレームの発行
-参考:[[セキュリティトークンの発行処理(クレームパイプラ...
***クレーム ルール [#w4002b44]
-クレーム ルールの役割~
https://technet.microsoft.com/ja-jp/library/gg308490.aspx
-要求規則~
Claim Rule : クレーム ルール~
--[[ADFS>#]]の本質的な機能は、クレームのセットを含むトー...
--発行に関する決定は、クレーム ルール(要求規則)によって...
--1 つまたは複数の受信クレームから1 つまたは複数の送信ク...
-要求規則セット~
Claim Rule Set : クレーム ルール セット
--受け付け変換規則~
Acceptance Transform Rule Set : 受け入れ変換ルール セット
---要求プロバイダーから クレームを収集しセキュリティトー...
---既定:[[Active Directory]] というクレーム プロバイダー...
---クレーム プロバイダーの信頼
>↓↓↓
--発行承認規則~
Issuance Authorization Rule Set : 発行変換ルール セット~
---アクセス可能なユーザー評価(トークン発行OK/NG)する。
---証明書利用者の信頼
>↓↓↓
--発行変換規則~
Issuance Transform Rule Set : 発行承認ルール セット
---トークンからクレームを生成する。
---証明書利用者の信頼
--委任承認規則~
Delegation Authorization Rule Set : 委任承認ルール セット
---代理での[[SP(RP)>クレームベース認証#h4a44b62]]アクセス...
---証明書利用者の信頼
--偽装承認規則~
Impersonate Authorization Rule Set : 偽装承認ルール セット
---偽装しての[[SP(RP)>クレームベース認証#h4a44b62]]アクセ...
---証明書利用者の信頼
-クレーム ルール テンプレート~
クレーム ルール テンプレートを使用してクレーム ルールを作成
--Pass Through or Filter an Incoming Claim
--Transform an Incoming Claim
--Send LDAP Attributes as Claims
--Send Group Membership as a Claim
--Send Claims Using a Custom Rule
--Permit or Deny Users Based on an Incoming Claim
--Permit All Users
**サポートする属性ストア [#kcf412d9]
***ストア [#hb4a9a8a]
ユーザストアではなく、属性ストアという点がミソ。~
認証を行う、[[ドメイン サービス (AD DS)]]が前提である点は...
-[[ドメイン サービス (AD DS)]]
-カスタム属性ストア
--[[LDAP>LDAPプロトコルでのディレクトリ・エントリ検索処理]]
--[[SQL Server]]
--テキスト ファイル
--[[Azure AD>Microsoft Azure Active Directory]], etc.
***参考 [#o6e834f5]
-属性ストアの役割~
https://technet.microsoft.com/ja-jp/library/gg308494.aspx
-ADFSのクレームにSQL Serverデータベースを使う方法~
http://azuread.net/2014/02/03/adfs%E3%81%AE%E3%82%AF%E3%8...
-IdM実験室: [AD FS2.0]カスタム属性ストアを作成する~
http://idmlab.eidentity.jp/2011/12/ad-fs20.html
-Blogs - フィールドSEあがりの安納です - Site Home - TechN...
http://blogs.technet.com/b/junichia/archive/2011/12/10/34...
-Azure ADアカウントを利用したADFSのクレームベース認可~
http://azuread.net/2014/11/04/azure-ad%E3%82%A2%E3%82%AB%...
**クレームのカスタマイズ [#t6110dc2]
要求規則セットのカスタマイズにより、~
[[SAML]]トークンに含まれる情報のカスタマイズが可能。
-ADFSのトークンでシングルサインオンの範囲を広げる~
http://azuread.net/2012/02/17/adfs%E3%81%AE%E3%83%88%E3%8...
***デバイス認証 [#z4babbb1]
-デバイス認証サービス
--DRS:Device Registration Services
--[[ADFS>#]]が提供するデバイス認証機能
-Workplace Join機能
--クライアント側から事前デバイス登録とデバイス認証を行う...
--[[Azure AD>Microsoft Azure Active Directory]]のWorkplac...
[[Azure AD>Microsoft Azure Active Directory]](RP側STS) <-...
---デバイス登録だけ、[[Azure AD>Microsoft Azure Active Di...
---デバイス認証は、引き続き[[ADFS>#]]が担当する。
-参考
--Windows Server 2012 R2を使ってiOSだけがOffice365にアク...
