adfsv2

© 2012 Microsoft Corporation. All rights reserved 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

Active Directory フェデレーションサービス (AD FS) v2 概要紹介

日本マイクロソフト株式会社


2

本資料の内容

認証に関する課題と AD FS v2 による解決 AD FS による認証全体像と構成コンポーネント AD FS の導入構成クラウドと AD FS まとめ参考資料

– 必要動作環境、技術資料– キャパシティプランニング– スペック表（ AD FS 1.0 との比較）


認証に関する課題とAD FS v2 による解決


4

組織を超えた認証の必要性

業務システム( オンプレミス or クラウド )

サプライヤ

ビジネスパートナー（関連会社など）

リモートアクセス

顧客

社外ユーザーの確実な本人確認多数／頻繁に入れ替わる社外ユーザーに対する認証シングルサインオンの要望

取引先への受発注システムの公開業務のアウトソーシング迅速なビジネス要求への対応プロセスの自動化

出張先からのシステム利用在宅勤務、協力会社との業務提携

認証基盤間の連携 ( フェデレーション ) が必要

業務システムを通じたビジネス連携の増加→ 組織を超えた認証、 SSO （シングルサインオン）への要求


5

広がる認証の範囲

組織に閉じた世界（≒ AD ドメイン認証の範囲）を超えた認証が必要なケースが増えている– システムの企業間連携／統合– SaaS やクラウド上のアプリケーションに対する認証

一方、システム開発の現場では、それぞれの場面で異なる認証技術を使う必要がある– Windows ドメイン下では Active Directory （ Kerberos, NTLM ）– それ以外では、ユーザ名とパスワード（独自フォーム認証）

すべての場面で共通に使える手法はないのか？


6

Active Directory フェデレーションサービス～ネットワーク境界を超えた認証環境の提供～

AD FS v2 の特長① ユーザーの認証をアプリケーション利用者側で実施

アプリケーション提供側でアカウントを管理する必要が無く、セキュアに認証可能② 専用ネットワークではなく、 HTTPS による通信

ネットワーク再構成／専用ネットワーク管理コストの削減③ 標準規格 (WS-*, SAML 2.0) に準拠した認証

他のフェデレーション製品との連携、柔軟なアプリケーション対応の実現認証だけではなく、ユーザーロールに応じた認可機能の実装も可能

アプリケーション

Active Directory

利用者

フェデレーション信頼

アプリケーション提供者

インターネット

アプリケーション利用者

AD FS v2 サーバー AD FS v2 サーバー

シングルサインオントークン


7

トークンとクレームによる認証

トークン

デジタル署名

名前

グループ

役職

クレーム 1

クレーム 2

. . .

クレーム n

クレーム 3

トークンの生成元を示し、改ざんを防ぐ

クレームとは、認証ユーザーの属性情報トークンとは、 ID 情報をまとめたもの

いくつかのクレームで構成発行元を示すデジタル署名が付加されるアプリケーションごとに、必要とするトークンを事前に定義

AD FS v2 では、認証データをトークン／クレーム方式でやり取りする（認証サーバー、クライアント、アプリケーション間）


8

トークン／クレーム方式のメリット

現在の多くのアプリケーションは、認証時に単純な ID 情報しか得られない– ユーザー ID 、認証結果（ OK/NG ）

それ以上の情報（ユーザー属性、ロール等）は別途 ID ストアに問い合わせ– ディレクトリサービス– データベース

⇒トークン／クレーム方式による認証と認可の統合– 認証データに、様々な情報（ユーザー名、所属部署、役職、ロール、

など）を含めることができるため、認証処理と認可処理を同じアプローチで実装可能


9

アプリケーションでのクレームの利用

ユーザーの特定セキュリティグループや所属部署、役職の情報パーソナライズ情報

– ユーザーの表示名など操作の許可、拒否（ロール）

– 特定の情報へのアクセス– 特定の機能の利用

操作の制限– 購入上限の設定– ID プロバイダー側での設定も可能


AD FS による認証全体像と構成コンポーネント


11

トークン／クレーム方式の認証プロセス～ AD FS v2 構成コンポーネント全体像～

1) アプリケーションにアクセスし、トークン

の条件を取得

5) トークン内のクレームを利用

ユーザー

ID プロバイダー

2) トークン取得

トークン3) トークン提出トークン

信頼済みSTS リスト

アプリケーション

4) トークンの署名を調べ、信頼する STS

かどうか判断

STS

AD FS v2サーバー

姓

名

所属

役職

山崎

淳一

STU

TSP

デジタル署名

WindowsIdentity

Foundation

クレーム

※ STS セキュリティトークンサービス。･･･ユーザーからの要求に応じてトークンを発行する機能

ActiveDirectory


12

AD FS v2 関連コンポーネント

AD FS v2 には以下の関連コンポーネントが存在– AD FS v2 サーバー

• Active Directory フェデレーションサービス (AD FS) 本体

• STS 機能を提供

– Windows Identity Foundation• クレームの情報を取り出し、認証・認可処理を

アプリケーションに実装するための .NET ベースのフレームワーク

• 独自 STS の実装も可能

※ AD FS v2 = “Geneva” ( 開発コード名 )


