Download - Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Directory"? 20140505 V2
2014/3/31 v1.0
http://technet.microsoft.com/ja-jp/windowsserver/jj649374
13:30 ~ 16:00 復習
• 企業インフラが求める認証基盤
• Hybrid IdP の実現に向けて
16:00 ~ 17:30 AD on IaaS 構築編
• Windows Server Active Directory on IaaS の構築手順
IT ガバナンスを “IT” でコントロールするため
IT ガバナンスとは(経済産業省)
• 企業が、ITに関する企画・導入・運営および活用を行うにあたって、すべての活動、成果および関係者を適正に統制し、目指すべき姿へと導くための仕組みを組織に組み込むこと、または、組み込まれた状態
• ITガバナンスは、ITマネジメントに関わる方針や基準を明確にし、それを経営者やユーザーに浸透させることに重点が置かれており、ITマネジメントは、日々の運営や活動の管理に重点が置かれている
http://warp.ndl.go.jp/info:ndljp/pid/286890/www.meti.go.jp/policy/it_policy/it_keiei/action/keyword/governance/index03.html
システム運営企業情報システムを安定的かつ適正に運用・管理することに加えて、サービスレベル合意書 (SLA) に基づくサービス品質の管理、セキュリティを含むITリスク管理、技術標準および運用手順の設定など
組織運営スタッフ個人および部門の目標管理に基づくIT部門の健全運営に加えて、IT予算および投資の管理、外部ベンダーおよび契約の管理など
http://warp.ndl.go.jp/info:ndljp/pid/286890/www.meti.go.jp/policy/it_policy/it_keiei/action/keyword/governance/index02.html
説明責任経営者および利用部門に対する説明責任を意味しますが、具体的にはコストの妥当性、作り上げたシステムの利用状況、ビジネスへの貢献度などを自ら評価し、その結果をフィードバックすることで、IT部門の取り組みの適正さを明らかにする
リレーションシップ管理利用部門との関係を維持・改善し、企業情報システムの適性かつ有効な利用を促進することを目的に、啓蒙・教育、情報発信、部門間調整などを行うものです。これは満足度調査やニーズおよび要件の聞き取りといったインバウンド(IT部門へ) のコミュニケーションと、情報発信やシーズの提案といったアウトバウンド (IT部門から) のコミュニケーションを伴う
IT リスクの低減
生産性の向上
IT 利用度の向上
• 禁止事項を増やす
• ルールを増やす
• 手順を増やす
• ビジネスロジックを増やす
• PC リプレイス
• 新ソフトの導入
• 新機能の導入
• 使うことを強制するルール
生産性は ?
全てにリスクが潜んでいる
&
リスクは無くせない
(低減は可能)
“面倒な”ルール
リスクとリスクが出会ってしまったとき
トランスポーター
• 個々のリスクを低減する(出会う確率を減らす)
• エンタープライズ・セキュリティ・ポリシーによりトラッキング(監視)
• 必要に応じて“トランスポーター”をブロック
認証とは:ユーザーやデバイスの一意性を保証すること:ユーザーやデバイスを特定すること:認証サーバーが行う
認可とは:認証されたユーザーやデバイスにアクセス権を与えるかどうかを判断すること
:アプリケーションやサービスが行う
「誰が(どのデバイスが)、何をできるか」を判断するプロセスが、
全ての IT リソースに対して有効であることが重要
• 全てのリソースへのアクセスには認証が必要• 各リソースに適切なアクセス権を設定• 社内 PC は持ち出さない• 個人デバイスは社内で利用しない• 社外秘データは持ち出さない• ハードディスクは暗号化する• 定期的なパスワードの変更• ウィルスパターンを定期的に更新• セキュリティパッチの迅速な適用• 不要なソフトウェアをインストールしない• 怪しいサイトにはアクセスしない
など
コンプライアンス(法令順守)のためのセキュリティの大原則
企業内 IT インフラストラクチャー全体に適用する
DataApplication
Network Device
全てのリソースが常に認証基盤とつながっている状態を維持する
データを社外に持ち出しても、社内のセキュリティポリシーによってアクセスが制限できる
デバイスは認証を受けなければ社内のリソースにアクセスできない。
デバイスを社外に持ち出しても、社内のセキュリティポリシーが常に適用される。
セキュリティポリシーを満たしているユーザーとデバイスがネットワークに接続できる。
