active directory のクラウド武装化計画 v2~"ad on azure iaas" or "windows...
DESCRIPTION
この資料のPPT版、および AD on IaaS の構築手順書は、以下のキャンペーンサイトから入手してくださいませ。 http://technet.microsoft.com/ja-jp/windowsserver/dn715816 大人の事情でごめんなさい。でも気合い入れて作った手順書です。TRANSCRIPT
![Page 1: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/1.jpg)
2014/3/31 v1.0
![Page 2: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/2.jpg)
![Page 3: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/3.jpg)
http://technet.microsoft.com/ja-jp/windowsserver/jj649374
![Page 4: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/4.jpg)
13:30 ~ 16:00 復習
• 企業インフラが求める認証基盤
• Hybrid IdP の実現に向けて
16:00 ~ 17:30 AD on IaaS 構築編
• Windows Server Active Directory on IaaS の構築手順
![Page 5: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/5.jpg)
![Page 6: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/6.jpg)
IT ガバナンスを “IT” でコントロールするため
IT ガバナンスとは(経済産業省)
• 企業が、ITに関する企画・導入・運営および活用を行うにあたって、すべての活動、成果および関係者を適正に統制し、目指すべき姿へと導くための仕組みを組織に組み込むこと、または、組み込まれた状態
• ITガバナンスは、ITマネジメントに関わる方針や基準を明確にし、それを経営者やユーザーに浸透させることに重点が置かれており、ITマネジメントは、日々の運営や活動の管理に重点が置かれている
http://warp.ndl.go.jp/info:ndljp/pid/286890/www.meti.go.jp/policy/it_policy/it_keiei/action/keyword/governance/index03.html
![Page 7: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/7.jpg)
システム運営企業情報システムを安定的かつ適正に運用・管理することに加えて、サービスレベル合意書 (SLA) に基づくサービス品質の管理、セキュリティを含むITリスク管理、技術標準および運用手順の設定など
組織運営スタッフ個人および部門の目標管理に基づくIT部門の健全運営に加えて、IT予算および投資の管理、外部ベンダーおよび契約の管理など
http://warp.ndl.go.jp/info:ndljp/pid/286890/www.meti.go.jp/policy/it_policy/it_keiei/action/keyword/governance/index02.html
説明責任経営者および利用部門に対する説明責任を意味しますが、具体的にはコストの妥当性、作り上げたシステムの利用状況、ビジネスへの貢献度などを自ら評価し、その結果をフィードバックすることで、IT部門の取り組みの適正さを明らかにする
リレーションシップ管理利用部門との関係を維持・改善し、企業情報システムの適性かつ有効な利用を促進することを目的に、啓蒙・教育、情報発信、部門間調整などを行うものです。これは満足度調査やニーズおよび要件の聞き取りといったインバウンド(IT部門へ) のコミュニケーションと、情報発信やシーズの提案といったアウトバウンド (IT部門から) のコミュニケーションを伴う
![Page 8: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/8.jpg)
IT リスクの低減
生産性の向上
IT 利用度の向上
• 禁止事項を増やす
• ルールを増やす
• 手順を増やす
• ビジネスロジックを増やす
• PC リプレイス
• 新ソフトの導入
• 新機能の導入
• 使うことを強制するルール
生産性は ?
![Page 9: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/9.jpg)
全てにリスクが潜んでいる
&
リスクは無くせない
(低減は可能)
“面倒な”ルール
![Page 10: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/10.jpg)
リスクとリスクが出会ってしまったとき
トランスポーター
![Page 11: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/11.jpg)
• 個々のリスクを低減する(出会う確率を減らす)
• エンタープライズ・セキュリティ・ポリシーによりトラッキング(監視)
• 必要に応じて“トランスポーター”をブロック
![Page 12: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/12.jpg)
認証とは:ユーザーやデバイスの一意性を保証すること:ユーザーやデバイスを特定すること:認証サーバーが行う
認可とは:認証されたユーザーやデバイスにアクセス権を与えるかどうかを判断すること
:アプリケーションやサービスが行う
「誰が(どのデバイスが)、何をできるか」を判断するプロセスが、
全ての IT リソースに対して有効であることが重要