13

Windows Identity Foundation （ WIF ）

クレーム対応アプリケーションを Visual Studio で作成するためのフレームワーク

Windows Identity Foundation でできること– 認証・認可ロジックの実装（開発）

• トークンの署名の確認と、クレームの抽出• クレームを扱うクラスの実装

– 独自 STS の作成

// トークンの取り出し（≒認証） IClaimsIdentity ci = (IClaimsIdentity)Thread.CurrentPrincipal.Identity;

// トークンに含まれるクレームの取り出しforeach (Microsoft.IdentityModel.Claims.Claim c in ci.Claims){ if (c.ClaimType == Microsoft.IdentityModel.Claims.ClaimTypes.Name) { //Name クレームから値を取り出して画面に表示 lbl_name.Text = c.Value; }}

↓WIF を使用した、認証とユーザー情報抽出コード例：認証処理を一から作り込んだ場合と比較してください。


14

AD FS v2 への対応状況アプリケーション／ソフトウェア

– Microsoft Office SharePoint Server (MOSS) 2007 / 2010, WSS 3.0• 外部ユーザーへのサイト公開

– Active Directory Rights Management Services (AD RMS)• 外部ユーザーへの RMS ドキュメントの公開

– Dynamics CRM 5.0– Office 365– Windows Azure – Windows Identity Foundation で独自認証・認可ロジックを実装した

アプリケーション他のフェデレーションサーバー（ STS ）との連携

– HP IceWall– Sun OpenSSO– Novell Access Manager– CA SiteMinder– CA Federation Manager

標準規格へのアライン– Liberty Alliance (SAML 2.0)


15

AD FS バージョンによる機能差異

AD FS 1.0 は– パッシブクライアント (ブラウザー ) のみサポート– STS は未提供– WS-Federation のみサポート

AD FS 2.0 では– アクティブ（ SOAP ）・パッシブクライアントをサポート– STS を提供– SAML 2.0, WS-Federation, WS-Trust, WS-Security をサポート– 信頼関係の管理性を向上（管理コンソールの強化）

• 一部の設定を自動化


16

AD FS バージョンによる機能差異 AD FS 2.0 Rollup1 および Rollup2

– Office 365 向けの機能をサポート– 混雑回避アルゴリズムの搭載– 新たなパフォーマンスカウンター項目の追加– SAML プロトコル内で RelayState パラメーターをサポート

– AD FS 2.0 Rollup2 の詳細とダウンロードhttp://support.microsoft.com/kb/2681584

– AD FS 2.0 Rollup1 の詳細とダウンロードhttp://support.microsoft.com/kb/2607496

AD FS 2.1 （ Windows Server 2012 標準搭載）– ダイナミックアクセス制御との連携をサポート– サーバーマネージャーからの容易なインストール– PowerShell コマンドレットの強化

– 詳細は以下を参照http://technet.microsoft.com/ja-jp/library/hh831502.aspx

http://support.microsoft.com/kb/2681584






http://technet.microsoft.com/ja-jp/library/hh831502.aspx




17

AD FS v2 の注意事項

独自開発アプリケーションを AD FS 対応にするには、アプリケーションにコードを組み込む必要がある– トークンからクレームの内容を抽出し、ビジネスロジックに応じた