ポリシー違反が発生したら、強制的にネットワークから除外することができる。
アプリケーションは認証されたユーザーと認証されたデバイスにアクセス権を与えることができる。
アプリケーションは認証サーバーからユーザーとデバイスの情報を取得できる。 ユーザーは認証を受けな
ければ社内のリソースを一切利用できない
セキュリティドメイン
• ユーザー認証とデバイス認証
• データへのアクセス権管理
• セキュリティポリシーの適用
• 企業内データの動的分類
セキュリティの壁
Active Directory ドメイン
AD DS
ID/Pass で Sign-in
グループポリシーによる統制
Windowsクライアント
AD CS証明書発行
アカウント管理
AD RMS
アクセス制御
データ暗号化ファイルサーバ
メールサーバー
WEB サーバー
DB サーバー
アクセス制御
INTERNET
• 社内セキュリティポリシーによる継続的な監視• PC のセキュリティはリアルタイムに監視されている
Active Directory ドメイン
検疫ネットワーク
社内ネットワーク
Firewall Direct Access
ServerHotel
評価
Network Access Protection
ドメインコントローラー
業務サーバーファイルサーバー
Windows7/8
R-Proxy
Active Directory ドメイン
AD DS
AD RMS
Exchange
Server
• 重要なデータ(メール、ドキュメント)を暗号化• データにアクセス権限を付与• 認可の集中管理
SharePoint
Server
EA
S
http
s
認証
認可
Firew
all
※権限を付与するのはデータ/メールの作成者または、動的分類機能で自動化
暗号化メールを解読
Active Directory ドメイン
• RDP を使用して社内仮想 PC を操作• 社内仮想PCは常に社内セキュリティポリシーが適用されている• データは社内仮想 PC から外に出られない
各種業務サーバー
RDP
セキュリティ境界
踏み台(仮想PC群)
遠隔操作
AD DS
遠隔操作
• サービスのパブリッククラウドへの移行は加速する
• インフラがパブリッククラウド上に完全移行したとしてもIT ガバナンスの観点から、セキュリティドメインは無くせない
• 認証の中心はセキュリティドメインである
セキュリティドメインの維持/更新
セキュリティドメイン外との連携
IT 部門のチャレンジ
同期
• 壁をより堅牢に
• 認証の信頼性を向上
• スピード感のある導入
• 業界標準技術の採用
• 連携しやすい IdP の採用
認証の中心
セキュリティドメイン外
パブリック
クラウド
オンプレミス
セキュリティドメイン
IaaS の活用と VPN による接続IaaS/SaaS/PaaS との連携
企業間連携
外部 IdP との連携
セキュリティドメイン
Enterprise BYOD
セキュリティドメイン内
セキュリティドメイン
全てドメイン内
IdP
ユーザーとデバイスを認証
ユーザーはドメイン内
ユーザーだけ認証
すべてドメイン外
認証不可=アクセス禁止
安全性 高 低
Question
セキュリティドメイン外との連携は高度な Password 同期のテクノロジーが
カギを握っている
B. NO
• Password を使いまわさない
• 「認証」と「認可」を分離する
業務サービス
認証プロバイダー(IdP)
サービスプロバイダー(SP)
認証
• ユーザーの特定
• デバイスの特定
• 特定したことの保障
認可
• 権限の特定
必要な情報を提供
信頼
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
独立した IdP が分散すると「認証」の品質と信頼性は低下する
too many chiefs and not enough workers
IDマスター
IdP
信頼
SP
SP
SP
SP
信頼
社内だけでなく、社外(セキュリティドメイン外)から信頼される必要がある
セキュリティドメイン外
パブリック
クラウド
オンプレミス
IaaS の活用と VPN による接続 IaaS/SaaS/PaaS との連携
企業間連携
外部 IdP との連携
セキュリティドメイン
BYOD
セキュリティドメイン内
IdP
信頼
SP
信頼
信頼
• IdP と SP 間で信頼関係を構築(双方の身元情報を持ち合う)
IdP SP
SP は IdP を信頼
IdP も SP を信頼
あなたの言うことなら信頼できるおまえになら
この情報を託せる
IdP SPIdP
Pattern1
直接信頼
Pattern2
間接信頼
同一のセキュリティドメイン内で使われるパターン
セキュリティドメインを異にする組織間で使用されるパターン
私にはあなたしか見えない。あなたの言うことならなんでもきくわ。
同一のセキュリティドメイン
• 「正しく認証したこと」をサービスプロバイダーに知らせる
