active directory のクラウド武装化計画 v2～"ad on azure iaas" or "windows...

2014/3/31 v1.0

http://technet.microsoft.com/ja-jp/windowsserver/jj649374

13:30 ～ 16:00 復習

• 企業インフラが求める認証基盤

• Hybrid IdP の実現に向けて

16:00 ～ 17:30 AD on IaaS 構築編

• Windows Server Active Directory on IaaS の構築手順

IT ガバナンスを “IT” でコントロールするため

IT ガバナンスとは（経済産業省）

• 企業が、ITに関する企画・導入・運営および活用を行うにあたって、すべての活動、成果および関係者を適正に統制し、目指すべき姿へと導くための仕組みを組織に組み込むこと、または、組み込まれた状態

• ITガバナンスは、ITマネジメントに関わる方針や基準を明確にし、それを経営者やユーザーに浸透させることに重点が置かれており、ITマネジメントは、日々の運営や活動の管理に重点が置かれている

http://warp.ndl.go.jp/info:ndljp/pid/286890/www.meti.go.jp/policy/it_policy/it_keiei/action/keyword/governance/index03.html

システム運営企業情報システムを安定的かつ適正に運用・管理することに加えて、サービスレベル合意書 (SLA) に基づくサービス品質の管理、セキュリティを含むITリスク管理、技術標準および運用手順の設定など

組織運営スタッフ個人および部門の目標管理に基づくIT部門の健全運営に加えて、IT予算および投資の管理、外部ベンダーおよび契約の管理など

http://warp.ndl.go.jp/info:ndljp/pid/286890/www.meti.go.jp/policy/it_policy/it_keiei/action/keyword/governance/index02.html

説明責任経営者および利用部門に対する説明責任を意味しますが、具体的にはコストの妥当性、作り上げたシステムの利用状況、ビジネスへの貢献度などを自ら評価し、その結果をフィードバックすることで、IT部門の取り組みの適正さを明らかにする

リレーションシップ管理利用部門との関係を維持・改善し、企業情報システムの適性かつ有効な利用を促進することを目的に、啓蒙・教育、情報発信、部門間調整などを行うものです。これは満足度調査やニーズおよび要件の聞き取りといったインバウンド(IT部門へ) のコミュニケーションと、情報発信やシーズの提案といったアウトバウンド (IT部門から) のコミュニケーションを伴う

IT リスクの低減

生産性の向上

IT 利用度の向上

• 禁止事項を増やす

• ルールを増やす

• 手順を増やす

• ビジネスロジックを増やす

• PC リプレイス

• 新ソフトの導入

• 新機能の導入

• 使うことを強制するルール

生産性は ?

全てにリスクが潜んでいる

＆

リスクは無くせない

（低減は可能）

“面倒な”ルール

リスクとリスクが出会ってしまったとき

トランスポーター

• 個々のリスクを低減する（出会う確率を減らす）

• エンタープライズ・セキュリティ・ポリシーによりトラッキング（監視）

• 必要に応じて“トランスポーター”をブロック

認証とは：ユーザーやデバイスの一意性を保証すること：ユーザーやデバイスを特定すること：認証サーバーが行う

認可とは：認証されたユーザーやデバイスにアクセス権を与えるかどうかを判断すること

：アプリケーションやサービスが行う

「誰が（どのデバイスが）、何をできるか」を判断するプロセスが、

全ての IT リソースに対して有効であることが重要

• 全てのリソースへのアクセスには認証が必要• 各リソースに適切なアクセス権を設定• 社内 PC は持ち出さない• 個人デバイスは社内で利用しない• 社外秘データは持ち出さない• ハードディスクは暗号化する• 定期的なパスワードの変更• ウィルスパターンを定期的に更新• セキュリティパッチの迅速な適用• 不要なソフトウェアをインストールしない• 怪しいサイトにはアクセスしない