![Page 13: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/13.jpg)
![Page 14: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/14.jpg)
• 全てのリソースへのアクセスには認証が必要• 各リソースに適切なアクセス権を設定• 社内 PC は持ち出さない• 個人デバイスは社内で利用しない• 社外秘データは持ち出さない• ハードディスクは暗号化する• 定期的なパスワードの変更• ウィルスパターンを定期的に更新• セキュリティパッチの迅速な適用• 不要なソフトウェアをインストールしない• 怪しいサイトにはアクセスしない
など
コンプライアンス(法令順守)のためのセキュリティの大原則
企業内 IT インフラストラクチャー全体に適用する
![Page 15: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/15.jpg)
DataApplication
Network Device
全てのリソースが常に認証基盤とつながっている状態を維持する
データを社外に持ち出しても、社内のセキュリティポリシーによってアクセスが制限できる
デバイスは認証を受けなければ社内のリソースにアクセスできない。
デバイスを社外に持ち出しても、社内のセキュリティポリシーが常に適用される。
セキュリティポリシーを満たしているユーザーとデバイスがネットワークに接続できる。
ポリシー違反が発生したら、強制的にネットワークから除外することができる。
アプリケーションは認証されたユーザーと認証されたデバイスにアクセス権を与えることができる。
アプリケーションは認証サーバーからユーザーとデバイスの情報を取得できる。 ユーザーは認証を受けな
ければ社内のリソースを一切利用できない
![Page 16: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/16.jpg)
セキュリティドメイン
• ユーザー認証とデバイス認証
• データへのアクセス権管理
• セキュリティポリシーの適用
• 企業内データの動的分類
セキュリティの壁
![Page 17: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/17.jpg)
Active Directory ドメイン
AD DS
ID/Pass で Sign-in
グループポリシーによる統制
Windowsクライアント
AD CS証明書発行
アカウント管理
AD RMS
アクセス制御
データ暗号化ファイルサーバ
メールサーバー
WEB サーバー
DB サーバー
アクセス制御
![Page 18: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/18.jpg)
INTERNET
• 社内セキュリティポリシーによる継続的な監視• PC のセキュリティはリアルタイムに監視されている
Active Directory ドメイン
検疫ネットワーク
社内ネットワーク
Firewall Direct Access
ServerHotel
評価
Network Access Protection
ドメインコントローラー
業務サーバーファイルサーバー
Windows7/8
R-Proxy
![Page 19: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/19.jpg)
Active Directory ドメイン
AD DS
AD RMS
Exchange
Server
• 重要なデータ(メール、ドキュメント)を暗号化• データにアクセス権限を付与• 認可の集中管理
SharePoint
Server
EA
S
http
s
認証
認可
Firew
all
※権限を付与するのはデータ/メールの作成者または、動的分類機能で自動化
暗号化メールを解読
![Page 20: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/20.jpg)
Active Directory ドメイン
• RDP を使用して社内仮想 PC を操作• 社内仮想PCは常に社内セキュリティポリシーが適用されている• データは社内仮想 PC から外に出られない
各種業務サーバー
RDP
セキュリティ境界
踏み台(仮想PC群)
遠隔操作
AD DS
遠隔操作
![Page 21: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/21.jpg)
• サービスのパブリッククラウドへの移行は加速する
• インフラがパブリッククラウド上に完全移行したとしてもIT ガバナンスの観点から、セキュリティドメインは無くせない
• 認証の中心はセキュリティドメインである
セキュリティドメインの維持/更新
セキュリティドメイン外との連携
IT 部門のチャレンジ
同期
• 壁をより堅牢に
• 認証の信頼性を向上
• スピード感のある導入
• 業界標準技術の採用
• 連携しやすい IdP の採用
認証の中心
![Page 22: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/22.jpg)
セキュリティドメイン外
パブリック
クラウド
オンプレミス
セキュリティドメイン
IaaS の活用と VPN による接続IaaS/SaaS/PaaS との連携
企業間連携
外部 IdP との連携
セキュリティドメイン
Enterprise BYOD
セキュリティドメイン内
![Page 23: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/23.jpg)
セキュリティドメイン
全てドメイン内
IdP
ユーザーとデバイスを認証
ユーザーはドメイン内
ユーザーだけ認証
すべてドメイン外
認証不可=アクセス禁止
安全性 高 低
![Page 24: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/24.jpg)
Question