• ユーザーの属性情報(クレーム)をサービスプロバイダーに渡す
IdP SP
IdP1 SPIdP2
Pattern1
直接信頼
Pattern2
間接信頼
拝啓SP様 UserA氏は確かに当方に登録されたユーザーであり認証は完了しております。UserA氏の個人情報を以下に添付します。
Name = UserA
eMail Address = [email protected]
Division = Developer&Platform Evangelism
拝啓IdP1様
・・・
p.s. SP様によろしく伝えてください
SP君へ
・・・
p.s. IdP1氏からもらったクレームを精査しました。添付したのはその報告書です。
• SP は IdP から送られてきたクレームを読み、ユーザーのアクセスを認可する
• 認可の際、ユーザーには権限を決定するためのロールを与える
SP
役割 権限
Author RW
User R
Guest -IdP
SP は IdPに対し、事前に以下を通告しておく
役割を判定するにあたり、
• どんな名前の変数を使うこと
• どんな値を入れてくること
IdP は SP に通告された通りの情報を生成して渡さなければならない
IdP :Identity Provider(ID情報提供者)
CP :Claims Provider(クレーム提供者)
SP :Service Provider(サービス提供者)
RP :Relying Party(ID 情報に依存している団体、ID情報利用者)
以降、状況に応じて上記を使い分けます
WS-Federation
SAML 2.0
OpenID Connect
OAuth 2.0
• どのサービスが利用できるかは IdP が決定
• IdP がユーザーに対してクレームを発行
• ユーザーがアプリケーションにクレームを渡す
• どのサービスを利用するか(どのサービスを信頼するか)ユーザーが決める
• ユーザーがアプリケーションに対しクレーム取得を許可する(クレームを取得するための API 利用を許可する(API認可))
RPIdP
信頼
利用者
お勧めの参考資料 NRI 工藤達雄氏 「なぜ OpenID Connect が必要となったのか、その歴史的背景」
http://www.slideshare.net/tkudo/openid-connect-devlove#
①認証
②クレーム③クレーム
RPIdP
利用者
②認証
④APIアクセス
①認証依頼
③APIアクセス許可
⑤ユーザー情報
⑥アクセス許可
通信にはHTTP/Sが使用される
CP RP
業務トークン トークン
ユーザー情報
利用者
ロール管理簿
トークンを解析• 本人識別• ロール決定
信頼
クレームを格納
SAML 2.0 / WS-Fed.
属性ストア
RP
業務 ロール管理簿
トークンを解析• 本人識別• ロール決定
CP
ユーザー情報
属性ストア
• ロールを決定するための「クレーム」は RP が提示する• アプリケーションには「ロール」決定のためのロジックを実装
Claims
name
company
title
署名
値
値
値
値
提示
• 社内SPとIdPを SAML/WS-Fed 対応
• 社内SP は社内 IdP を信頼
利用者
IdP
信頼
SP
SAML/WS-Fed対応 IdPSAML/WS-Fed対応SP
企業間連携
セキュリティドメイン
IdP
信頼
SP
自社 パートナー企業
IdP SP
自社の社員が、パートナー企業のサービスを利用する場合
信頼 信頼
利用者
SAML/WS-Fed対応IdP IdP対応SP
IdP を持つ SaaS 自社展開アプリ(PaaS/IaaS)
Office365/Saleceforce/Google 等 IdP を持つ IdP を持たない
IdP
SAML/WS-Fed対応IdP
SAML/WS-Fed対応IdP
信頼
IdP
SAML/WS-Fed対応IdP
信頼
IdP対応SP
SAML/WS-Fed対応IdP
次のページIdP対応SP
自社展開アプリ(PaaS/IaaS)
IdP を持たない
IdP
信頼
SAML/WS-Fed対応SP
直接信頼 IDaaS を使う
IdP
SAML/WS-Fed対応IdP
SAML/WS-Fed対応IdP
IdP対応SP
信頼
トークンゲートウェイを使う
IdP
SAML/WS-Fed対応IdP
SAML/WS-Fed対応GW
GW対応SP
信頼
SAML/WS-Fed対応IdP
Point:エンタープライズ セキュリティ ポリシーを満たすこと
セキュリティドメイン
Enterprise Security Policy
IdP
•改修コスト大•パッケージの場合は当然不可能
Point:認証要求をHTTP/Sでカプセルし、リバースプロキシーによって受け入れる
セキュリティドメイン
Enterprise Security Policy
Point:認証サーバーそのものを外部公開するなんてもってのほか!
