adfsv2
TRANSCRIPT
© 2012 Microsoft Corporation. All rights reserved
Active Directory フェデレーション サービス (AD FS) v2 概要紹介
日本マイクロソフト株式会社
© 2012 Microsoft Corporation. All rights reserved
2
本資料の内容
認証に関する課題と AD FS v2 による解決 AD FS による認証全体像と構成コンポーネント AD FS の導入構成 クラウドと AD FS まとめ 参考資料
– 必要動作環境、技術資料– キャパシティプランニング– スペック表( AD FS 1.0 との比較)
© 2012 Microsoft Corporation. All rights reserved
認証に関する課題とAD FS v2 による解決
© 2012 Microsoft Corporation. All rights reserved
4
組織を超えた認証の必要性
業務システム( オンプレミス or クラウド )
サプライヤ
ビジネスパートナー(関連会社など)
リモートアクセス
顧客
社外ユーザーの確実な本人確認多数/頻繁に入れ替わる社外ユーザーに対する認証シングルサインオンの要望
取引先への受発注システムの公開業務のアウトソーシング迅速なビジネス要求への対応プロセスの自動化
出張先からのシステム利用在宅勤務、協力会社との業務提携
認証基盤間の連携 ( フェデレーション ) が必要
業務システムを通じたビジネス連携の増加→ 組織を超えた認証、 SSO (シングルサインオン)への要求
© 2012 Microsoft Corporation. All rights reserved
5
広がる認証の範囲
組織に閉じた世界(≒ AD ドメイン認証の範囲)を超えた認証が必要なケースが増えている– システムの企業間連携/統合– SaaS やクラウド上のアプリケーションに対する認証
一方、システム開発の現場では、それぞれの場面で異なる認証技術を使う必要がある– Windows ドメイン下では Active Directory ( Kerberos, NTLM )– それ以外では、ユーザ名とパスワード(独自フォーム認証)
すべての場面で共通に使える手法はないのか?
© 2012 Microsoft Corporation. All rights reserved
6
Active Directory フェデレーションサービス ~ ネットワーク境界を超えた認証環境の提供 ~
AD FS v2 の特長① ユーザーの認証をアプリケーション利用者側で実施
アプリケーション提供側でアカウントを管理する必要が無く、セキュアに認証可能② 専用ネットワークではなく、 HTTPS による通信
ネットワーク再構成/専用ネットワーク管理コストの削減③ 標準規格 (WS-*, SAML 2.0) に準拠した認証
他のフェデレーション製品との連携、柔軟なアプリケーション対応の実現認証だけではなく、ユーザーロールに応じた認可機能の実装も可能
アプリケーション
Active Directory
利用者
フェデレーション信頼
アプリケーション提供者
インターネット
アプリケーション利用者
AD FS v2 サーバー AD FS v2 サーバー
シングルサインオントークン
© 2012 Microsoft Corporation. All rights reserved
7
トークンとクレームによる認証
トークン
デジタル署名
名前
グループ
役職
クレーム 1
クレーム 2
. . .