など

コンプライアンス（法令順守）のためのセキュリティの大原則

企業内 IT インフラストラクチャー全体に適用する

DataApplication

Network Device

全てのリソースが常に認証基盤とつながっている状態を維持する

データを社外に持ち出しても、社内のセキュリティポリシーによってアクセスが制限できる

デバイスは認証を受けなければ社内のリソースにアクセスできない。

デバイスを社外に持ち出しても、社内のセキュリティポリシーが常に適用される。

セキュリティポリシーを満たしているユーザーとデバイスがネットワークに接続できる。

ポリシー違反が発生したら、強制的にネットワークから除外することができる。

アプリケーションは認証されたユーザーと認証されたデバイスにアクセス権を与えることができる。

アプリケーションは認証サーバーからユーザーとデバイスの情報を取得できる。ユーザーは認証を受けな

ければ社内のリソースを一切利用できない

セキュリティドメイン

• ユーザー認証とデバイス認証

• データへのアクセス権管理

• セキュリティポリシーの適用

• 企業内データの動的分類

セキュリティの壁

Active Directory ドメイン

AD DS

ID/Pass で Sign-in

グループポリシーによる統制

Windowsクライアント

AD CS証明書発行

アカウント管理

AD RMS

アクセス制御

データ暗号化ファイルサーバ

メールサーバー

WEB サーバー

DB サーバー

アクセス制御

INTERNET

• 社内セキュリティポリシーによる継続的な監視• PC のセキュリティはリアルタイムに監視されている


検疫ネットワーク

社内ネットワーク

Firewall Direct Access

ServerHotel

評価

Network Access Protection

ドメインコントローラー

業務サーバーファイルサーバー

Windows7/8

R-Proxy


AD DS

AD RMS

Exchange

Server

• 重要なデータ（メール、ドキュメント）を暗号化• データにアクセス権限を付与• 認可の集中管理

SharePoint

Server

EA

S

http

s

認証

認可

Firew

all

※権限を付与するのはデータ/メールの作成者または、動的分類機能で自動化

暗号化メールを解読


• RDP を使用して社内仮想 PC を操作• 社内仮想PCは常に社内セキュリティポリシーが適用されている• データは社内仮想 PC から外に出られない

各種業務サーバー

RDP

セキュリティ境界

踏み台（仮想PC群）

遠隔操作

AD DS

遠隔操作

• サービスのパブリッククラウドへの移行は加速する

• インフラがパブリッククラウド上に完全移行したとしてもIT ガバナンスの観点から、セキュリティドメインは無くせない

• 認証の中心はセキュリティドメインである

セキュリティドメインの維持/更新

セキュリティドメイン外との連携

IT 部門のチャレンジ

同期

• 壁をより堅牢に

• 認証の信頼性を向上

• スピード感のある導入

• 業界標準技術の採用

• 連携しやすい IdP の採用

認証の中心

セキュリティドメイン外

パブリック

クラウド

オンプレミス


IaaS の活用と VPN による接続IaaS/SaaS/PaaS との連携

企業間連携

外部 IdP との連携


Enterprise BYOD

セキュリティドメイン内


全てドメイン内

IdP

ユーザーとデバイスを認証

ユーザーはドメイン内

ユーザーだけ認証

すべてドメイン外

認証不可=アクセス禁止

安全性高低

Question

セキュリティドメイン外との連携は高度な Password 同期のテクノロジーが

カギを握っている

B. NO

• Password を使いまわさない

• 「認証」と「認可」を分離する

業務サービス

認証プロバイダー（IdP）

サービスプロバイダー（SP）

認証

• ユーザーの特定

• デバイスの特定

• 特定したことの保障

認可

• 権限の特定

必要な情報を提供

信頼

業務サービス

IdP SP

業務サービス

IdP SP