Reverse
Proxy
セキュリティドメイン
Enterprise Security Policy
他社IdP
IdP
Point:利用したい SaaS とともに検討するPoint:SaaS を利用するには IdP 間で ID の同期が必要(パスワードは必要ない)
セキュリティドメイン
Enterprise Security PolicyReverse
Proxy
セキュリティドメイン
Enterprise Security Policy
他社IdP
IdP
SaaS Cloud IdP
IDSyn
c
• ここまでできれば、第一段階は完了。
• 以降、新規サービスの導入/開発時には IdPに対応していることを鑑みつつ選定する
信頼
信頼
Point:SAML/WS-Fed対応 にするPoint:展開先はクラウド、オンプレミスいずれでもOKPoint:信頼先はCloud IdP、オンプレミス IdP いずれでもOK
セキュリティドメイン
Enterprise Security PolicyReverse
Proxy
セキュリティドメイン
Enterprise Security Policy
他社IdP
IdP
Cloud IdP
IDSyn
c
オンプレミス
IdPでもOK
SaaS
業務サービス
Point:既存 IdP と連携可能な SaaS を選択する(通常は SAML に対応している)Point:SaaS を利用するために ID 同期が必要
セキュリティドメイン
Enterprise Security PolicyReverse
Proxy
セキュリティドメイン
Enterprise Security Policy
他社IdP
IdP
Cloud IdP
IDSyn
c
SaaS Cloud IdP SaaS
信頼
業務サービス
信頼
ID Sync
Point:通常、企業ごとに IdP を保持/管理するPoint:企業が増える可能性があるのがサービスへの影響を最小限におさえる
セキュリティドメイン
Enterprise Security Policy
Cloud IdP
IDSyn
c
共有業務サービス
セキュリティドメイン
Enterprise Security Policy
Cloud IdP
トークン
ゲートウェイ信頼
信頼
信頼
信頼
企業A 企業B 企業C
セキュリティドメイン
Enterprise Security PolicyReverse
Proxy
IdP
Cloud IdP
オンプレミスId
P
とのID
同期
トークン
ゲートウェイ
(Option)
他のIdPとのID同期トークンGWとの信頼
オンプレミスIdPとの信頼
他のIdPから信頼
社外からの
認証要求
Windows AzureActive Directory
Active DirectoryDomain Service
Active DirectoryFederation Service
Web ApplicationProxy
WAADAccess Control Service
FIM
Windows Azure
Active Directory
Microsoft
全製品Microsoft全 OS
Windows 8
Microsoft Account
(Windows Live ID)
Consumer Enterprise
他社 IdP
HR
Windows Server
Active Directory
AD DS
ユーザーとデバイスを認証する
AD DS で認証したユーザーとデバイスにトークンを発行する
AD FS ※逆に言えば「認証してなければトークンは発行されない」
ユーザーがAD DSで認証されたことを確認
ユーザーのクレーム(属性)を集める
クレームを変換する
クレームを発行する
クレームを判定してトークンを発行する
認証 OK
トークンがアプリケーションに渡される
AD DS
AD FS
認証トークン発行
アクセス判定
認証トークン発行
AD FS により、事前認可が行われている
認証 認可① 認可②
認証トークン発行
アクセス判定
認証トークン発行
AD FS により、事前認可が行われている
認証 認可① 認可②
そもそもアクセスを許可するかどうかの判定
どのようなアクセス権を与えるかという判定
• AD FS はリソースへのアクセス可否を集中的に判定する「前門」である• トークンにはアプリケーションのアクセス権を得るために必要な情報
(クレーム)が格納されている(ていうか、格納するように設定する)
ResourcesWeb Service
Web Service
まずは俺を倒してからだ
AD FS
• WEB アプリケーションを AD FS に登録する