クレーム n
クレーム 3
トークンの生成元を示し、改ざんを防ぐ
クレームとは、認証ユーザーの属性情報 トークンとは、 ID 情報をまとめたもの
いくつかのクレームで構成 発行元を示すデジタル署名が付加される アプリケーションごとに、必要とするトークンを事前に定義
AD FS v2 では、認証データをトークン/クレーム方式でやり取りする(認証サーバー、クライアント、アプリケーション間)
© 2012 Microsoft Corporation. All rights reserved
8
トークン/クレーム方式のメリット
現在の多くのアプリケーションは、認証時に単純な ID 情報しか得られない– ユーザー ID 、認証結果( OK/NG )
それ以上の情報(ユーザー属性、ロール等)は別途 ID ストアに問い合わせ– ディレクトリサービス– データベース
⇒トークン/クレーム方式による認証と認可の統合– 認証データに、様々な情報(ユーザー名、所属部署、役職、ロール、
など)を含めることができるため、認証処理と認可処理を同じアプローチで実装可能
© 2012 Microsoft Corporation. All rights reserved
9
アプリケーションでのクレームの利用
ユーザーの特定 セキュリティグループや所属部署、役職の情報 パーソナライズ情報
– ユーザーの表示名など 操作の許可、拒否(ロール)
– 特定の情報へのアクセス– 特定の機能の利用
操作の制限– 購入上限の設定– ID プロバイダー側での設定も可能
© 2012 Microsoft Corporation. All rights reserved
AD FS による認証全体像と構成コンポーネント
© 2012 Microsoft Corporation. All rights reserved
11
トークン/クレーム方式の認証プロセス~ AD FS v2 構成コンポーネント全体像~
1) アプリケーションにアクセスし、トークン
の条件を取得
5) トークン内のクレームを利用
ユーザー
ID プロバイダー
2) トークン取得
トークン3) トークン提出トークン
信頼済みSTS リスト
アプリケーション
4) トークンの署名を調べ、信頼する STS
かどうか判断
STS
AD FS v2サーバー
姓
名
所属
役職
山崎
淳一
STU
TSP
デジタル署名
WindowsIdentity
Foundation
クレーム
※ STS セキュリティトークンサービス。・・・ ユーザーからの要求に応じてトークンを発行する機能
ActiveDirectory
© 2012 Microsoft Corporation. All rights reserved
12
AD FS v2 関連コンポーネント
AD FS v2 には以下の関連コンポーネントが存在– AD FS v2 サーバー
• Active Directory フェデレーション サービス (AD FS) 本体
• STS 機能を提供
– Windows Identity Foundation• クレームの情報を取り出し、認証・認可処理を
アプリケーションに実装するための .NET ベースのフレームワーク
• 独自 STS の実装も可能
※ AD FS v2 = “Geneva” ( 開発コード名 )
© 2012 Microsoft Corporation. All rights reserved
13
Windows Identity Foundation ( WIF )
クレーム対応アプリケーションを Visual Studio で作成するためのフレームワーク
Windows Identity Foundation でできること– 認証・認可ロジックの実装(開発)
• トークンの署名の確認と、クレームの抽出• クレームを扱うクラスの実装
– 独自 STS の作成
// トークンの取り出し(≒認証) IClaimsIdentity ci = (IClaimsIdentity)Thread.CurrentPrincipal.Identity;
// トークンに含まれるクレームの取り出しforeach (Microsoft.IdentityModel.Claims.Claim c in ci.Claims){ if (c.ClaimType == Microsoft.IdentityModel.Claims.ClaimTypes.Name) { //Name クレームから値を取り出して画面に表示 lbl_name.Text = c.Value; }}
↓WIF を使用した、認証とユーザー情報抽出コード例: 認証処理を一から作り込んだ場合と比較してください。
© 2012 Microsoft Corporation. All rights reserved
14
AD FS v2 への対応状況 アプリケーション/ソフトウェア
– Microsoft Office SharePoint Server (MOSS) 2007 / 2010, WSS 3.0• 外部ユーザーへのサイト公開
– Active Directory Rights Management Services (AD RMS)• 外部ユーザーへの RMS ドキュメントの公開