セキュリティドメイン外との連携は高度な Password 同期のテクノロジーが
カギを握っている
B. NO
![Page 25: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/25.jpg)
• Password を使いまわさない
• 「認証」と「認可」を分離する
業務サービス
認証プロバイダー(IdP)
サービスプロバイダー(SP)
認証
• ユーザーの特定
• デバイスの特定
• 特定したことの保障
認可
• 権限の特定
必要な情報を提供
信頼
![Page 26: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/26.jpg)
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
独立した IdP が分散すると「認証」の品質と信頼性は低下する
too many chiefs and not enough workers
IDマスター
![Page 27: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/27.jpg)
IdP
信頼
SP
SP
SP
SP
信頼
![Page 28: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/28.jpg)
社内だけでなく、社外(セキュリティドメイン外)から信頼される必要がある
セキュリティドメイン外
パブリック
クラウド
オンプレミス
IaaS の活用と VPN による接続 IaaS/SaaS/PaaS との連携
企業間連携
外部 IdP との連携
セキュリティドメイン
BYOD
セキュリティドメイン内
IdP
信頼
SP
信頼
信頼
![Page 29: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/29.jpg)
• IdP と SP 間で信頼関係を構築(双方の身元情報を持ち合う)
IdP SP
SP は IdP を信頼
IdP も SP を信頼
あなたの言うことなら信頼できるおまえになら
この情報を託せる
IdP SPIdP
Pattern1
直接信頼
Pattern2
間接信頼
同一のセキュリティドメイン内で使われるパターン
セキュリティドメインを異にする組織間で使用されるパターン
私にはあなたしか見えない。あなたの言うことならなんでもきくわ。
同一のセキュリティドメイン
![Page 30: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/30.jpg)
• 「正しく認証したこと」をサービスプロバイダーに知らせる
• ユーザーの属性情報(クレーム)をサービスプロバイダーに渡す
IdP SP
IdP1 SPIdP2
Pattern1
直接信頼
Pattern2
間接信頼
拝啓SP様 UserA氏は確かに当方に登録されたユーザーであり認証は完了しております。UserA氏の個人情報を以下に添付します。
Name = UserA
eMail Address = [email protected]
Division = Developer&Platform Evangelism
拝啓IdP1様
・・・
p.s. SP様によろしく伝えてください
SP君へ
・・・
p.s. IdP1氏からもらったクレームを精査しました。添付したのはその報告書です。
![Page 31: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/31.jpg)
• SP は IdP から送られてきたクレームを読み、ユーザーのアクセスを認可する
• 認可の際、ユーザーには権限を決定するためのロールを与える
SP
役割 権限
Author RW
User R
Guest -IdP
SP は IdPに対し、事前に以下を通告しておく
役割を判定するにあたり、
• どんな名前の変数を使うこと
• どんな値を入れてくること
IdP は SP に通告された通りの情報を生成して渡さなければならない
![Page 32: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/32.jpg)
IdP :Identity Provider(ID情報提供者)
CP :Claims Provider(クレーム提供者)
SP :Service Provider(サービス提供者)
RP :Relying Party(ID 情報に依存している団体、ID情報利用者)
以降、状況に応じて上記を使い分けます
![Page 33: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/33.jpg)
WS-Federation
SAML 2.0
OpenID Connect
OAuth 2.0
• どのサービスが利用できるかは IdP が決定
• IdP がユーザーに対してクレームを発行
• ユーザーがアプリケーションにクレームを渡す
• どのサービスを利用するか(どのサービスを信頼するか)ユーザーが決める
• ユーザーがアプリケーションに対しクレーム取得を許可する(クレームを取得するための API 利用を許可する(API認可))
RPIdP
信頼
利用者
お勧めの参考資料 NRI 工藤達雄氏 「なぜ OpenID Connect が必要となったのか、その歴史的背景」
http://www.slideshare.net/tkudo/openid-connect-devlove#
①認証
②クレーム③クレーム
RPIdP
利用者
②認証
④APIアクセス
①認証依頼
③APIアクセス許可
⑤ユーザー情報
⑥アクセス許可
通信にはHTTP/Sが使用される
![Page 34: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/34.jpg)
CP RP
業務トークン トークン
ユーザー情報
利用者
ロール管理簿
トークンを解析• 本人識別• ロール決定
信頼
クレームを格納
SAML 2.0 / WS-Fed.