業務サービス

IdP SP

業務サービス

IdP SP

業務サービス

IdP SP

業務サービス

IdP SP

業務サービス

IdP SP

業務サービス

IdP SP

業務サービス

IdP SP

独立した IdP が分散すると「認証」の品質と信頼性は低下する

too many chiefs and not enough workers

IDマスター

IdP

信頼

SP

SP

SP

SP

信頼

社内だけでなく、社外（セキュリティドメイン外）から信頼される必要がある


パブリック

クラウド

オンプレミス

IaaS の活用と VPN による接続 IaaS/SaaS/PaaS との連携

企業間連携



BYOD


IdP

信頼

SP

信頼

信頼

• IdP と SP 間で信頼関係を構築（双方の身元情報を持ち合う）

IdP SP

SP は IdP を信頼

IdP も SP を信頼

あなたの言うことなら信頼できるおまえになら

この情報を託せる

IdP SPIdP

Pattern1

直接信頼

Pattern2

間接信頼

同一のセキュリティドメイン内で使われるパターン

セキュリティドメインを異にする組織間で使用されるパターン

私にはあなたしか見えない。あなたの言うことならなんでもきくわ。

同一のセキュリティドメイン

• 「正しく認証したこと」をサービスプロバイダーに知らせる

• ユーザーの属性情報（クレーム）をサービスプロバイダーに渡す

IdP SP

IdP1 SPIdP2

Pattern1

直接信頼

Pattern2

間接信頼

拝啓SP様 UserA氏は確かに当方に登録されたユーザーであり認証は完了しております。UserA氏の個人情報を以下に添付します。

Name = UserA

eMail Address = [email protected]

Division = Developer&Platform Evangelism

拝啓IdP1様

・・・

p.s. SP様によろしく伝えてください

SP君へ

・・・

p.s. IdP1氏からもらったクレームを精査しました。添付したのはその報告書です。

• SP は IdP から送られてきたクレームを読み、ユーザーのアクセスを認可する

• 認可の際、ユーザーには権限を決定するためのロールを与える

SP

役割権限

Author RW

User R

Guest -IdP

SP は IdPに対し、事前に以下を通告しておく

役割を判定するにあたり、

• どんな名前の変数を使うこと

• どんな値を入れてくること

IdP は SP に通告された通りの情報を生成して渡さなければならない

IdP ：Identity Provider（ID情報提供者）

CP ：Claims Provider（クレーム提供者）

SP ：Service Provider（サービス提供者）

RP ：Relying Party（ID 情報に依存している団体、ID情報利用者）

以降、状況に応じて上記を使い分けます

WS-Federation

SAML 2.0

OpenID Connect

OAuth 2.0

• どのサービスが利用できるかは IdP が決定

• IdP がユーザーに対してクレームを発行

• ユーザーがアプリケーションにクレームを渡す

• どのサービスを利用するか（どのサービスを信頼するか）ユーザーが決める

• ユーザーがアプリケーションに対しクレーム取得を許可する（クレームを取得するための API 利用を許可する（API認可））

RPIdP

信頼

利用者

お勧めの参考資料 NRI 工藤達雄氏「なぜ OpenID Connect が必要となったのか、その歴史的背景」

http://www.slideshare.net/tkudo/openid-connect-devlove#

①認証

②クレーム③クレーム

RPIdP

利用者

②認証

④APIアクセス

①認証依頼

③APIアクセス許可

⑤ユーザー情報

⑥アクセス許可

通信にはHTTP/Sが使用される

CP RP

業務トークントークン

ユーザー情報

利用者

ロール管理簿

トークンを解析• 本人識別• ロール決定

信頼

クレームを格納

SAML 2.0 / WS-Fed.