– Dynamics CRM 5.0– Office 365– Windows Azure – Windows Identity Foundation で独自認証・認可ロジックを実装した
アプリケーション 他のフェデレーションサーバー( STS )との連携
– HP IceWall– Sun OpenSSO– Novell Access Manager– CA SiteMinder– CA Federation Manager
標準規格へのアライン– Liberty Alliance (SAML 2.0)
© 2012 Microsoft Corporation. All rights reserved
15
AD FS バージョンによる機能差異
AD FS 1.0 は– パッシブクライアント (ブラウザー ) のみサポート– STS は未提供– WS-Federation のみサポート
AD FS 2.0 では– アクティブ( SOAP )・パッシブクライアントをサポート– STS を提供– SAML 2.0, WS-Federation, WS-Trust, WS-Security をサポート– 信頼関係の管理性を向上(管理コンソールの強化)
• 一部の設定を自動化
© 2012 Microsoft Corporation. All rights reserved
16
AD FS バージョンによる機能差異 AD FS 2.0 Rollup1 および Rollup2
– Office 365 向けの機能をサポート– 混雑回避アルゴリズムの搭載– 新たなパフォーマンスカウンター項目の追加– SAML プロトコル内で RelayState パラメーターをサポート
– AD FS 2.0 Rollup2 の詳細とダウンロードhttp://support.microsoft.com/kb/2681584
– AD FS 2.0 Rollup1 の詳細とダウンロードhttp://support.microsoft.com/kb/2607496
AD FS 2.1 ( Windows Server 2012 標準搭載)– ダイナミックアクセス制御との連携をサポート– サーバーマネージャーからの容易なインストール– PowerShell コマンドレットの強化
– 詳細は以下を参照http://technet.microsoft.com/ja-jp/library/hh831502.aspx
© 2012 Microsoft Corporation. All rights reserved
17
AD FS v2 の注意事項
独自開発アプリケーションを AD FS 対応にするには、アプリケーションにコードを組み込む必要がある– トークンからクレームの内容を抽出し、ビジネスロジックに応じた
認証・認可フローをプログラミングすることにより実装
Windows デスクトップログオンを AD FS で行うことはできない– AD FS は、アプリケーション レイヤにおける認証を、高い汎用性
を持たせながら安全に提供するための基盤– 現時点で Kerberos 認証を置き換えるものではない
© 2012 Microsoft Corporation. All rights reserved
AD FS の導入構成
© 2012 Microsoft Corporation. All rights reserved
19
新規導入する場合(組織間連携)本社 - グループ会社 A 間 で AD FS によるフェデレーション信頼を構築する
インターネット
本社AD FSサーバー
外部公開アプリ
グループ会社 A
クライアント Active Directory
トークンユーザー情報
フェデレーション信頼
受領したトークンの信頼性確認
AD FS サーバー
AD FS プロキシ サーバー
サーバー 必要ソフトウェア・サービス 配置場所
AD FS サーバー※ NLB にて冗長化可能
Windows Server 2008, 2008 R2, 2012AD FS v2, 電子証明書
本社、グループ会社 A
AD FS プロキシサーバー※ ファーム構成が可能
Windows Server 2008, 2008 R2, 2012AD FS v2
本社(オプション)
クライアント JavaScript と Cookie が有効なブラウザ グループ会社 A
外部公開アプリ(独自開発の場合)
Windows Server 2003, 2008, 2008 R2, 2012Windows Identity Foundation
本社
© 2012 Microsoft Corporation. All rights reserved
20
新規導入する場合(対 Office 365 )
インターネット
Office 365AD FSサーバー
Exchange OnlineSharePoint Online
など
企業 A
クライアント Active Directory
トークン
サーバー 必要ソフトウェア・サービス 配置場所
AD FS サーバー※ NLB にて冗長化可能
Windows Server 2008, 2008 R2, 2012AD FS v2電子証明書※