属性ストア
![Page 35: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/35.jpg)
RP
業務 ロール管理簿
トークンを解析• 本人識別• ロール決定
CP
ユーザー情報
属性ストア
• ロールを決定するための「クレーム」は RP が提示する• アプリケーションには「ロール」決定のためのロジックを実装
Claims
name
company
title
署名
値
値
値
値
提示
![Page 36: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/36.jpg)
• 社内SPとIdPを SAML/WS-Fed 対応
• 社内SP は社内 IdP を信頼
利用者
IdP
信頼
SP
SAML/WS-Fed対応 IdPSAML/WS-Fed対応SP
![Page 37: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/37.jpg)
企業間連携
セキュリティドメイン
IdP
信頼
SP
自社 パートナー企業
IdP SP
自社の社員が、パートナー企業のサービスを利用する場合
信頼 信頼
利用者
SAML/WS-Fed対応IdP IdP対応SP
![Page 38: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/38.jpg)
IdP を持つ SaaS 自社展開アプリ(PaaS/IaaS)
Office365/Saleceforce/Google 等 IdP を持つ IdP を持たない
IdP
SAML/WS-Fed対応IdP
SAML/WS-Fed対応IdP
信頼
IdP
SAML/WS-Fed対応IdP
信頼
IdP対応SP
SAML/WS-Fed対応IdP
次のページIdP対応SP
![Page 39: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/39.jpg)
自社展開アプリ(PaaS/IaaS)
IdP を持たない
IdP
信頼
SAML/WS-Fed対応SP
直接信頼 IDaaS を使う
IdP
SAML/WS-Fed対応IdP
SAML/WS-Fed対応IdP
IdP対応SP
信頼
トークンゲートウェイを使う
IdP
SAML/WS-Fed対応IdP
SAML/WS-Fed対応GW
GW対応SP
信頼
SAML/WS-Fed対応IdP
![Page 40: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/40.jpg)
Point:エンタープライズ セキュリティ ポリシーを満たすこと
セキュリティドメイン
Enterprise Security Policy
IdP
•改修コスト大•パッケージの場合は当然不可能
![Page 41: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/41.jpg)
Point:認証要求をHTTP/Sでカプセルし、リバースプロキシーによって受け入れる
セキュリティドメイン
Enterprise Security Policy
Point:認証サーバーそのものを外部公開するなんてもってのほか!
Reverse
Proxy
セキュリティドメイン
Enterprise Security Policy
他社IdP
IdP
![Page 42: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/42.jpg)
Point:利用したい SaaS とともに検討するPoint:SaaS を利用するには IdP 間で ID の同期が必要(パスワードは必要ない)
セキュリティドメイン
Enterprise Security PolicyReverse
Proxy
セキュリティドメイン
Enterprise Security Policy
他社IdP
IdP
SaaS Cloud IdP
IDSyn
c
• ここまでできれば、第一段階は完了。
• 以降、新規サービスの導入/開発時には IdPに対応していることを鑑みつつ選定する
信頼
信頼
![Page 43: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/43.jpg)
Point:SAML/WS-Fed対応 にするPoint:展開先はクラウド、オンプレミスいずれでもOKPoint:信頼先はCloud IdP、オンプレミス IdP いずれでもOK
セキュリティドメイン
Enterprise Security PolicyReverse
Proxy
セキュリティドメイン
Enterprise Security Policy
他社IdP
IdP
Cloud IdP
IDSyn
c
オンプレミス
IdPでもOK
SaaS
業務サービス
![Page 44: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/44.jpg)
Point:既存 IdP と連携可能な SaaS を選択する(通常は SAML に対応している)Point:SaaS を利用するために ID 同期が必要
セキュリティドメイン
Enterprise Security PolicyReverse
Proxy
セキュリティドメイン
Enterprise Security Policy
他社IdP
IdP
Cloud IdP
IDSyn
c
SaaS Cloud IdP SaaS
信頼
業務サービス
信頼
ID Sync
![Page 45: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/45.jpg)
Point:通常、企業ごとに IdP を保持/管理するPoint:企業が増える可能性があるのがサービスへの影響を最小限におさえる
セキュリティドメイン
Enterprise Security Policy
Cloud IdP
IDSyn
c
共有業務サービス
セキュリティドメイン
Enterprise Security Policy
Cloud IdP
トークン
ゲートウェイ信頼
信頼
信頼
信頼
企業A 企業B 企業C
![Page 46: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/46.jpg)
セキュリティドメイン
Enterprise Security PolicyReverse
Proxy
IdP
Cloud IdP
オンプレミスId
P
とのID
同期
トークン
ゲートウェイ
(Option)
他のIdPとのID同期トークンGWとの信頼
オンプレミスIdPとの信頼
他のIdPから信頼
社外からの
認証要求
![Page 47: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/47.jpg)
Windows AzureActive Directory
Active DirectoryDomain Service
Active DirectoryFederation Service
Web ApplicationProxy
WAADAccess Control Service
![Page 48: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/48.jpg)
FIM
Windows Azure
Active Directory
Microsoft
全製品Microsoft全 OS
Windows 8
Microsoft Account
(Windows Live ID)
Consumer Enterprise
他社 IdP
HR
Windows Server