---(1)~
http://azuread.net/2013/09/17/windows-server-2012-r2%E3%8...
---(2)~
http://azuread.net/2013/09/18/windows-server-2012-r2%E3%8...
---(3)~
http://azuread.net/2013/09/19/windows-server-2012-r2%E3%8...
--ADFSでデバイス認証を実装~
http://azuread.net/2014/06/27/adfs%E3%81%A7%E3%83%87%E3%8...
--続・ADFSでデバイス認証を実装~
http://azuread.net/2014/07/08/%E7%B6%9A%E3%83%BBadfs%E3%8...
---証明書利用者信頼の設定
---証明書利用者信頼の発行変換規則
---証明書利用者信頼の発行承認規則
--Microsoft Intune × Azure AD × ADFS でのデバイス認証~
http://azuread.net/2015/04/28/microsoft-intune-azure-ad-a...
**多要素認証 [#b01980b9]
Azure多要素認証のライセンスを購入した場合(または[[Azure A...
Azureの多要素認証機能(電話、SMS、モバイルアプリなど)を利...
-ユーザー名/パスワードと
--クライアント証明書
--電話
--SMS
--モバイルアプリ
***参考 [#b75d4afa]
-ADFSによる多要素認証の設定~
http://azuread.net/2014/03/27/adfs%E3%81%AB%E3%82%88%E3%8...
-ADFS+Office365でブラウザーアクセスのみ多要素認証を設定~
http://azuread.net/2014/03/31/adfsoffice365%E3%81%A7%E3%8...
-カスタム多要素認証プロバイダーの作成(概要のみ)~
http://azuread.net/2014/04/04/%E3%82%AB%E3%82%B9%E3%82%BF...
-Windows Azure Multi-Factor Authenticationを利用したADFS...
--(1)~
http://azuread.net/2015/06/17/azure-%E5%A4%9A%E8%A6%81%E7...
--(2)~
http://azuread.net/2014/04/14/windows-azure-multi-factor-...
-Azure 多要素認証プロバイダーへの電話番号登録~
http://azuread.net/2015/06/17/azure-%E5%A4%9A%E8%A6%81%E7...
*構成 [#c51ded8a]
**WAP(旧AD FS Proxy) [#m1eec92b]
-Blogs - Technical Evangelist - Junichi Anno's blog - Sit...
http://blogs.technet.com/b/junichia/archive/2013/11/14/36...
>【IDM】Windows Server 2012 R2 の
-Web Application Proxy ってナニするためのもの?
-Device Registration Service との関係は?
***AD FS Proxy [#q2e5e80f]
AD FS Proxyを経由させる方法は、インターネット側から[[ADFS...
-AD FS-AD FS Proxy を Azure の仮想マシン上に構築してみる ...
http://blog.engineer-memo.com/2013/10/13/ad-fsad-fs-proxy...
***WAP:Web Application Proxy [#h0c0378b]
WAPと組み合わせると、SAMLトークンをKerberosトークンに変換...
[[クレームベース認証]]非対応WebアプリケーションのSSO対応...
インターネットアクセスを可能にする。
-IdM実験室: [告知]Japan SharePoint Group勉強会でお話します~
http://idmlab.eidentity.jp/2015/03/japan-sharepoint-group...
-Web アプリケーション プロキシを使用して~
アプリケーションを公開することを計画する~
https://technet.microsoft.com/ja-jp/library/dn383650.aspx
-AD FS 事前認証を使用してアプリケーションを公開する~
https://technet.microsoft.com/ja-jp/library/dn383640.aspx
**Single-Idp [#r4935ced]
最も基本的な、[[ADFS>#]]の構成。
WebServer (<---> AD FS Proxy) <---> ADFS <---> ADDS
-手順(概要)~
...。
**Hybrid-Idp [#j9bddc4f]
***ADFS <---> ADFS [#b6220e67]
要求プロバイダー信頼と証明書利用者信頼にそれぞれ異なる[[A...
WebServer (<---> AD FS Proxy) <---> ADFS <---> ADDS
↑↓
WebServer (<---> AD FS Proxy) <---> ADFS <---> ADDS
-手順(概要)~
...。
-参考, Always on the clock
--要求プロバイダー信頼と証明書利用者信頼~
http://azuread.net/2014/02/19/%E8%A6%81%E6%B1%82%E3%83%97...