企業 A
クライアント JavaScript と Cookie が有効なブラウザ
企業 A
ユーザー情報
フェデレーション信頼
受領したトークンの信頼性確認
Microsoft Federation Gateway (MFG)
※ MFG で受け入れ可能な証明書の要件は、次のページを参照 http://msdn.microsoft.com/en-us/library/cc287610.aspx
企業 A が自社の AD ユーザーで Office 365 アプリケーションを利用する
© 2012 Microsoft Corporation. All rights reserved
21
新規導入する場合(対 Azure )企業 A が自社の AD ユーザーで Azure アプリケーションを利用する場合
インターネット
Windows AzureAD FSサーバー
Azure アプリケーション
( WIF で開発)
企業 A
クライアント Active Directory
トークン
サーバー 必要ソフトウェア・サービス 配置場所
AD FS サーバー※ NLB にて冗長化可能
Windows Server 2008, 2008 R2, 2012AD FS v2電子証明書
企業 A
クライアント JavaScript と Cookie が有効なブラウザ
企業 A
ユーザー情報
フェデレーション信頼
受領したトークンの信頼性確認
独自 STS (WIF で開発 )
フェデレーション信頼
※ 独自開発した STS を使用する方法と、直接 Azure アプリケーションとフェデレーション信頼を設定する、
2 つの方法が利用可能
© 2012 Microsoft Corporation. All rights reserved
22
既存の環境に追加導入する場合
サーバー 必要ソフトウェア・サービス
AD FS サーバー( グループ会社 B)
Windows Server 2008, 2008 R2, 2012AD FS v2
クライアント( グループ会社 B)
JavaScript と Cookie が有効なブラウザ
本社 - グループ会社 A で AD FS を導入済みの環境に、グループ B 会社を追加導入する
本社
AD FSサーバー
クライアント Active Directory
トークンユーザー情報
グループ会社 AAD FSサーバー
外部公開アプリ
AD FS サーバー
グループ会社 B
必要なクレームの登録、受領したトークンの
信頼性確認
インターネット
フェデレーション信頼
© 2012 Microsoft Corporation. All rights reserved
クラウドと AD FS
© 2012 Microsoft Corporation. All rights reserved
24
クラウドへ広がる AD 認証
AD FS v2 により、既存 AD のユーザーで Azure 上のシステムや Office365 にもシングルサインオン( SSO )
Microsoft Federation Gateway
Live Identity Service
Exchange ServerSharePoint
ISV アプリ
ActiveDirectory
組織内(オンプレミス)AD FS v2
Microsoft Online
Microsoft Dynamics
CRM Online
Windows Live
LiveMesh
Windows Azure
Azure Services Platform
ISV アプリ
エンタープライズアプリ
ユーザー
ブラウザー
Office
アプリ
Windows Live / Office 365
© 2012 Microsoft Corporation. All rights reserved
25
組織間と Azure を含めた SSO の実現例
Fabrikam.com
Contoso.com
AD FS v2サーバー
取引先向けシステム
Active Directory
AD FS v2サーバー
情報共有ポータル
企業内システム人事情報検索
経費精算アプリ
Azure Platform( クラウド )
Contoso 社 サービス Adatum 社 サービス
契約申込アプリ
製品発注アプリ
ユーザー
トークンによるアクセス( SSO )AD FS へのトークン要求(≒ 認証)
バックエンドの認証処理
フェデレーション信頼
© 2012 Microsoft Corporation. All rights reserved
26
【ご参考】 Exchange 2010 の予定表外部公開
Token request Alias:
[email protected] To: contoso.com For: Free busy
Federated Token Alias:
[email protected] To: contoso.com For: Free busy
Free busy request
Org-Org relationshipDomain: contoso.comEndpoint: https://...