Active Directory
![Page 49: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/49.jpg)
![Page 50: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/50.jpg)
AD DS
ユーザーとデバイスを認証する
AD DS で認証したユーザーとデバイスにトークンを発行する
AD FS ※逆に言えば「認証してなければトークンは発行されない」
![Page 51: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/51.jpg)
ユーザーがAD DSで認証されたことを確認
ユーザーのクレーム(属性)を集める
クレームを変換する
クレームを発行する
クレームを判定してトークンを発行する
認証 OK
トークンがアプリケーションに渡される
AD DS
AD FS
![Page 52: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/52.jpg)
認証トークン発行
アクセス判定
認証トークン発行
AD FS により、事前認可が行われている
認証 認可① 認可②
![Page 53: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/53.jpg)
認証トークン発行
アクセス判定
認証トークン発行
AD FS により、事前認可が行われている
認証 認可① 認可②
そもそもアクセスを許可するかどうかの判定
どのようなアクセス権を与えるかという判定
![Page 54: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/54.jpg)
• AD FS はリソースへのアクセス可否を集中的に判定する「前門」である• トークンにはアプリケーションのアクセス権を得るために必要な情報
(クレーム)が格納されている(ていうか、格納するように設定する)
ResourcesWeb Service
Web Service
まずは俺を倒してからだ
AD FS
![Page 55: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/55.jpg)
• WEB アプリケーションを AD FS に登録する
• アプリの種類によってアクセス方法が異なる
AD FS
AD DS
SAML/WS-Fed 対応アプリ 通常の WEB アプリ事前に登録 事前に登録
AD FS Proxy
AD FSにリダイレクトできないため、AD FS Proxyを経由する
AD FS Proxy は Web Application Proxy の機能
WEBアプリのURLはAD FSProxyに向ける
![Page 56: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/56.jpg)
• WS 2012 R2 デバイスレジストレーションサービス(DRS)を有効化し、デバイスを AD DS に事前登録しておく
• ドメインに参加している社内 PC
• ドメインに参加していない個人デバイス
• サポートされている OS
• Windows 8.1, Windows RT 8.1 , Windows 7
• iOS
• Android(機種依存)
Start
AD FS
AD DS
①「社内ネットワークに参加」UserID/Password クレーム処理
エンジン
デバイス登録サービス(DRS)
②ユーザー認証
④デバイス登録
Start
⑤証明書インストール
個人デバイス
HTTPS
![Page 57: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/57.jpg)
Start
AD FS AD DS
クレーム処理エンジン
• デバイス クレームとユーザークレームを使用したきめの細かいアクセス制御• クレーム規則言語を使用
Start
ユーザー認証
デバイス認証
追加認証
デバイス クレーム
アクセス可否を判定
ユーザー クレーム
AD登録されたユーザー
AD登録されたデバイス
![Page 58: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/58.jpg)
マルチファクター認証デバイス認証Active Directory にデバイスが登録されているかどうかを確認する
プライマリ認証(ユーザー認証)
• Form 認証
• Windows 統合
• 証明書
デバイス認証
無効
有効
登録済みデバイス
NOYES
認証
NG
OK
MFA認証完了
NG
OK
無効
有効
<認証方式>
<条件>• ユーザー/グループ• 登録/非登録デバイス• 外部/内部ネットワーク
• Smart Card
• Phone Factor
• その他
OK
NG
![Page 59: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/59.jpg)
![Page 60: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/60.jpg)
https/http
2012 R2
社内リソース
https
• リバースプロキシー(https -> http/https )
• AD FS Proxy 機能も包含
2012 R2
Firew
all
AD FS AD DS
![Page 61: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/61.jpg)
• (当然ですが)http/https でアクセス可能なアプリケーション AD FS に登録されたアプリケーション その他のアプリケーション(パススルー公開)
• AD FS に登録されたアプリはプロキシ通過時に事前認証/認可が行われる(結果はアプリでの認証に引き継がれる)
2012 R2
公開
ADFS
AD FS による事前認可
![Page 62: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/62.jpg)
• 「AD FS に登録されたアプリ」が対象 AD FS が発行したトークンを理解できるアプリ HTTP/HTTPS が話せるアプリ(Windows Server 2012 R2 の新機能)
• 事前認証するには WEB APPLICATION PROXY を通過する必要がある
2012 R2
公開
ADFS
AD FS による事前認可
普通のWEBアプリを AD FS 経由で公開することで、事前認証の対象となる
![Page 63: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/63.jpg)
Start
AD FS AD DS
クレーム処理エンジン
Start
ユーザー認証
デバイス認証
追加認証
デバイス クレーム
アクセス可否を判定
ユーザー クレーム
AD登録されたユーザー
AD登録されたデバイス
WAP
事前認証プロセス
Firew
all
![Page 64: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/64.jpg)
(参考)マイクロソフトのリモートアクセス機能
RDP透過的
透過的
社内リソース
透過的
Firew
all
![Page 65: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/65.jpg)
RD Connection Broker
Internet
RemoteApp
Session-basedDesktop