--ADFSサーバー間の連携設定
---(1)~
http://azuread.net/2014/02/28/adfs%E3%82%B5%E3%83%BC%E3%8...
---(2)~
http://azuread.net/2014/03/03/adfs%E3%82%B5%E3%83%BC%E3%8...
---(3)~
http://azuread.net/2014/03/05/adfs%E3%82%B5%E3%83%BC%E3%8...
---(4)~
http://azuread.net/2014/03/11/adfs%E3%82%B5%E3%83%BC%E3%8...
---(5)~
http://azuread.net/2014/03/24/adfs%E3%82%B5%E3%83%BC%E3%8...
***[[Azure AD(RP側STS) <---> ADFS(CP側STS)>Microsoft Azur...
-企業の[[ADDS>ドメイン サービス (AD DS)]]上のアカウントを...
-アプリケーションは[[Azure AD>Microsoft Azure Active Dire...
WebServer <---> Azure AD(RP側STS) (<---> AD FS Proxy) <-...
-手順(概要)~
...。
-参考~
...。
*参考 [#abc723ee]
-[[認証基盤]]
--[[クレームベース認証]]
---[[SAML]]
---[[WS-Federation]]
**AD FS [#s27527c2]
-vNextに備えよ! 次期Windows Serverのココに注目(23):~
クラウド時代のセキュリティ担保にはActive Directoryフェデ...
http://www.atmarkit.co.jp/ait/articles/1508/19/news021.html
-AD FS 2.0 コンテンツマップ - Microsoft Office 365 Commun...
https://community.office365.com/ja-jp/w/sso/1911
-AD FS 2.0 を展開する前にキーとなる概念を理解する~
https://technet.microsoft.com/ja-jp/library/gg308486.aspx
-AD FS 2.0 デザイン ガイド~
https://technet.microsoft.com/ja-jp/library/gg308546.aspx
-Windows Server 2012 R2 の ADFS はかなり変更されています~
都内で働くSEの技術的なひとりごと~
http://ryuchan.hatenablog.com/entry/2013/09/02/091144
***Always on the clock [#ta67084e]
-ADFSまとめ~
http://azuread.net/page-0/
-ADFSとは?フェデレーションとは?を知る方法~
http://azuread.net/2013/06/18/adfs%E3%81%A8%E3%81%AF%EF%B...
***IdM実験室 [#ya20d3c2]
-[AD FS]Windows Server 2012 R2 Preview の AD FS ①~
http://idmlab.eidentity.jp/2013/06/ad-fswindows-server-20...
-[AD FS]Windows Server 2012 R2 Preview の AD FS ②~
http://idmlab.eidentity.jp/2013/07/ad-fswindows-server-20...
**AD FS Proxy, Web Application Proxy [#o1b76f25]
-AD FS Proxyの役割 | 日々徒然~
http://blog.o365mvp.com/2011/06/17/adfs-proxy%E3%81%AE%E5...
-Microsoftの認証システムの歴史と~
過渡期におけるWAPの活用 +Next Generation Credentials~
http://www.slideshare.net/naohiro.fujie/jpsps-wap-ngc2015...
**クラウド時代の Active Directory [#b24aa89d]
-Blogs - IT プロフェッショナルのみなさまへ - Site Home - ...
Active Directory の最新情報をキャッチアップ!~
クラウド時代の Active Directory 次の一手シリーズ 第1回~6...
http://blogs.technet.com/b/jpitpro/archive/2014/09/12/363...
--第 1 回 Active Directory の位置づけ~
http://www.microsoftvirtualacademy.com/training-courses/c...
--第 2 回 Active Directory ドメイン サービスの新しい役割~
http://www.microsoftvirtualacademy.com/training-courses/c...
--第 3 回 Active Directory フェデレーション サービスの役...
http://www.microsoftvirtualacademy.com/training-courses/c...
--第 4 回 Active Directory フェデレーション サービスの役...
http://www.microsoftvirtualacademy.com/training-courses/c...
--第 5 回 認証のためのプロキシ Web Application Proxy~
http://www.microsoftvirtualacademy.com/training-courses/c...
--第 6 回 Microsoft Azure Active Directory とは~
http://www.microsoftvirtualacademy.com/training-courses/c...
**手順 [#z6367583]
-Microsoft Office 365 自習書 AD FS によるシングル サイン...