• アプリの種類によってアクセス方法が異なる
AD FS
AD DS
SAML/WS-Fed 対応アプリ 通常の WEB アプリ事前に登録 事前に登録
AD FS Proxy
AD FSにリダイレクトできないため、AD FS Proxyを経由する
AD FS Proxy は Web Application Proxy の機能
WEBアプリのURLはAD FSProxyに向ける
• WS 2012 R2 デバイスレジストレーションサービス(DRS)を有効化し、デバイスを AD DS に事前登録しておく
• ドメインに参加している社内 PC
• ドメインに参加していない個人デバイス
• サポートされている OS
• Windows 8.1, Windows RT 8.1 , Windows 7
• iOS
• Android(機種依存)
Start
AD FS
AD DS
①「社内ネットワークに参加」UserID/Password クレーム処理
エンジン
デバイス登録サービス(DRS)
②ユーザー認証
④デバイス登録
Start
⑤証明書インストール
個人デバイス
HTTPS
Start
AD FS AD DS
クレーム処理エンジン
• デバイス クレームとユーザークレームを使用したきめの細かいアクセス制御• クレーム規則言語を使用
Start
ユーザー認証
デバイス認証
追加認証
デバイス クレーム
アクセス可否を判定
ユーザー クレーム
AD登録されたユーザー
AD登録されたデバイス
マルチファクター認証デバイス認証Active Directory にデバイスが登録されているかどうかを確認する
プライマリ認証(ユーザー認証)
• Form 認証
• Windows 統合
• 証明書
デバイス認証
無効
有効
登録済みデバイス
NOYES
認証
NG
OK
MFA認証完了
NG
OK
無効
有効
<認証方式>
<条件>• ユーザー/グループ• 登録/非登録デバイス• 外部/内部ネットワーク
• Smart Card
• Phone Factor
• その他
OK
NG
https/http
2012 R2
社内リソース
https
• リバースプロキシー(https -> http/https )
• AD FS Proxy 機能も包含
2012 R2
Firew
all
AD FS AD DS
• (当然ですが)http/https でアクセス可能なアプリケーション AD FS に登録されたアプリケーション その他のアプリケーション(パススルー公開)
• AD FS に登録されたアプリはプロキシ通過時に事前認証/認可が行われる(結果はアプリでの認証に引き継がれる)
2012 R2
公開
ADFS
AD FS による事前認可
• 「AD FS に登録されたアプリ」が対象 AD FS が発行したトークンを理解できるアプリ HTTP/HTTPS が話せるアプリ(Windows Server 2012 R2 の新機能)
• 事前認証するには WEB APPLICATION PROXY を通過する必要がある
2012 R2
公開
ADFS
AD FS による事前認可
普通のWEBアプリを AD FS 経由で公開することで、事前認証の対象となる
Start
AD FS AD DS
クレーム処理エンジン
Start
ユーザー認証
デバイス認証
追加認証
デバイス クレーム
アクセス可否を判定
ユーザー クレーム
AD登録されたユーザー
AD登録されたデバイス
WAP
事前認証プロセス
Firew
all
(参考)マイクロソフトのリモートアクセス機能
RDP透過的
透過的
社内リソース
透過的
Firew
all
RD Connection Broker
Internet
RemoteApp
Session-basedDesktop
仮想化ホスト+RemoteApp
Firew
all
リモートデスクトップクライアント
セッションホスト
公開
自動構成
Firewall
NAT, Proxy
(IPv6 packets on an HTTPS)
社内ネットワーク
Firew
all
(参考)働き方を変えるリモートアクセス機能 V2
RDP透過的
透過的
社内リソース
Firew
all
2012 R2
https/http
BYOD
Web Service
Web Service
Web Service
Web Service
Web Service
Web Service
Web
Service
Salesforce.com
Google.com
office365Public Cloud
アプリケーションにとっては、「どこの馬の骨ともわからないデバイス」を、社内AD DSによって認証し、一定の安全性を担保することができる。