仮想化ホスト+RemoteApp
Firew
all
リモートデスクトップクライアント
セッションホスト
公開
![Page 66: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/66.jpg)
自動構成
Firewall
NAT, Proxy
(IPv6 packets on an HTTPS)
社内ネットワーク
Firew
all
![Page 67: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/67.jpg)
(参考)働き方を変えるリモートアクセス機能 V2
RDP透過的
透過的
社内リソース
Firew
all
2012 R2
https/http
![Page 68: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/68.jpg)
BYOD
Web Service
Web Service
Web Service
Web Service
Web Service
Web Service
Web
Service
Salesforce.com
Google.com
office365Public Cloud
アプリケーションにとっては、「どこの馬の骨ともわからないデバイス」を、社内AD DSによって認証し、一定の安全性を担保することができる。
![Page 69: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/69.jpg)
• Active Directory ドメインに個人デバイスを登録しておく(ドメイン参加ではない)
• “AD FS トークンが必要なサービス”にアクセスする前にデバイス認証を実施
AD FS
/DRS
Office 365
個人デバイス
デバイスのアクセスを許可するかどうかを判断
認証
![Page 70: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/70.jpg)
• AD FS にはクレーム対応アプリに加え、通常の WEB アプリも登録できる Windows 統合認証に対応したアプリにはクレデンシャルを渡すことも
できる• WEB APPLICATION PROXY を通過する際に、
AD FS による事前認証/認可が行える
WAP を通過するようにインフラを設計しさえすれば、旧来の社内WEBアプリを AD FS による事前認証/認可機能で保護できる
![Page 71: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/71.jpg)
![Page 72: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/72.jpg)
Windows Azure Active Directory
アクセスコントロール
• ID 連携
• トークン変換
ディレクトリ• ユーザー管理
• Graph API
• Auth. Library• 認証
• ID/Password• 多要素認証
• AD DS 同期
• Application Access• ユーザー同期 Active Directory
IDMaaS としての機能を実装したマルチテナント型のディレクトリ サービス
AD DS Azure AD
多要素認証プロバイダー(有償)• 電話応答• ワンタイムパスワード
iOS , Android , WP 用アプリ
![Page 73: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/73.jpg)
無料 プレミアム (プレビュー)
料金 (ユーザーごと) 無料 無料プレビュー
ディレクトリサービス 含まれます 含まれます
ディレクトリオブジェクト(既定では 15000 個) 500,000 個 無制限
SaaS 用の SSO とクラウドベースのカスタム アプリケーション 含まれます 含まれます
SaaS アプリケーション用のユーザーベースのアクセス管理/プロビジョニング
含まれます 含まれます
SaaS アプリケーション用のグループベースのアクセス管理/プロビジョニング
利用できません 含まれます
エンドユーザーアクセスパネル 含まれます 含まれます
アクセスパネルのカスタマイズ 利用できません 含まれます
Windows Azure AD でのユーザーによるセルフサービスのパスワードリセット
利用できません 含まれます
基本的なセキュリティ レポート 含まれます 含まれます
高度なセキュリティレポート 利用できません 含まれます
DirSync 含まれます 含まれます
![Page 74: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/74.jpg)
ディレクトリ
ID Store(AD LDS に相当)
Federation
Gateway(AD FSに相当)
Graph(REST API)
アカウント情報の管理• ユーザー• グループ• デバイス
AD DS
3rd Party SaaS
CP(Id
P)側
RP(S
P)側
WS-Fed.
SAML 2.0
OAuth 2.0
WS-Fed
SAML 2.0(ECP Profile)
その他105 サービスに対応( 2013/8 時点)
AD FS(WS-Fed)
自社開発アプリ
OR• Shibboleth(SAML 2.0)• Ping Federate( WS-Fed,SAML 2.0 )
http://technet.microsoft.com/en-us/library/jj679342.aspx
![Page 75: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/75.jpg)
アプリケーションアクセス
• 既存 SaaS の認証を “インスタント” に WAAD に関連づける• Google Apps, Salesforce.com などはSSO/ID同期も可能
Federation-Based Apps
Password-based Apps
Active Directory
ID連携
ID フェデレーション
ID 同期
その他(1133種類 2014.3.31 現在)
パスワード連携
事前にID/Passを登録
その他
自社開発アプリ
![Page 76: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/76.jpg)
![Page 77: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/77.jpg)
• Windows Azure AD テナントと関連付けられた SaaS の一覧(ポータル)• ユーザーは、サービスをクリックすればよい
http://myapps.microsoft.com/
IDとパスワードを自動入力してくれるアドイン
![Page 78: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/78.jpg)
アプリケーション用の ID とパスワードを設定しておくと、アイコンクリック後自動サインイン可能
![Page 79: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/79.jpg)
Access Control Service
アクセスコントロール• 外部認証サービスから RP 側へのトークン ゲートウェイ• ACS自身は認証プロバイダーではない
Application
WAAD- Directory WS-Fed
OpenID Oauh 2.0
AD
FSFe
dera
ton
Gate
way.