認証・認可フローをプログラミングすることにより実装

Windows デスクトップログオンを AD FS で行うことはできない– AD FS は、アプリケーションレイヤにおける認証を、高い汎用性

を持たせながら安全に提供するための基盤– 現時点で Kerberos 認証を置き換えるものではない


AD FS の導入構成


19

新規導入する場合（組織間連携）本社 - グループ会社 A 間で AD FS によるフェデレーション信頼を構築する


本社AD FSサーバー

外部公開アプリ

グループ会社 A

クライアント Active Directory

トークンユーザー情報


受領したトークンの信頼性確認

AD FS サーバー

AD FS プロキシサーバー

サーバー必要ソフトウェア・サービス配置場所

AD FS サーバー※ NLB にて冗長化可能

Windows Server 2008, 2008 R2, 2012AD FS v2, 電子証明書

本社、グループ会社 A

AD FS プロキシサーバー※ ファーム構成が可能

Windows Server 2008, 2008 R2, 2012AD FS v2

本社（オプション）

クライアント JavaScript と Cookie が有効なブラウザグループ会社 A

外部公開アプリ（独自開発の場合）

Windows Server 2003, 2008, 2008 R2, 2012Windows Identity Foundation

本社


20

新規導入する場合（対 Office 365 ）


Office 365AD FSサーバー

Exchange OnlineSharePoint Online

など

企業 A


トークン



Windows Server 2008, 2008 R2, 2012AD FS v2電子証明書※

企業 A

クライアント JavaScript と Cookie が有効なブラウザ

企業 A

ユーザー情報



Microsoft Federation Gateway (MFG)

※ MFG で受け入れ可能な証明書の要件は、次のページを参照 http://msdn.microsoft.com/en-us/library/cc287610.aspx

企業 A が自社の AD ユーザーで Office 365 アプリケーションを利用する


21

新規導入する場合（対 Azure ）企業 A が自社の AD ユーザーで Azure アプリケーションを利用する場合


Windows AzureAD FSサーバー

Azure アプリケーション

（ WIF で開発）

企業 A


トークン



Windows Server 2008, 2008 R2, 2012AD FS v2電子証明書

企業 A

クライアント JavaScript と Cookie が有効なブラウザ

企業 A

ユーザー情報



独自 STS (WIF で開発 )


※ 独自開発した STS を使用する方法と、直接 Azure アプリケーションとフェデレーション信頼を設定する、

2 つの方法が利用可能


22

既存の環境に追加導入する場合

サーバー必要ソフトウェア・サービス

AD FS サーバー( グループ会社 B)

Windows Server 2008, 2008 R2, 2012AD FS v2

クライアント( グループ会社 B)

JavaScript と Cookie が有効なブラウザ

本社 - グループ会社 A で AD FS を導入済みの環境に、グループ B 会社を追加導入する

本社

AD FSサーバー


トークンユーザー情報

グループ会社 AAD FSサーバー

外部公開アプリ

AD FS サーバー

グループ会社 B

必要なクレームの登録、受領したトークンの

信頼性確認




クラウドと AD FS


24

クラウドへ広がる AD 認証

AD FS v2 により、既存 AD のユーザーで Azure 上のシステムや Office365 にもシングルサインオン（ SSO ）

Microsoft Federation Gateway

Live Identity Service

Exchange ServerSharePoint

ISV アプリ

ActiveDirectory

組織内（オンプレミス）AD FS v2

Microsoft Online

Microsoft Dynamics

CRM Online

Windows Live

LiveMesh

Windows Azure

Azure Services Platform

ISV アプリ

エンタープライズアプリ

ユーザー

ブラウザー

Office

アプリ

Windows Live / Office 365


25

組織間と Azure を含めた SSO の実現例

Fabrikam.com

Contoso.com


取引先向けシステム

Active Directory


情報共有ポータル

企業内システム人事情報検索

経費精算アプリ

Azure Platform( クラウド )

Contoso 社サービス Adatum 社サービス

契約申込アプリ

製品発注アプリ

ユーザー

トークンによるアクセス（ SSO ）AD FS へのトークン要求（≒ 認証）

バックエンドの認証処理



26

【ご参考】 Exchange 2010 の予定表外部公開

Token request Alias:

[email protected] To: contoso.com For: Free busy

Federated Token Alias:

[email protected] To: contoso.com For: Free busy

Free busy request

[email protected]

Org-Org relationshipDomain: contoso.comEndpoint: https://...

…

Fabrikam Contoso

Org-Org relationshipDomain: fabrikam.com

Freebusy: trueLevel: Free busy

Group: Department1…

Free busy request

[email protected]

Free busy response

[email protected]

1

2

3 4

5

7

6

8

Lookup info for target org

Exchange server submits signed request

for token on behalf of user

Free busy response

[email protected]