属性ストア

RP

業務ロール管理簿

トークンを解析• 本人識別• ロール決定

CP

ユーザー情報

属性ストア

• ロールを決定するための「クレーム」は RP が提示する• アプリケーションには「ロール」決定のためのロジックを実装

Claims

mail

name

company

title

署名

値

値

値

値

提示

• 社内SPとIdPを SAML/WS-Fed 対応

• 社内SP は社内 IdP を信頼

利用者

IdP

信頼

SP

SAML/WS-Fed対応 IdPSAML/WS-Fed対応SP

企業間連携


IdP

信頼

SP

自社パートナー企業

IdP SP

自社の社員が、パートナー企業のサービスを利用する場合

信頼信頼

利用者

SAML/WS-Fed対応IdP IdP対応SP

IdP を持つ SaaS 自社展開アプリ（PaaS/IaaS）

Office365/Saleceforce/Google 等 IdP を持つ IdP を持たない

IdP

SAML/WS-Fed対応IdP


信頼

IdP


信頼

IdP対応SP


次のページIdP対応SP

自社展開アプリ（PaaS/IaaS）

IdP を持たない

IdP

信頼

SAML/WS-Fed対応SP

直接信頼 IDaaS を使う

IdP



IdP対応SP

信頼

トークンゲートウェイを使う

IdP


SAML/WS-Fed対応GW

GW対応SP

信頼


Point：エンタープライズセキュリティポリシーを満たすこと


Enterprise Security Policy

IdP

•改修コスト大•パッケージの場合は当然不可能

Point：認証要求をHTTP/Sでカプセルし、リバースプロキシーによって受け入れる



Point：認証サーバーそのものを外部公開するなんてもってのほか！

Reverse

Proxy



他社IdP

IdP

Point：利用したい SaaS とともに検討するPoint：SaaS を利用するには IdP 間で ID の同期が必要（パスワードは必要ない）


Enterprise Security PolicyReverse

Proxy



他社IdP

IdP

SaaS Cloud IdP

IDSyn

c

• ここまでできれば、第一段階は完了。

• 以降、新規サービスの導入/開発時には IdPに対応していることを鑑みつつ選定する

信頼

信頼

Point：SAML/WS-Fed対応にするPoint：展開先はクラウド、オンプレミスいずれでもOKPoint：信頼先はCloud IdP、オンプレミス IdP いずれでもOK