WS-Fedトークン変換
OAuth
Wrap
Application
RP(S
P)側
CP(IdP)側
WS-Fed をサポートしている CP
![Page 80: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/80.jpg)
既存の IdP に認証要素を追加することができる独立したプロバイダー
多要素認証プロバイダー
Active Directory
Windows AzureActive Directory
Active DirectoryDomain Service
Active DirectoryFederation Service
追加
追加
$2/month/人 or $2/month/10Auth
![Page 81: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/81.jpg)
クラウドサービスIdentity Provider
オンプレミス
Web Application
多要素認証プロバイダー
• ワンタイムパスワード• 通知
• 電話• テキストメッセージ
IE⑧③
⑤
ID/Password
④
⑥Windows Azure Portal
サードパーティ製WEB サービス ①
Windows Azure
Active Directory
AD DS + AD FS
スマフォ専用アプリ
![Page 82: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/82.jpg)
Add in
WAAD多要素認証プロバイダー
認証①
認証②
BYOD
AD FS
認証依頼
iPhone
![Page 83: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/83.jpg)
![Page 84: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/84.jpg)
84
BYODデバイス登録とデバイス認証
ネットワークロケーションや IP アドレス、ユーザー属性、デバイス属性などによる、多要素認証/認可
パートナー企業との ID 連携
パブリッククラウドとのID連携
AD FS により社内リソースの集中的なアクセス制御が可能
業務アプリケーション
Firewall
Active Directoryマルチファクター認証
![Page 85: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/85.jpg)
パブリッククラウド
オンプレミス(プライベートクラウド)
社内 PC 個人 PC, Tablet
Web
Service
Web
ServiceWeb
Service
![Page 86: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/86.jpg)
“同じこと”はできません
![Page 87: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/87.jpg)
IdM as a Service(IDMaaS)
IdMaaS Web Service
Web Service
Web Service
Active Directory
![Page 88: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/88.jpg)
![Page 89: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/89.jpg)
![Page 90: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/90.jpg)
IT ガバナンス的課題
インフラストラクチャー的課題
クラウド化
上を解決するための前提条件
![Page 91: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/91.jpg)
セキュリティドメイン外
パブリック
クラウド
オンプレミス
セキュリティドメイン
IaaS の活用と VPN による接続IaaS/SaaS/PaaS との連携
企業間連携
外部 IdP との連携
セキュリティドメイン
Enterprise BYOD
セキュリティドメイン内
![Page 92: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/92.jpg)
Internet
Site to Site 接続
Windows AzureSoftware Load Balancer
Internet
Windows AzureSoftware Load Balancer
Cloud Service
AD FS
Cloud Service Cloud Service
DMZ Internal
VPN Device
SaaSWS-Fed.
信頼関係
![Page 93: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/93.jpg)
1. Windows Azure 契約 & パブリック IPv4 アドレス取得
2. オンプレミス側 VPN デバイスまたは RRAS 用サーバー設置&セットアップ
3. Azure 仮想ネットワーク作成(独立したセグメントにする)
① リージョンの選択とアフィニティグループの作成
② Azure 仮想ネットワークセグメントの定義
③ オンプレミス側 VPN デバイスとオンプレミスローカルネットワークの定義
4. Cloud Service 作成(同一の Affinity Group を選択)
① AD DS & DNS 用
② AD FS 用
③ WAP 用
5. 仮想マシンを作成
① AD DS & DNS 用 × 2(可用性セット)(仮想ネットワーク利用)
② AD FS 用 × 2(可用性セット)(仮想ネットワーク利用)
③ WAP 用 × 2(可用性セット)
6. 各種機能インストール&セットアップ
7. WAP に HOSTS または独自の DNS 設定
8. AD FS のクラウドサービスに ACL 設定
![Page 94: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/94.jpg)
Vendor Device family Minimum OS version Configuration template for
static routing (policy-based)
Configuration template for dynamic
routing (route-based) [Preview]
Cisco ASA 8.3 Cisco ASA templates Not compatible
Cisco ASRIOS 15.1 (static)
IOS 15.2 (dynamic)Cisco ASR templates Cisco ASR templates
Cisco ISRIOS 15.0 (static)
IOS 15.1 (dynamic)Cisco ISR templates Cisco ISR templates
Juniper SRXJunOS 10.2 (static)
JunOS 11.4 (dynamic)Juniper SRX templates Juniper SRX templates
Juniper J-SeriesJunOS 10.4r9 (static)
JunOS 11.4 (dynamic)Juniper J-series templates Juniper J-series templates
Juniper ISGScreenOS 6.3 (static and
dynamic)Juniper ISG templates Juniper ISG templates