Encrypted token has requestor’s e-mail address, can

only be cracked by target org

Crack token, lookup info for requesting org,

and enforce restrictions

Signs token and encrypts with target

org’s public key

Gateway verifies

signature, ensures e-mail

alias matches domains

Federated Token

MS Federation Gateway

Organization Id: C293…Domains: fabrikam.com

CAS CAS

Organization Id: A154…Domains: contoso.com

Mary

No e-mail addresses are stored in the

cloud

All connections over SSL

No accounts need to be managed

Encrypted

異なる組織 Fabrikam と Contoso 間（オンプレミス）での、予定表外部公開機能の動作フロー


まとめ


28

まとめ

マイクロソフトは、従来の資産（オンプレミス）を活用しつつ、クラウドのリソースも活用できるモデルを推進– 適材適所が最も賢い使い方

そのために必要となる、クラウドとオンプレミス間のデータや認証を容易に連携できる技術を提供– データは SQL Azure や AppFabric– 認証は AD FS v2

AD FS v2 が、クラウドもオンプレミスも全部まとめて統合的なシングルサインオン機能を提供– AD は、 AD FS の手を借りて、クラウド時代も認証基盤として活用され

る– きれいな AD を立てることは将来も役に立つ


29

AD FS v2 の特長とメリット

AD FS v2 のメリット– HTTPS プロトコルの通信を行うため、組織（ネットワーク）間の相互運用性が高い

– ID をコピーしないため、シンプルな管理、セキュリティ確保、ユーザーはシングルサインオンを実現可能

– クレームベース認証なため、認証処理と一緒に認可処理を実装することが可能（所属部署、役職、ロール、など）

– WS-Federation, WS-Trust, SAML 2.0 ベースの汎用形式でのやり取りにより、アプリケーションとの親和性が高い

Windows Azure 利用時のメリット– 既存の ID インフラに変更を加えずにクラウドサービスを利用・移行でき

る– Point-to-Point ではなく、 Hub & Spoke のため、設定と管理がシンプル– セキュリティレベルの維持– Windows Azure 上のシステム用に別途アカウント、パスワード管理が不

要


参考資料

ID 情報の一元的な整備


31

Win

dow

s 統

合認

証/K

erb

ero

s/A

D F

S

Forefront Identity Manager 2010 によるID の一元的な整備

人事マスタForefront Identity

Manager 2010

その他のユーザーデータ

ソース

セルフサービス

ワークフロー

Active Directory

電話番号役職部署権限

グループ

Exchange GAL & DL

SharePoint

その他のアプリケーショ

ン

AD FS v2

WS-*, SAML トークン

クラウドサービスパートナー

AD FS v2 対応アプリケーション

AD FS v2 対応アプリケーショ

ン

SQL Server

購入権限顧客情報


参考資料

必要動作環境、技術情報


33

AD FS v2 必要動作環境 AD FS v2 サーバー

– Windows Server 2008, 2008 R2, 2012 (32-bit / 64-bit) – Internet Information Services (IIS) 7 以上– .NET Framework 3.5

• ※ 構成データベースとして、大規模環境向けに SQL Server 2005, 2008 Express / Standard / Enterprise も使用可能（既定では Windows Internal Database を使用）

• ※ Windows Server 2012 の AD FS 2.1 では、 SQL Server 2012 もサポート

Windows Identity Foundation ( 開発環境を含む )– Windows Vista, 7 または Windows Server 2003 SP2, 2003 R2,

2008, 2008 R2, 2012 (32-bit / 64-bit) – Internet Information Services (IIS) 6 以上– .NET Framework 3.5 – Visual Studio 2005 または Visual Studio 2008

AD FS v2 モジュール一式は、以下よりダウンロード可能– http://technet.microsoft.com/en-us/evalcenter/ee476597.aspx– Windows Server 2012 は AD FS 2.1 を標準搭載

http://technet.microsoft.com/en-us/evalcenter/ee476597.aspx


34

AD FS v2 必要動作環境ブラウザの要件

– JavaScript と Cookie が有効なブラウザ– マイクロソフトでテスト済みの OS とブラウザの組み合わせは以下

属性ストアの要件（いずれかを利用可能）– AD DS

• Windows Server 2003 SP1 以降のドメインコントローラー（スキーマ、機能レベルに関する要件は無し）

– LDAP サーバー• Windows 統合認証をサポートしていること• RFC 2255 準拠の LDAP URL による接続文字列をサポートしていること

– SQL Server• SQL Server 2005 または SQL Server 2008• Windows Server 2012 の AD FS 2.1 は SQL Server 2012 もサポート