Proxy



他社IdP

IdP

Cloud IdP

IDSyn

c

オンプレミス

IdPでもOK

SaaS

業務サービス

Point：既存 IdP と連携可能な SaaS を選択する（通常は SAML に対応している）Point：SaaS を利用するために ID 同期が必要



Proxy



他社IdP

IdP

Cloud IdP

IDSyn

c

SaaS Cloud IdP SaaS

信頼

業務サービス

信頼

ID Sync

Point：通常、企業ごとに IdP を保持/管理するPoint：企業が増える可能性があるのがサービスへの影響を最小限におさえる



Cloud IdP

IDSyn

c

共有業務サービス



Cloud IdP

トークン

ゲートウェイ信頼

信頼

信頼

信頼

企業A 企業B 企業C



Proxy

IdP

Cloud IdP

オンプレミスId

P

とのID

同期

トークン

ゲートウェイ

（Option）

他のIdPとのID同期トークンGWとの信頼

オンプレミスIdPとの信頼

他のIdPから信頼

社外からの

認証要求

Windows AzureActive Directory

Active DirectoryDomain Service

Active DirectoryFederation Service

Web ApplicationProxy

WAADAccess Control Service

FIM

Windows Azure

Active Directory

Microsoft

全製品Microsoft全 OS

Windows 8

Microsoft Account

(Windows Live ID）

Consumer Enterprise

他社 IdP

HR

Windows Server

Active Directory

AD DS

ユーザーとデバイスを認証する

AD DS で認証したユーザーとデバイスにトークンを発行する

AD FS ※逆に言えば「認証してなければトークンは発行されない」

ユーザーがAD DSで認証されたことを確認

ユーザーのクレーム（属性）を集める

クレームを変換する

クレームを発行する

クレームを判定してトークンを発行する

認証 OK

トークンがアプリケーションに渡される

AD DS

AD FS

認証トークン発行

アクセス判定


AD FS により、事前認可が行われている

認証認可① 認可②


アクセス判定


AD FS により、事前認可が行われている

認証認可① 認可②

そもそもアクセスを許可するかどうかの判定

どのようなアクセス権を与えるかという判定

• AD FS はリソースへのアクセス可否を集中的に判定する「前門」である• トークンにはアプリケーションのアクセス権を得るために必要な情報

（クレーム）が格納されている（ていうか、格納するように設定する）

ResourcesWeb Service

Web Service

まずは俺を倒してからだ

AD FS

• WEB アプリケーションを AD FS に登録する

• アプリの種類によってアクセス方法が異なる

AD FS

AD DS

SAML/WS-Fed 対応アプリ通常の WEB アプリ事前に登録事前に登録

AD FS Proxy

AD FSにリダイレクトできないため、AD FS Proxyを経由する

AD FS Proxy は Web Application Proxy の機能

WEBアプリのURLはAD FSProxyに向ける

• WS 2012 R2 デバイスレジストレーションサービス（DRS）を有効化し、デバイスを AD DS に事前登録しておく

• ドメインに参加している社内 PC

• ドメインに参加していない個人デバイス

• サポートされている OS

• Windows 8.1, Windows RT 8.1 , Windows 7

• iOS

• Android（機種依存）

Start

AD FS

AD DS

①「社内ネットワークに参加」UserID/Password クレーム処理

エンジン

デバイス登録サービス（DRS）

②ユーザー認証

④デバイス登録

Start

⑤証明書インストール

個人デバイス

HTTPS

Start

AD FS AD DS

クレーム処理エンジン

• デバイスクレームとユーザークレームを使用したきめの細かいアクセス制御• クレーム規則言語を使用

Start

ユーザー認証

デバイス認証

追加認証

デバイスクレーム

アクセス可否を判定

ユーザークレーム

AD登録されたユーザー

AD登録されたデバイス

マルチファクター認証デバイス認証Active Directory にデバイスが登録されているかどうかを確認する

プライマリ認証（ユーザー認証）

• Form 認証

• Windows 統合

• 証明書

デバイス認証

無効

有効

登録済みデバイス

NOYES

認証

NG

OK

MFA認証完了

NG

OK

無効

有効

<認証方式>

<条件>• ユーザー/グループ• 登録/非登録デバイス• 外部/内部ネットワーク

• Smart Card

• Phone Factor

• その他

OK

NG

https/http

2012 R2

社内リソース

https

• リバースプロキシー（https -> http/https )

• AD FS Proxy 機能も包含

2012 R2

Firew

all

AD FS AD DS

• （当然ですが）http/https でアクセス可能なアプリケーション AD FS に登録されたアプリケーションその他のアプリケーション（パススルー公開）

• AD FS に登録されたアプリはプロキシ通過時に事前認証/認可が行われる（結果はアプリでの認証に引き継がれる）

2012 R2

公開

ADFS

AD FS による事前認可

• 「AD FS に登録されたアプリ」が対象 AD FS が発行したトークンを理解できるアプリ HTTP/HTTPS が話せるアプリ（Windows Server 2012 R2 の新機能）

• 事前認証するには WEB APPLICATION PROXY を通過する必要がある

2012 R2

公開

ADFS

AD FS による事前認可

普通のWEBアプリを AD FS 経由で公開することで、事前認証の対象となる

Start

AD FS AD DS

クレーム処理エンジン

Start

ユーザー認証

デバイス認証

追加認証

デバイスクレーム

アクセス可否を判定

ユーザークレーム

AD登録されたユーザー

AD登録されたデバイス

WAP

事前認証プロセス

Firew

all

（参考）マイクロソフトのリモートアクセス機能

RDP透過的

透過的

社内リソース

透過的

Firew

all

RD Connection Broker

Internet

RemoteApp

Session-basedDesktop

仮想化ホスト+RemoteApp

Firew

all

リモートデスクトップクライアント

セッションホスト

公開

自動構成

Firewall

NAT, Proxy

(IPv6 packets on an HTTPS)