ステップ バイ ステップ ガイド from Official Microsoft Dow...
http://www.microsoft.com/ja-jp/download/details.aspx?id=2...
-AD FS-AD FS Proxy を Azure の仮想マシン上に構築してみる ...
http://blog.engineer-memo.com/2013/10/13/ad-fsad-fs-proxy...
----
Tags: [[:Active Directory]], [[:認証基盤]], [[:クレームベ...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Active Directory(機能一覧)]]
* 目次 [#xd936942]
#contents
*概要 [#r9b957b1]
[[クレームベース認証]]を行うための「[[STS>クレームベース...
-「[[ADDS>ドメイン サービス (AD DS)]]」を「[[IDP(CP)>クレ...
-Webアプリケーション(「[[SP(RP)>クレームベース認証#h4a44...
-「[[SP(RP)>クレームベース認証#h4a44b62]]」からの認証要求...
-「[[ADFS>#]]」の「[[STS>クレームベース認証#h4a44b62]]」...
*各種機能 [#m7f8afbb]
**プロトコル [#u2e0a1d5]
以前は[[WS-Federation]]のみのサポートだったが、~
最近は[[SAML]]や[[OpenID Connect]]などのプロトコルもサポ...
-ADFS – SAML 2.0 Identity Provider and SaaS Service Provi...
https://blog.auth360.net/2012/09/02/adfs-as-an-identity-p...
-シングル サインオンを実装するための SAML 2.0 ID プロバイ...
https://msdn.microsoft.com/ja-jp/library/azure/dn641269.a...
>サンプルの SAML 2.0 の ID プロバイダーは、SAML-P プロト...
**クレーム [#z4f1f730]
***クレームの役割 [#u50aecda]
-クレームの役割~
https://technet.microsoft.com/ja-jp/library/gg308498.aspx
--クレームの種類~
AD FS 2.0 はあらゆる種類のクレームをサポートする。
--デフォルトで構成されているクレームの種類
|名前|説明|URI|h
|電子メール アドレス|ユーザーの電子メール アドレス|http:/...
|ファースト ネーム|ユーザーのファースト ネーム|http://sch...
|名前|ユーザーの一意の名前|http://schemas.xmlsoap.org/ws/...
|UPN|ユーザーのユーザー プリンシパル名 (UPN)|http://schem...
|共通名|ユーザーの共通名|http://schemas.xmlsoap.org/claim...
|AD FS 1.x 電子メール アドレス|AD FS 1.1 または AD FS 1.0...
|グループ|ユーザーが属しているグループ|http://schemas.xml...
|AD FS 1.x UPN|AD FS 1.1 または AD FS 1.0 と相互運用する...
|ロール|ユーザーが果たす役割|http://schemas.microsoft.com...
|姓|ユーザーの姓|http://schemas.xmlsoap.org/ws/2005/05/id...
|PPID|ユーザーのプライベート識別子|http://schemas.xmlsoap...
|名前識別子|ユーザーの SAML 名識別子|http://schemas.xmlso...
|認証方法|ユーザーの認証に使用される方法|http://schemas.m...
|拒否専用のグループ SID|拒否専用のユーザーのグループ SID|...
|拒否専用のプライマリ SID|拒否専用のユーザーのプライマリ ...
|拒否専用のプライマリ グループ SID|拒否専用のユーザーのプ...
|グループ SID|ユーザーのグループ SID|http://schemas.micro...
|プライマリ グループ SID|ユーザーのプライマリ グループ SI...
|プライマリ SID|ユーザーのプライマリ SID|http://schemas.m...
|Windows アカウント名|<domain>\<user> の形式で表されたユ...
***クレーム パイプライン [#r1174185]
-クレーム パイプラインの役割~
https://technet.microsoft.com/ja-jp/library/gg308488.aspx
--受け付け変換規則 : 受信クレームの受け入れ
--発行承認規則 : クレーム要求者の承認
--発行変換規則 : 送信クレームの発行
-参考:[[セキュリティトークンの発行処理(クレームパイプラ...
***クレーム ルール [#w4002b44]
-クレーム ルールの役割~
https://technet.microsoft.com/ja-jp/library/gg308490.aspx
-要求規則~
Claim Rule : クレーム ルール~
--[[ADFS>#]]の本質的な機能は、クレームのセットを含むトー...
--発行に関する決定は、クレーム ルール(要求規則)によって...