• Active Directory ドメインに個人デバイスを登録しておく(ドメイン参加ではない)
• “AD FS トークンが必要なサービス”にアクセスする前にデバイス認証を実施
AD FS
/DRS
Office 365
個人デバイス
デバイスのアクセスを許可するかどうかを判断
認証
• AD FS にはクレーム対応アプリに加え、通常の WEB アプリも登録できる Windows 統合認証に対応したアプリにはクレデンシャルを渡すことも
できる• WEB APPLICATION PROXY を通過する際に、
AD FS による事前認証/認可が行える
WAP を通過するようにインフラを設計しさえすれば、旧来の社内WEBアプリを AD FS による事前認証/認可機能で保護できる
Windows Azure Active Directory
アクセスコントロール
• ID 連携
• トークン変換
ディレクトリ• ユーザー管理
• Graph API
• Auth. Library• 認証
• ID/Password• 多要素認証
• AD DS 同期
• Application Access• ユーザー同期 Active Directory
IDMaaS としての機能を実装したマルチテナント型のディレクトリ サービス
AD DS Azure AD
多要素認証プロバイダー(有償)• 電話応答• ワンタイムパスワード
iOS , Android , WP 用アプリ
無料 プレミアム (プレビュー)
料金 (ユーザーごと) 無料 無料プレビュー
ディレクトリサービス 含まれます 含まれます
ディレクトリオブジェクト(既定では 15000 個) 500,000 個 無制限
SaaS 用の SSO とクラウドベースのカスタム アプリケーション 含まれます 含まれます
SaaS アプリケーション用のユーザーベースのアクセス管理/プロビジョニング
含まれます 含まれます
SaaS アプリケーション用のグループベースのアクセス管理/プロビジョニング
利用できません 含まれます
エンドユーザーアクセスパネル 含まれます 含まれます
アクセスパネルのカスタマイズ 利用できません 含まれます
Windows Azure AD でのユーザーによるセルフサービスのパスワードリセット
利用できません 含まれます
基本的なセキュリティ レポート 含まれます 含まれます
高度なセキュリティレポート 利用できません 含まれます
DirSync 含まれます 含まれます
ディレクトリ
ID Store(AD LDS に相当)
Federation
Gateway(AD FSに相当)
Graph(REST API)
アカウント情報の管理• ユーザー• グループ• デバイス
AD DS
3rd Party SaaS
CP(Id
P)側
RP(S
P)側
WS-Fed.
SAML 2.0
OAuth 2.0
WS-Fed
SAML 2.0(ECP Profile)
その他105 サービスに対応( 2013/8 時点)
AD FS(WS-Fed)
自社開発アプリ
OR• Shibboleth(SAML 2.0)• Ping Federate( WS-Fed,SAML 2.0 )
http://technet.microsoft.com/en-us/library/jj679342.aspx
アプリケーションアクセス
• 既存 SaaS の認証を “インスタント” に WAAD に関連づける• Google Apps, Salesforce.com などはSSO/ID同期も可能
Federation-Based Apps
Password-based Apps
Active Directory
ID連携
ID フェデレーション
ID 同期
その他(1133種類 2014.3.31 現在)
パスワード連携
事前にID/Passを登録
その他
自社開発アプリ
• Windows Azure AD テナントと関連付けられた SaaS の一覧(ポータル)• ユーザーは、サービスをクリックすればよい
http://myapps.microsoft.com/
IDとパスワードを自動入力してくれるアドイン
アプリケーション用の ID とパスワードを設定しておくと、アイコンクリック後自動サインイン可能
Access Control Service
アクセスコントロール• 外部認証サービスから RP 側へのトークン ゲートウェイ• ACS自身は認証プロバイダーではない
Application
WAAD- Directory WS-Fed
OpenID Oauh 2.0
AD
FSFe
dera
ton
Gate
way.