社内ネットワーク

Firew

all

（参考）働き方を変えるリモートアクセス機能 V2

RDP透過的

透過的

社内リソース

Firew

all

2012 R2

https/http

BYOD

Web Service

Web Service

Web Service

Web Service

Web Service

Web Service

Web

Service

Salesforce.com

Google.com

office365Public Cloud

アプリケーションにとっては、「どこの馬の骨ともわからないデバイス」を、社内AD DSによって認証し、一定の安全性を担保することができる。

• Active Directory ドメインに個人デバイスを登録しておく（ドメイン参加ではない）

• “AD FS トークンが必要なサービス”にアクセスする前にデバイス認証を実施

AD FS

/DRS

Office 365

個人デバイス

デバイスのアクセスを許可するかどうかを判断

認証

• AD FS にはクレーム対応アプリに加え、通常の WEB アプリも登録できる Windows 統合認証に対応したアプリにはクレデンシャルを渡すことも

できる• WEB APPLICATION PROXY を通過する際に、

AD FS による事前認証/認可が行える

WAP を通過するようにインフラを設計しさえすれば、旧来の社内WEBアプリを AD FS による事前認証/認可機能で保護できる

Windows Azure Active Directory

アクセスコントロール

• ID 連携

• トークン変換

ディレクトリ• ユーザー管理

• Graph API

• Auth. Library• 認証

• ID/Password• 多要素認証

• AD DS 同期

• Application Access• ユーザー同期 Active Directory

IDMaaS としての機能を実装したマルチテナント型のディレクトリサービス

AD DS Azure AD

多要素認証プロバイダー（有償）• 電話応答• ワンタイムパスワード

iOS , Android , WP 用アプリ

無料プレミアム (プレビュー)

料金 (ユーザーごと) 無料無料プレビュー

ディレクトリサービス含まれます含まれます

ディレクトリオブジェクト（既定では 15000 個） 500,000 個無制限

SaaS 用の SSO とクラウドベースのカスタムアプリケーション含まれます含まれます

SaaS アプリケーション用のユーザーベースのアクセス管理/プロビジョニング

含まれます含まれます

SaaS アプリケーション用のグループベースのアクセス管理/プロビジョニング

利用できません含まれます

エンドユーザーアクセスパネル含まれます含まれます

アクセスパネルのカスタマイズ利用できません含まれます

Windows Azure AD でのユーザーによるセルフサービスのパスワードリセット

利用できません含まれます

基本的なセキュリティレポート含まれます含まれます

高度なセキュリティレポート利用できません含まれます

DirSync 含まれます含まれます

ディレクトリ

ID Store（AD LDS に相当）

Federation

Gateway(AD FSに相当)

Graph（REST API）

アカウント情報の管理• ユーザー• グループ• デバイス

AD DS

3rd Party SaaS

CP(Id

P)側

RP(S

P)側

WS-Fed.

SAML 2.0

OAuth 2.0

WS-Fed

SAML 2.0（ECP Profile）

その他105 サービスに対応（ 2013/8 時点）

AD FS（WS-Fed）

自社開発アプリ

OR• Shibboleth(SAML 2.0)• Ping Federate( WS-Fed,SAML 2.0 )

http://technet.microsoft.com/en-us/library/jj679342.aspx

アプリケーションアクセス

• 既存 SaaS の認証を “インスタント” に WAAD に関連づける• Google Apps, Salesforce.com などはSSO/ID同期も可能

Federation-Based Apps

Password-based Apps

Active Directory

ID連携

ID フェデレーション

ID 同期

その他(1133種類 2014.3.31 現在）

パスワード連携

事前にID/Passを登録

その他

自社開発アプリ

• Windows Azure AD テナントと関連付けられた SaaS の一覧（ポータル）• ユーザーは、サービスをクリックすればよい

http://myapps.microsoft.com/

IDとパスワードを自動入力してくれるアドイン

アプリケーション用の ID とパスワードを設定しておくと、アイコンクリック後自動サインイン可能

Access Control Service

アクセスコントロール• 外部認証サービスから RP 側へのトークンゲートウェイ• ACS自身は認証プロバイダーではない

Application

WAAD- Directory WS-Fed

OpenID Oauh 2.0

AD

FSFe

dera

ton

Gate

way.