--1 つまたは複数の受信クレームから1 つまたは複数の送信ク...
-要求規則セット~
Claim Rule Set : クレーム ルール セット
--受け付け変換規則~
Acceptance Transform Rule Set : 受け入れ変換ルール セット
---要求プロバイダーから クレームを収集しセキュリティトー...
---既定:[[Active Directory]] というクレーム プロバイダー...
---クレーム プロバイダーの信頼
>↓↓↓
--発行承認規則~
Issuance Authorization Rule Set : 発行変換ルール セット~
---アクセス可能なユーザー評価(トークン発行OK/NG)する。
---証明書利用者の信頼
>↓↓↓
--発行変換規則~
Issuance Transform Rule Set : 発行承認ルール セット
---トークンからクレームを生成する。
---証明書利用者の信頼
--委任承認規則~
Delegation Authorization Rule Set : 委任承認ルール セット
---代理での[[SP(RP)>クレームベース認証#h4a44b62]]アクセス...
---証明書利用者の信頼
--偽装承認規則~
Impersonate Authorization Rule Set : 偽装承認ルール セット
---偽装しての[[SP(RP)>クレームベース認証#h4a44b62]]アクセ...
---証明書利用者の信頼
-クレーム ルール テンプレート~
クレーム ルール テンプレートを使用してクレーム ルールを作成
--Pass Through or Filter an Incoming Claim
--Transform an Incoming Claim
--Send LDAP Attributes as Claims
--Send Group Membership as a Claim
--Send Claims Using a Custom Rule
--Permit or Deny Users Based on an Incoming Claim
--Permit All Users
**サポートする属性ストア [#kcf412d9]
***ストア [#hb4a9a8a]
ユーザストアではなく、属性ストアという点がミソ。~
認証を行う、[[ドメイン サービス (AD DS)]]が前提である点は...
-[[ドメイン サービス (AD DS)]]
-カスタム属性ストア
--[[LDAP>LDAPプロトコルでのディレクトリ・エントリ検索処理]]
--[[SQL Server]]
--テキスト ファイル
--[[Azure AD>Microsoft Azure Active Directory]], etc.
***参考 [#o6e834f5]
-属性ストアの役割~
https://technet.microsoft.com/ja-jp/library/gg308494.aspx
-ADFSのクレームにSQL Serverデータベースを使う方法~
http://azuread.net/2014/02/03/adfs%E3%81%AE%E3%82%AF%E3%8...
-IdM実験室: [AD FS2.0]カスタム属性ストアを作成する~
http://idmlab.eidentity.jp/2011/12/ad-fs20.html
-Blogs - フィールドSEあがりの安納です - Site Home - TechN...
http://blogs.technet.com/b/junichia/archive/2011/12/10/34...
-Azure ADアカウントを利用したADFSのクレームベース認可~
http://azuread.net/2014/11/04/azure-ad%E3%82%A2%E3%82%AB%...
**クレームのカスタマイズ [#t6110dc2]
要求規則セットのカスタマイズにより、~
[[SAML]]トークンに含まれる情報のカスタマイズが可能。
-ADFSのトークンでシングルサインオンの範囲を広げる~
http://azuread.net/2012/02/17/adfs%E3%81%AE%E3%83%88%E3%8...
***デバイス認証 [#z4babbb1]
-デバイス認証サービス
--DRS:Device Registration Services
--[[ADFS>#]]が提供するデバイス認証機能
-Workplace Join機能
--クライアント側から事前デバイス登録とデバイス認証を行う...
--[[Azure AD>Microsoft Azure Active Directory]]のWorkplac...
[[Azure AD>Microsoft Azure Active Directory]](RP側STS) <-...
---デバイス登録だけ、[[Azure AD>Microsoft Azure Active Di...
---デバイス認証は、引き続き[[ADFS>#]]が担当する。
-参考
--Windows Server 2012 R2を使ってiOSだけがOffice365にアク...
---(1)~
http://azuread.net/2013/09/17/windows-server-2012-r2%E3%8...
---(2)~
http://azuread.net/2013/09/18/windows-server-2012-r2%E3%8...
---(3)~
http://azuread.net/2013/09/19/windows-server-2012-r2%E3%8...
--ADFSでデバイス認証を実装~
http://azuread.net/2014/06/27/adfs%E3%81%A7%E3%83%87%E3%8...