…
Fabrikam Contoso
Org-Org relationshipDomain: fabrikam.com
Freebusy: trueLevel: Free busy
Group: Department1…
Free busy request
Free busy response
1
2
3 4
5
7
6
8
Lookup info for target org
Exchange server submits signed request
for token on behalf of user
Free busy response
Encrypted token has requestor’s e-mail address, can
only be cracked by target org
Crack token, lookup info for requesting org,
and enforce restrictions
Signs token and encrypts with target
org’s public key
Gateway verifies
signature, ensures e-mail
alias matches domains
Federated Token
MS Federation Gateway
Organization Id: C293…Domains: fabrikam.com
CAS CAS
Organization Id: A154…Domains: contoso.com
Mary
No e-mail addresses are stored in the
cloud
All connections over SSL
No accounts need to be managed
Encrypted
異なる組織 Fabrikam と Contoso 間(オンプレミス)での、予定表外部公開機能の動作フロー
© 2012 Microsoft Corporation. All rights reserved
まとめ
© 2012 Microsoft Corporation. All rights reserved
28
まとめ
マイクロソフトは、従来の資産(オンプレミス)を活用しつつ、クラウドのリソースも活用できるモデルを推進– 適材適所が最も賢い使い方
そのために必要となる、クラウドとオンプレミス間のデータや認証を容易に連携できる技術を提供– データは SQL Azure や AppFabric– 認証は AD FS v2
AD FS v2 が、クラウドもオンプレミスも全部まとめて統合的なシングルサインオン機能を提供– AD は、 AD FS の手を借りて、クラウド時代も認証基盤として活用され
る– きれいな AD を立てることは将来も役に立つ
© 2012 Microsoft Corporation. All rights reserved
29
AD FS v2 の特長とメリット
AD FS v2 のメリット– HTTPS プロトコルの通信を行うため、組織(ネットワーク)間の相互運用性が高い
– ID をコピーしないため、シンプルな管理、セキュリティ確保、ユーザーはシングルサインオンを実現可能
– クレームベース認証なため、認証処理と一緒に認可処理を実装することが可能(所属部署、役職、ロール、など)
– WS-Federation, WS-Trust, SAML 2.0 ベースの汎用形式でのやり取りにより、アプリケーションとの親和性が高い
Windows Azure 利用時のメリット– 既存の ID インフラに変更を加えずにクラウドサービスを利用・移行でき
る– Point-to-Point ではなく、 Hub & Spoke のため、設定と管理がシンプル– セキュリティレベルの維持– Windows Azure 上のシステム用に別途アカウント、パスワード管理が不
要
© 2012 Microsoft Corporation. All rights reserved
参考資料
ID 情報の一元的な整備
© 2012 Microsoft Corporation. All rights reserved
31
Win
dow
s 統
合認
証/K
erb
ero
s/A
D F
S
Forefront Identity Manager 2010 によるID の一元的な整備
人事マスタForefront Identity
Manager 2010
その他のユーザーデータ
ソース
セルフサービス
ワークフロー
Active Directory
電話番号役職部署権限
グループ
Exchange GAL & DL
SharePoint
その他のアプリケーショ
ン
AD FS v2
WS-*, SAML トークン
クラウドサービスパートナー
AD FS v2 対応アプリケーション
AD FS v2 対応アプリケーショ
ン
SQL Server
購入権限顧客情報
© 2012 Microsoft Corporation. All rights reserved
参考資料
必要動作環境、技術情報
© 2012 Microsoft Corporation. All rights reserved
33
AD FS v2 必要動作環境 AD FS v2 サーバー
– Windows Server 2008, 2008 R2, 2012 (32-bit / 64-bit) – Internet Information Services (IIS) 7 以上– .NET Framework 3.5
• ※ 構成データベースとして、大規模環境向けに SQL Server 2005, 2008 Express / Standard / Enterprise も使用可能(既定では Windows Internal Database を使用)
• ※ Windows Server 2012 の AD FS 2.1 では、 SQL Server 2012 もサポート
Windows Identity Foundation ( 開発環境を含む )– Windows Vista, 7 または Windows Server 2003 SP2, 2003 R2,
2008, 2008 R2, 2012 (32-bit / 64-bit) – Internet Information Services (IIS) 6 以上– .NET Framework 3.5 – Visual Studio 2005 または Visual Studio 2008
AD FS v2 モジュール一式は、以下よりダウンロード可能– http://technet.microsoft.com/en-us/evalcenter/ee476597.aspx– Windows Server 2012 は AD FS 2.1 を標準搭載
© 2012 Microsoft Corporation. All rights reserved
34
AD FS v2 必要動作環境 ブラウザの要件
– JavaScript と Cookie が有効なブラウザ– マイクロソフトでテスト済みの OS とブラウザの組み合わせは以下