WS-Fedトークン変換

OAuth

Wrap

Application

RP(S

P)側

CP（IdP）側

WS-Fed をサポートしている CP

既存の IdP に認証要素を追加することができる独立したプロバイダー

多要素認証プロバイダー

Active Directory

Windows AzureActive Directory

Active DirectoryDomain Service

Active DirectoryFederation Service

追加

追加

$2/month/人 or $2/month/10Auth

クラウドサービスIdentity Provider

オンプレミス

Web Application

多要素認証プロバイダー

• ワンタイムパスワード• 通知

• 電話• テキストメッセージ

IE⑧③

⑤

ID/Password

④

⑥Windows Azure Portal

サードパーティ製WEB サービス ①

Windows Azure

Active Directory

AD DS + AD FS

スマフォ専用アプリ

Add in

WAAD多要素認証プロバイダー

認証①

認証②

BYOD

AD FS

認証依頼

iPhone

84

BYODデバイス登録とデバイス認証

ネットワークロケーションや IP アドレス、ユーザー属性、デバイス属性などによる、多要素認証/認可

パートナー企業との ID 連携

パブリッククラウドとのID連携

AD FS により社内リソースの集中的なアクセス制御が可能

業務アプリケーション

Firewall

Active Directoryマルチファクター認証

パブリッククラウド

オンプレミス（プライベートクラウド）

社内 PC 個人 PC, Tablet

Web

Service

Web

ServiceWeb

Service

“同じこと”はできません

IdM as a Service（IDMaaS）

IdMaaS Web Service

Web Service

Web Service

Active Directory

IT ガバナンス的課題

インフラストラクチャー的課題

クラウド化

上を解決するための前提条件


パブリック

クラウド

オンプレミス


IaaS の活用と VPN による接続IaaS/SaaS/PaaS との連携

企業間連携



Enterprise BYOD


Internet

Site to Site 接続

Windows AzureSoftware Load Balancer

Internet


Cloud Service

AD FS

Cloud Service Cloud Service

DMZ Internal

VPN Device

SaaSWS-Fed.

信頼関係

1. Windows Azure 契約 & パブリック IPv4 アドレス取得

2. オンプレミス側 VPN デバイスまたは RRAS 用サーバー設置＆セットアップ

3. Azure 仮想ネットワーク作成（独立したセグメントにする）

① リージョンの選択とアフィニティグループの作成

② Azure 仮想ネットワークセグメントの定義

③ オンプレミス側 VPN デバイスとオンプレミスローカルネットワークの定義

4. Cloud Service 作成（同一の Affinity Group を選択）

① AD DS & DNS 用

② AD FS 用

③ WAP 用

5. 仮想マシンを作成

① AD DS & DNS 用 × 2（可用性セット）（仮想ネットワーク利用）

② AD FS 用 × 2（可用性セット）（仮想ネットワーク利用）

③ WAP 用 × 2（可用性セット）

6. 各種機能インストール＆セットアップ

7. WAP に HOSTS または独自の DNS 設定

8. AD FS のクラウドサービスに ACL 設定

Vendor Device family Minimum OS version Configuration template for

static routing (policy-based)

Configuration template for dynamic

routing (route-based) [Preview]

Cisco ASA 8.3 Cisco ASA templates Not compatible

Cisco ASRIOS 15.1 (static)

IOS 15.2 (dynamic)Cisco ASR templates Cisco ASR templates

Cisco ISRIOS 15.0 (static)

IOS 15.1 (dynamic)Cisco ISR templates Cisco ISR templates

Juniper SRXJunOS 10.2 (static)

JunOS 11.4 (dynamic)Juniper SRX templates Juniper SRX templates

Juniper J-SeriesJunOS 10.4r9 (static)