--続・ADFSでデバイス認証を実装~
http://azuread.net/2014/07/08/%E7%B6%9A%E3%83%BBadfs%E3%8...
---証明書利用者信頼の設定
---証明書利用者信頼の発行変換規則
---証明書利用者信頼の発行承認規則
--Microsoft Intune × Azure AD × ADFS でのデバイス認証~
http://azuread.net/2015/04/28/microsoft-intune-azure-ad-a...
**多要素認証 [#b01980b9]
Azure多要素認証のライセンスを購入した場合(または[[Azure A...
Azureの多要素認証機能(電話、SMS、モバイルアプリなど)を利...
-ユーザー名/パスワードと
--クライアント証明書
--電話
--SMS
--モバイルアプリ
***参考 [#b75d4afa]
-ADFSによる多要素認証の設定~
http://azuread.net/2014/03/27/adfs%E3%81%AB%E3%82%88%E3%8...
-ADFS+Office365でブラウザーアクセスのみ多要素認証を設定~
http://azuread.net/2014/03/31/adfsoffice365%E3%81%A7%E3%8...
-カスタム多要素認証プロバイダーの作成(概要のみ)~
http://azuread.net/2014/04/04/%E3%82%AB%E3%82%B9%E3%82%BF...
-Windows Azure Multi-Factor Authenticationを利用したADFS...
--(1)~
http://azuread.net/2015/06/17/azure-%E5%A4%9A%E8%A6%81%E7...
--(2)~
http://azuread.net/2014/04/14/windows-azure-multi-factor-...
-Azure 多要素認証プロバイダーへの電話番号登録~
http://azuread.net/2015/06/17/azure-%E5%A4%9A%E8%A6%81%E7...
*構成 [#c51ded8a]
**WAP(旧AD FS Proxy) [#m1eec92b]
-Blogs - Technical Evangelist - Junichi Anno's blog - Sit...
http://blogs.technet.com/b/junichia/archive/2013/11/14/36...
>【IDM】Windows Server 2012 R2 の
-Web Application Proxy ってナニするためのもの?
-Device Registration Service との関係は?
***AD FS Proxy [#q2e5e80f]
AD FS Proxyを経由させる方法は、インターネット側から[[ADFS...
-AD FS-AD FS Proxy を Azure の仮想マシン上に構築してみる ...
http://blog.engineer-memo.com/2013/10/13/ad-fsad-fs-proxy...
***WAP:Web Application Proxy [#h0c0378b]
WAPと組み合わせると、SAMLトークンをKerberosトークンに変換...
[[クレームベース認証]]非対応WebアプリケーションのSSO対応...
インターネットアクセスを可能にする。
-IdM実験室: [告知]Japan SharePoint Group勉強会でお話します~
http://idmlab.eidentity.jp/2015/03/japan-sharepoint-group...
-Web アプリケーション プロキシを使用して~
アプリケーションを公開することを計画する~
https://technet.microsoft.com/ja-jp/library/dn383650.aspx
-AD FS 事前認証を使用してアプリケーションを公開する~
https://technet.microsoft.com/ja-jp/library/dn383640.aspx
**Single-Idp [#r4935ced]
最も基本的な、[[ADFS>#]]の構成。
WebServer (<---> AD FS Proxy) <---> ADFS <---> ADDS
-手順(概要)~
...。
**Hybrid-Idp [#j9bddc4f]
***ADFS <---> ADFS [#b6220e67]
要求プロバイダー信頼と証明書利用者信頼にそれぞれ異なる[[A...
WebServer (<---> AD FS Proxy) <---> ADFS <---> ADDS
↑↓
WebServer (<---> AD FS Proxy) <---> ADFS <---> ADDS
-手順(概要)~
...。
-参考, Always on the clock
--要求プロバイダー信頼と証明書利用者信頼~
http://azuread.net/2014/02/19/%E8%A6%81%E6%B1%82%E3%83%97...
--ADFSサーバー間の連携設定
---(1)~
http://azuread.net/2014/02/28/adfs%E3%82%B5%E3%83%BC%E3%8...
---(2)~
http://azuread.net/2014/03/03/adfs%E3%82%B5%E3%83%BC%E3%8...
---(3)~
http://azuread.net/2014/03/05/adfs%E3%82%B5%E3%83%BC%E3%8...