Juniper SSGScreenOS 6.2 (static and
dynamic)Juniper SSG templates Juniper SSG templates
Watchguard All Fireware XTM v11.x Configuration instructions Not compatible
F5 BIG-IP series N/A Configuration instructions Not compatible
Citrix
CloudBridge MPX
appliance or VPX virtual
appliance
N/A Integration instructions Not compatible
MicrosoftRouting and Remote
Access ServiceWindows Server 2012 Not compatible
Routing and Remote Access Service
templates
http://msdn.microsoft.com/en-us/library/windowsazure/jj156075.aspx
![Page 95: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/95.jpg)
Cloud Service
Public VIP = xxx.xxx.xxx.xxx
FQDN = <hostname>.cloudapp.net
VM VM VM
Private DIP = yyy.yyy.yyy.yyy
FQDN = <computername>.domain.com
Load Balancer
Azure 仮想ネットワーク
VPN GW
![Page 96: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/96.jpg)
VIPが付与されるタイミング
• Cloud Service 内にインスタンスが作成されたとき
VIP がリリースされるタイミング
• Cloud Service 内のすべてのインスタンスが削除された場合
手動で削除した場合
フォールトドメインが故障した場合
フォールトドメインがメンテナンスされた場合
リリースされないようにするには
• 少なくとも1つのインスタンスを維持する
全てのインスタンスを同時に削除しない
可用性セットを設定し、フォールトドメイン故障の影響を最小限にする
![Page 97: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/97.jpg)
Internet
Site to Site VPN 接続
Windows AzureSoftware Load Balancer
VIP
DIP DIP DIP DIP
Internet
Windows AzureSoftware Load Balancer
VIP
Cloud Service
AD FS
Cloud Service Cloud ServiceACL Rules
AD FS は全力で守る!
DMZ Internal
![Page 98: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/98.jpg)
AD FS
Internet Internet
Site to Site 接続
Windows AzureSoftware Load Balancer
Windows AzureSoftware Load Balancer
VIP1 VIP2
DIP DIP DIP DIP
Cloud Service Cloud Service Cloud ServiceACL Rules
DMZ Internal
![Page 99: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/99.jpg)
• IP アドレス
DHCP のまま利用(IaaS 上では静的IPアドレスは使用できない)
一度リースされたアドレスは VM が廃棄されない限り永続される
• DNS
AD DS と同時に DNS もインストール
Virtual Network に当該 DNS を設定する
Windows Azure の内部 DNS は使用できない
• DISK
C: OS
D: テンポラリ
E:~
• 通信課金について
課金対象は Azure → オンプレミス方向のみ
RODC(Read-Only Domain Controller)→ DC への通信は発生しない
自身で追加し、
キャッシュをオフ
既定のディスク
Active Directoryのデータベース用ディスクとして使用
![Page 100: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/100.jpg)
読み取り専用のドメインコントローラー
• 通常のドメインコントローラーからの複製ターゲットを選択できる
• PII(Personally identifiable information)をフィルタ
• パスワード同期の要否を選択可能
• 認証したユーザーのパスワードはキャッシュされる
• パスワード同期を無効にした場合、Site-to-Site VPN ダウン時には認証が不可
• [RODC] → [通常のDC] 方向の複製は発生しない
• DC 間複製の通信課金 0
複製
フィルター
RWDC RODC
必要最小限の情報のみ複製
ReadOnly
![Page 101: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/101.jpg)
DIP DIP
Azure VNET
• Virtual Network は独立したサブネットとする
• Virtual Network ごとにサイト作成
• サイト間の複製間隔を調整Ja
pan
East
Reg
ion
複製サイト
DIP DIP
Azure VNET
Jap
an
West
Reg
ion
サイト
サイト
![Page 102: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/102.jpg)
Internet
Site to Site 接続
Windows AzureSoftware Load Balancer
Internet
Windows AzureSoftware Load Balancer
Cloud Service
AD FS
Cloud Service Cloud Service
DMZ Internal
VPN Device
SaaSWS-Fed.
信頼関係
![Page 103: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/103.jpg)
• Active Directory 認証が必要なサービスを IaaS に展開するとき
• SharePoint Server
• SQL Server
• Oracle
• その他認証が必要な WEB サービス等
is better than
![Page 104: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/104.jpg)
構築手順書は後日公開します
![Page 105: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/105.jpg)
http://technet.microsoft.com/ja-jp/windowsserver/jj649374
![Page 106: Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2](https://reader031.vdocuments.net/reader031/viewer/2022020101/557ad3e8d8b42a2c0f8b5317/html5/thumbnails/106.jpg)