JunOS 11.4 (dynamic)Juniper J-series templates Juniper J-series templates

Juniper ISGScreenOS 6.3 (static and

dynamic)Juniper ISG templates Juniper ISG templates

Juniper SSGScreenOS 6.2 (static and

dynamic)Juniper SSG templates Juniper SSG templates

Watchguard All Fireware XTM v11.x Configuration instructions Not compatible

F5 BIG-IP series N/A Configuration instructions Not compatible

Citrix

CloudBridge MPX

appliance or VPX virtual

appliance

N/A Integration instructions Not compatible

MicrosoftRouting and Remote

Access ServiceWindows Server 2012 Not compatible

Routing and Remote Access Service

templates

http://msdn.microsoft.com/en-us/library/windowsazure/jj156075.aspx

http://msdn.microsoft.com/en-us/library/windowsazure/dn133793.aspx













http://go.microsoft.com/fwlink/?LinkId=303841




Cloud Service

Public VIP = xxx.xxx.xxx.xxx

FQDN = <hostname>.cloudapp.net

VM VM VM

Private DIP = yyy.yyy.yyy.yyy

FQDN = <computername>.domain.com

Load Balancer

Azure 仮想ネットワーク

VPN GW

VIPが付与されるタイミング

• Cloud Service 内にインスタンスが作成されたとき

VIP がリリースされるタイミング

• Cloud Service 内のすべてのインスタンスが削除された場合

手動で削除した場合

フォールトドメインが故障した場合

フォールトドメインがメンテナンスされた場合

リリースされないようにするには

• 少なくとも１つのインスタンスを維持する

全てのインスタンスを同時に削除しない

可用性セットを設定し、フォールトドメイン故障の影響を最小限にする

Internet

Site to Site VPN 接続


VIP

DIP DIP DIP DIP

Internet


VIP

Cloud Service

AD FS

Cloud Service Cloud ServiceACL Rules

AD FS は全力で守る！

DMZ Internal

AD FS

Internet Internet

Site to Site 接続



VIP1 VIP2

DIP DIP DIP DIP

Cloud Service Cloud Service Cloud ServiceACL Rules

DMZ Internal

• IP アドレス

DHCP のまま利用（IaaS 上では静的IPアドレスは使用できない）

一度リースされたアドレスは VM が廃棄されない限り永続される

• DNS

AD DS と同時に DNS もインストール

Virtual Network に当該 DNS を設定する

Windows Azure の内部 DNS は使用できない

• DISK

C: OS

D: テンポラリ

E:～

• 通信課金について

課金対象は Azure → オンプレミス方向のみ

RODC（Read-Only Domain Controller）→ DC への通信は発生しない

自身で追加し、

キャッシュをオフ

既定のディスク

Active Directoryのデータベース用ディスクとして使用

読み取り専用のドメインコントローラー

• 通常のドメインコントローラーからの複製ターゲットを選択できる

• PII（Personally identifiable information）をフィルタ

• パスワード同期の要否を選択可能

• 認証したユーザーのパスワードはキャッシュされる

• パスワード同期を無効にした場合、Site-to-Site VPN ダウン時には認証が不可

• [RODC] → [通常のDC] 方向の複製は発生しない

• DC 間複製の通信課金 0

複製

フィルター

RWDC RODC

必要最小限の情報のみ複製

ReadOnly

DIP DIP

Azure VNET

• Virtual Network は独立したサブネットとする

• Virtual Network ごとにサイト作成

• サイト間の複製間隔を調整Ja

pan

East

Reg

ion

複製サイト

DIP DIP

Azure VNET

Jap

an

West

Reg

ion

サイト

サイト

Internet

Site to Site 接続


Internet


Cloud Service

AD FS

Cloud Service Cloud Service

DMZ Internal

VPN Device

SaaSWS-Fed.

信頼関係

• Active Directory 認証が必要なサービスを IaaS に展開するとき

• SharePoint Server

• SQL Server

• Oracle

• その他認証が必要な WEB サービス等

is better than

構築手順書は後日公開します

http://technet.microsoft.com/ja-jp/windowsserver/jj649374

active directory のクラウド武装化計画 v2～"ad on azure iaas" or "windows...

Technology