---(4)~
http://azuread.net/2014/03/11/adfs%E3%82%B5%E3%83%BC%E3%8...
---(5)~
http://azuread.net/2014/03/24/adfs%E3%82%B5%E3%83%BC%E3%8...
***[[Azure AD(RP側STS) <---> ADFS(CP側STS)>Microsoft Azur...
-企業の[[ADDS>ドメイン サービス (AD DS)]]上のアカウントを...
-アプリケーションは[[Azure AD>Microsoft Azure Active Dire...
WebServer <---> Azure AD(RP側STS) (<---> AD FS Proxy) <-...
-手順(概要)~
...。
-参考~
...。
*参考 [#abc723ee]
-[[認証基盤]]
--[[クレームベース認証]]
---[[SAML]]
---[[WS-Federation]]
**AD FS [#s27527c2]
-vNextに備えよ! 次期Windows Serverのココに注目(23):~
クラウド時代のセキュリティ担保にはActive Directoryフェデ...
http://www.atmarkit.co.jp/ait/articles/1508/19/news021.html
-AD FS 2.0 コンテンツマップ - Microsoft Office 365 Commun...
https://community.office365.com/ja-jp/w/sso/1911
-AD FS 2.0 を展開する前にキーとなる概念を理解する~
https://technet.microsoft.com/ja-jp/library/gg308486.aspx
-AD FS 2.0 デザイン ガイド~
https://technet.microsoft.com/ja-jp/library/gg308546.aspx
-Windows Server 2012 R2 の ADFS はかなり変更されています~
都内で働くSEの技術的なひとりごと~
http://ryuchan.hatenablog.com/entry/2013/09/02/091144
***Always on the clock [#ta67084e]
-ADFSまとめ~
http://azuread.net/page-0/
-ADFSとは?フェデレーションとは?を知る方法~
http://azuread.net/2013/06/18/adfs%E3%81%A8%E3%81%AF%EF%B...
***IdM実験室 [#ya20d3c2]
-[AD FS]Windows Server 2012 R2 Preview の AD FS ①~
http://idmlab.eidentity.jp/2013/06/ad-fswindows-server-20...
-[AD FS]Windows Server 2012 R2 Preview の AD FS ②~
http://idmlab.eidentity.jp/2013/07/ad-fswindows-server-20...
**AD FS Proxy, Web Application Proxy [#o1b76f25]
-AD FS Proxyの役割 | 日々徒然~
http://blog.o365mvp.com/2011/06/17/adfs-proxy%E3%81%AE%E5...
-Microsoftの認証システムの歴史と~
過渡期におけるWAPの活用 +Next Generation Credentials~
http://www.slideshare.net/naohiro.fujie/jpsps-wap-ngc2015...
**クラウド時代の Active Directory [#b24aa89d]
-Blogs - IT プロフェッショナルのみなさまへ - Site Home - ...
Active Directory の最新情報をキャッチアップ!~
クラウド時代の Active Directory 次の一手シリーズ 第1回~6...
http://blogs.technet.com/b/jpitpro/archive/2014/09/12/363...
--第 1 回 Active Directory の位置づけ~
http://www.microsoftvirtualacademy.com/training-courses/c...
--第 2 回 Active Directory ドメイン サービスの新しい役割~
http://www.microsoftvirtualacademy.com/training-courses/c...
--第 3 回 Active Directory フェデレーション サービスの役...
http://www.microsoftvirtualacademy.com/training-courses/c...
--第 4 回 Active Directory フェデレーション サービスの役...
http://www.microsoftvirtualacademy.com/training-courses/c...
--第 5 回 認証のためのプロキシ Web Application Proxy~
http://www.microsoftvirtualacademy.com/training-courses/c...
--第 6 回 Microsoft Azure Active Directory とは~
http://www.microsoftvirtualacademy.com/training-courses/c...
**手順 [#z6367583]
-Microsoft Office 365 自習書 AD FS によるシングル サイン...
ステップ バイ ステップ ガイド from Official Microsoft Dow...
http://www.microsoft.com/ja-jp/download/details.aspx?id=2...
-AD FS-AD FS Proxy を Azure の仮想マシン上に構築してみる ...
http://blog.engineer-memo.com/2013/10/13/ad-fsad-fs-proxy...
----
Tags: [[:Active Directory]], [[:認証基盤]], [[:クレームベ...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