WS-Fedトークン変換
OAuth
Wrap
Application
RP(S
P)側
CP(IdP)側
WS-Fed をサポートしている CP
既存の IdP に認証要素を追加することができる独立したプロバイダー
多要素認証プロバイダー
Active Directory
Windows AzureActive Directory
Active DirectoryDomain Service
Active DirectoryFederation Service
追加
追加
$2/month/人 or $2/month/10Auth
クラウドサービスIdentity Provider
オンプレミス
Web Application
多要素認証プロバイダー
• ワンタイムパスワード• 通知
• 電話• テキストメッセージ
IE⑧③
⑤
ID/Password
④
⑥Windows Azure Portal
サードパーティ製WEB サービス ①
Windows Azure
Active Directory
AD DS + AD FS
スマフォ専用アプリ
Add in
WAAD多要素認証プロバイダー
認証①
認証②
BYOD
AD FS
認証依頼
iPhone
84
BYODデバイス登録とデバイス認証
ネットワークロケーションや IP アドレス、ユーザー属性、デバイス属性などによる、多要素認証/認可
パートナー企業との ID 連携
パブリッククラウドとのID連携
AD FS により社内リソースの集中的なアクセス制御が可能
業務アプリケーション
Firewall
Active Directoryマルチファクター認証
パブリッククラウド
オンプレミス(プライベートクラウド)
社内 PC 個人 PC, Tablet
Web
Service
Web
ServiceWeb
Service
“同じこと”はできません
IdM as a Service(IDMaaS)
IdMaaS Web Service
Web Service
Web Service
Active Directory
IT ガバナンス的課題
インフラストラクチャー的課題
クラウド化
上を解決するための前提条件
セキュリティドメイン外
パブリック
クラウド
オンプレミス
セキュリティドメイン
IaaS の活用と VPN による接続IaaS/SaaS/PaaS との連携
企業間連携
外部 IdP との連携
セキュリティドメイン
Enterprise BYOD
セキュリティドメイン内
Internet
Site to Site 接続
Windows AzureSoftware Load Balancer
Internet
Windows AzureSoftware Load Balancer
Cloud Service
AD FS
Cloud Service Cloud Service
DMZ Internal
VPN Device
SaaSWS-Fed.
信頼関係
1. Windows Azure 契約 & パブリック IPv4 アドレス取得
2. オンプレミス側 VPN デバイスまたは RRAS 用サーバー設置&セットアップ
3. Azure 仮想ネットワーク作成(独立したセグメントにする)
① リージョンの選択とアフィニティグループの作成
② Azure 仮想ネットワークセグメントの定義
③ オンプレミス側 VPN デバイスとオンプレミスローカルネットワークの定義
4. Cloud Service 作成(同一の Affinity Group を選択)
① AD DS & DNS 用
② AD FS 用
③ WAP 用
5. 仮想マシンを作成
① AD DS & DNS 用 × 2(可用性セット)(仮想ネットワーク利用)
② AD FS 用 × 2(可用性セット)(仮想ネットワーク利用)
③ WAP 用 × 2(可用性セット)
6. 各種機能インストール&セットアップ
7. WAP に HOSTS または独自の DNS 設定
8. AD FS のクラウドサービスに ACL 設定
Vendor Device family Minimum OS version Configuration template for
static routing (policy-based)
Configuration template for dynamic
routing (route-based) [Preview]
Cisco ASA 8.3 Cisco ASA templates Not compatible
Cisco ASRIOS 15.1 (static)
IOS 15.2 (dynamic)Cisco ASR templates Cisco ASR templates
Cisco ISRIOS 15.0 (static)
IOS 15.1 (dynamic)Cisco ISR templates Cisco ISR templates
Juniper SRXJunOS 10.2 (static)
JunOS 11.4 (dynamic)Juniper SRX templates Juniper SRX templates
Juniper J-SeriesJunOS 10.4r9 (static)
JunOS 11.4 (dynamic)Juniper J-series templates Juniper J-series templates
Juniper ISGScreenOS 6.3 (static and
dynamic)Juniper ISG templates Juniper ISG templates
Juniper SSGScreenOS 6.2 (static and