属性ストアの要件(いずれかを利用可能)– AD DS
• Windows Server 2003 SP1 以降のドメインコントローラー(スキーマ、機能レベルに関する要件は無し)
– LDAP サーバー• Windows 統合認証をサポートしていること• RFC 2255 準拠の LDAP URL による接続文字列をサポートしていること
– SQL Server• SQL Server 2005 または SQL Server 2008• Windows Server 2012 の AD FS 2.1 は SQL Server 2012 もサポート
詳細は以下を参照http://technet.microsoft.com/library/ff678034(WS.10).aspx
ブラウザ Windows 7 Windows Vista
Internet Explorer 7.0 ○ ○
Internet Explorer 8.0 ○ ○
Internet Explorer 9.0 ○ Not Tested
FireFox 3.0 ○ ○
Safari 3.1 ○ ○
© 2012 Microsoft Corporation. All rights reserved
35
キャパシティ プランニング CPU /メモリ
– シビアに見積もる必要はなし– 1 台でハイスペックなサーバーよりも、冗長化を考慮し、中程度のスペックのサー
バー複数台( NLB ファーム構成)が推奨 ディスク容量
– フェデレーション信頼とメタデータ(クレーム、クレームルール)に依存– ただし、これらのデータ容量はごく少量のため、特別な考慮は不要
以下のツールで試算可能– AD FS 2.0 Capacity Planning Spreadsheet
http://www.microsoft.com/en-us/download/details.aspx?id=2278
キャパシティプランニングの詳細– http://technet.microsoft.com/ja-jp/library/b5efb78f-2d77-4549-a8e3-12f5ec3
89a60(v=ws.10)
© 2012 Microsoft Corporation. All rights reserved
36
技術情報
AD FS 2.0 Content Map– http://
social.technet.microsoft.com/wiki/contents/articles/2735.ad-fs-2-0-content-map.aspx
ID ソリューションで Active Directory フェデレーション サービス 2.0 を使用する – Technet マガジン– http://msdn.microsoft.com/ja-jp/magazine/ee335705.aspx
AD FS v2 でアプリケーションの世界が変わる – TechFielders インタビュー– http://www.microsoft.com/japan/powerpro/TF/interview/42_1.mspx
Claims-Based Identity Blog– http://blogs.msdn.com/card/default.aspx
他のフェデレーションサーバーとの相互運用性– http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID
=9eb1f3c7-84da-40eb-b9aa-44724c98e026 SAML 2.0 対応状況( Liberty Alliance )
– http://projectliberty.org/liberty/liberty_interoperable/implementations/ Active Directory Web サイト
– http://www.microsoft.com/japan/windowsserver2008/r2/technologies/ad-fs2.mspx
© 2012 Microsoft Corporation. All rights reserved
37
技術情報(外部連載記事) Windows で構築する、クラウド・サービスと社内システムの SSO 環境
(@IT)– 第 1回 クラウド・コンピューティングとアイデンティティ管理の概要
http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html– 第 2回 クラウド・コンピューティング時代の認証技術
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso02/adfs2sso02_01.html– 第 3回 クラウド・サービスと社内 AD との SSO を実現する(前)
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso03/adfs2sso03_01.html– 第 4回 クラウド・サービスと社内 AD との SSO を実現する(後)
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso04/adfs2sso04_01.html
© 2012 Microsoft Corporation. All rights reserved
本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoft は絶えず変化する市場に対応しなければならないため、ここに記載した情報に対していかなる責務を負うものではなく、提示された情報の信憑性については保証できません。
本書は情報提供のみを目的としています。 Microsoft は、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。 すべての当該著作権法を遵守することはお客様の責務です。Microsoft の書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または挿入を行うことは、どのような形式または手段(電子的、機械的、複写、レコーディング、その他)、および目的であっても禁じられています。これらは著作権保護された権利を制限するものではありません。
Microsoft は、本書の内容を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoft から書面によるライセンス契約が明確に供給される場合を除いて、本書の提供はこれらの特許、商標、著作権、またはその他の知的財産へのライセンスを与えるものではありません。
© 2012 Microsoft Corporation. All rights reserved.Microsoft, Windows, その他本文中に登場した各製品名は、 Microsoft Corporation の米国およびその他の国における登録商標または商標です。その他、記載されている会社名および製品名は、一般に各社の商標です。