詳細は以下を参照http://technet.microsoft.com/library/ff678034(WS.10).aspx

ブラウザ Windows 7 Windows Vista

Internet Explorer 7.0 ○ ○

Internet Explorer 8.0 ○ ○

Internet Explorer 9.0 ○ Not Tested

FireFox 3.0 ○ ○

Safari 3.1 ○ ○

http://technet.microsoft.com/library/ff678034(WS.10).aspx


35

キャパシティプランニング CPU ／メモリ

– シビアに見積もる必要はなし– 1 台でハイスペックなサーバーよりも、冗長化を考慮し、中程度のスペックのサー

バー複数台（ NLB ファーム構成）が推奨ディスク容量

– フェデレーション信頼とメタデータ（クレーム、クレームルール）に依存– ただし、これらのデータ容量はごく少量のため、特別な考慮は不要

以下のツールで試算可能– AD FS 2.0 Capacity Planning Spreadsheet

http://www.microsoft.com/en-us/download/details.aspx?id=2278

キャパシティプランニングの詳細– http://technet.microsoft.com/ja-jp/library/b5efb78f-2d77-4549-a8e3-12f5ec3

89a60(v=ws.10)

http://www.microsoft.com/en-us/download/details.aspx?id=2278

http://technet.microsoft.com/ja-jp/library/b5efb78f-2d77-4549-a8e3-12f5ec389a60(v=ws.10)

http://technet.microsoft.com/ja-jp/library/b5efb78f-2d77-4549-a8e3-12f5ec389a60(v=ws.10)


36

技術情報

AD FS 2.0 Content Map– http://

social.technet.microsoft.com/wiki/contents/articles/2735.ad-fs-2-0-content-map.aspx

ID ソリューションで Active Directory フェデレーションサービス 2.0 を使用する – Technet マガジン– http://msdn.microsoft.com/ja-jp/magazine/ee335705.aspx

AD FS v2 でアプリケーションの世界が変わる – TechFielders インタビュー– http://www.microsoft.com/japan/powerpro/TF/interview/42_1.mspx

Claims-Based Identity Blog– http://blogs.msdn.com/card/default.aspx

他のフェデレーションサーバーとの相互運用性– http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID

=9eb1f3c7-84da-40eb-b9aa-44724c98e026 SAML 2.0 対応状況（ Liberty Alliance ）

– http://projectliberty.org/liberty/liberty_interoperable/implementations/ Active Directory Web サイト

– http://www.microsoft.com/japan/windowsserver2008/r2/technologies/ad-fs2.mspx

http://social.technet.microsoft.com/wiki/contents/articles/2735.ad-fs-2-0-content-map.aspx



http://msdn.microsoft.com/ja-jp/magazine/ee335705.aspx

http://www.microsoft.com/japan/powerpro/TF/interview/42_1.mspx

http://blogs.msdn.com/card/default.aspx

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=9eb1f3c7-84da-40eb-b9aa-44724c98e026

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=9eb1f3c7-84da-40eb-b9aa-44724c98e026

http://projectliberty.org/liberty/liberty_interoperable/implementations/

http://projectliberty.org/liberty/liberty_interoperable/implementations/

http://www.microsoft.com/japan/windowsserver2008/r2/technologies/ad-fs2.mspx

http://www.microsoft.com/japan/windowsserver2008/r2/technologies/ad-fs2.mspx


37

技術情報（外部連載記事） Windows で構築する、クラウド・サービスと社内システムの SSO 環境

(@IT)– 第 1回クラウド・コンピューティングとアイデンティティ管理の概要

http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html– 第 2回クラウド・コンピューティング時代の認証技術

http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso02/adfs2sso02_01.html– 第 3回クラウド・サービスと社内 AD との SSO を実現する（前）

http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso03/adfs2sso03_01.html– 第 4回クラウド・サービスと社内 AD との SSO を実現する（後）

http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso04/adfs2sso04_01.html

http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html





本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoft は絶えず変化する市場に対応しなければならないため、ここに記載した情報に対していかなる責務を負うものではなく、提示された情報の信憑性については保証できません。

本書は情報提供のみを目的としています。 Microsoft は、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。すべての当該著作権法を遵守することはお客様の責務です。Microsoft の書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または挿入を行うことは、どのような形式または手段（電子的、機械的、複写、レコーディング、その他）、および目的であっても禁じられています。これらは著作権保護された権利を制限するものではありません。

Microsoft は、本書の内容を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoft から書面によるライセンス契約が明確に供給される場合を除いて、本書の提供はこれらの特許、商標、著作権、またはその他の知的財産へのライセンスを与えるものではありません。

© 2012 Microsoft Corporation. All rights reserved.Microsoft, Windows, その他本文中に登場した各製品名は、 Microsoft Corporation の米国およびその他の国における登録商標または商標です。その他、記載されている会社名および製品名は、一般に各社の商標です。

adfsv2

Documents