dynamic)Juniper SSG templates Juniper SSG templates
Watchguard All Fireware XTM v11.x Configuration instructions Not compatible
F5 BIG-IP series N/A Configuration instructions Not compatible
Citrix
CloudBridge MPX
appliance or VPX virtual
appliance
N/A Integration instructions Not compatible
MicrosoftRouting and Remote
Access ServiceWindows Server 2012 Not compatible
Routing and Remote Access Service
templates
http://msdn.microsoft.com/en-us/library/windowsazure/jj156075.aspx
Cloud Service
Public VIP = xxx.xxx.xxx.xxx
FQDN = <hostname>.cloudapp.net
VM VM VM
Private DIP = yyy.yyy.yyy.yyy
FQDN = <computername>.domain.com
Load Balancer
Azure 仮想ネットワーク
VPN GW
VIPが付与されるタイミング
• Cloud Service 内にインスタンスが作成されたとき
VIP がリリースされるタイミング
• Cloud Service 内のすべてのインスタンスが削除された場合
手動で削除した場合
フォールトドメインが故障した場合
フォールトドメインがメンテナンスされた場合
リリースされないようにするには
• 少なくとも1つのインスタンスを維持する
全てのインスタンスを同時に削除しない
可用性セットを設定し、フォールトドメイン故障の影響を最小限にする
Internet
Site to Site VPN 接続
Windows AzureSoftware Load Balancer
VIP
DIP DIP DIP DIP
Internet
Windows AzureSoftware Load Balancer
VIP
Cloud Service
AD FS
Cloud Service Cloud ServiceACL Rules
AD FS は全力で守る!
DMZ Internal
AD FS
Internet Internet
Site to Site 接続
Windows AzureSoftware Load Balancer
Windows AzureSoftware Load Balancer
VIP1 VIP2
DIP DIP DIP DIP
Cloud Service Cloud Service Cloud ServiceACL Rules
DMZ Internal
• IP アドレス
DHCP のまま利用(IaaS 上では静的IPアドレスは使用できない)
一度リースされたアドレスは VM が廃棄されない限り永続される
• DNS
AD DS と同時に DNS もインストール
Virtual Network に当該 DNS を設定する
Windows Azure の内部 DNS は使用できない
• DISK
C: OS
D: テンポラリ
E:~
• 通信課金について
課金対象は Azure → オンプレミス方向のみ
RODC(Read-Only Domain Controller)→ DC への通信は発生しない
自身で追加し、
キャッシュをオフ
既定のディスク
Active Directoryのデータベース用ディスクとして使用
読み取り専用のドメインコントローラー
• 通常のドメインコントローラーからの複製ターゲットを選択できる
• PII(Personally identifiable information)をフィルタ
• パスワード同期の要否を選択可能
• 認証したユーザーのパスワードはキャッシュされる
• パスワード同期を無効にした場合、Site-to-Site VPN ダウン時には認証が不可
• [RODC] → [通常のDC] 方向の複製は発生しない
• DC 間複製の通信課金 0
複製
フィルター
RWDC RODC
必要最小限の情報のみ複製
ReadOnly
DIP DIP
Azure VNET
• Virtual Network は独立したサブネットとする
• Virtual Network ごとにサイト作成
• サイト間の複製間隔を調整Ja
pan
East
Reg
ion
複製サイト
DIP DIP
Azure VNET
Jap
an
West
Reg
ion
サイト
サイト
Internet
Site to Site 接続
Windows AzureSoftware Load Balancer
Internet
Windows AzureSoftware Load Balancer
Cloud Service
AD FS
Cloud Service Cloud Service
DMZ Internal
VPN Device
SaaSWS-Fed.
信頼関係
• Active Directory 認証が必要なサービスを IaaS に展開するとき
• SharePoint Server
• SQL Server
• Oracle
• その他認証が必要な WEB サービス等
is better than
構築手順書は後日公開します
http://technet.microsoft.com/ja-jp/windowsserver/jj649374