狠狠撸

狠狠撸Share a Scribd company logo

20171011冲最新のハイブリッド滨顿管理基盘パターン

?
?
ID-Based Security イニシアティブ
ID-Based Security イニシアティブ

これまでハイブリッドID基盤を構築する場合にはADFSが大きな役割を果たしてきましたが、冗長性や運用などの負荷がかかっていました。昨今はパススルー認証など新しいテクノロジーにより ADFS を配置しなくても、ハイブリッド認証基盤を構築することができるようになってきています。 本セッションではハイブリッドIDを実現する最新の認証基盤のデザインパターンについてご説明いたします。

1 of 20
Downloaded 82 times
? 2017 Microsoft Corporation. All rights 日本マイクロソフト株式会社 パートナー事業本部 パートナー技術統括本部 クラウドソリューションアーキテクト 青木祐二 最新のハイブリッド ID 管理基盤パターン
? 2017 Microsoft Corporation. All rights 本セッションのゴール ? 最新のクラウド認証方式 (パターン) の違いを理解する ? それぞれのパターンの特徴 (選び方) や注意事項を理解する 2
? 2017 Microsoft Corporation. All rights SaaS アプリ認証の構成パターン 3 Azure AD 単体 オンプレミスとの連携 (ハイブリッド ID) オンプレミス
? 2017 Microsoft Corporation. All rights ハイブリッド環境の認証方式の進化 ハイブリッド環境の認証方式に以下、2つの機能が追加 これによりADFSを使わない実装の簡単な構成が可能となる ? シームレスシングルサインオン 社内ネットワーク上のPC(Active Directory管理下)からADFSを使わずに Office 365にシングルサインオンする機能。 ? パススルー認証 社外のネットワークからOffice 365にアクセスしたときに、認証をAzure AD ではなく社内のActive Directoryで行う機能。 4
? 2017 Microsoft Corporation. All rights SaaS アプリ認証の構成パターン 5 Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ同期 (パスワードハッシュ含む) Azure Active Directory Active Directory Office 365 SaaS Apps Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ 同期 ADFS Azure Active Directory Office 365 SaaS Apps イントラネットイントラネットイントラネット クラウド ID パスワードハッシュ同期 + シームレス SSO パススルー認証+ シームレス SSO フェデレーション認証 ディレクトリ 同期 エージェント イントラネット DMZ DMZ DMZ DMZ Internet Internet Internet Internet
? 2017 Microsoft Corporation. All rights クラウド ID 6 特徴 ? オンプレミスの AD を利用せず、すべての認証や 接続コントロールをクラウド (Azure AD) で実施 前提条件 ? リソースがクラウドに集約され、すべての認証を Azure AD で行うことができる ? ファイルサーバー, プリンターサーバーなど、 ローカル AD (Kerberos 認証) に依存するサービスがない ? デバイス管理は MDM でカバーできる ? グループポリシーが利用できないため、デバイス管理は MDM (Intune) のポリシーで行う必要あり 上記の条件を満たせるのであれば、クラウド ID での運用が可能 Azure Active Directory Office 365 SaaS Apps クラウド ID イントラネット DMZ Internet
? 2017 Microsoft Corporation. All rights パスワードハッシュ同期 + シームレス SSO 7 Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ同期 (パスワードハッシュ含む) イントラネット パスワードハッシュ同期 + シームレス SSO DMZ Internet 特徴 ? オンプレミスに必要なサーバーが最も少ない構成 ? Azure AD Connect のみ / 冗長化不要 ? 迅速な展開が可能 ? パスワードはハッシュ化され、クラウドに同期 ? 社外からでも同一 ID / Password で認証可能 ? オンプレミスの AD への接続が途切れても、 Azure AD での認証が可能 ? 社内環境では ID / Password を入力しなくても認証可能 (シームレスシングルサインオン) ハイブリッド認証で マイクロソフトが推奨する構成
? 2017 Microsoft Corporation. All rights シームレス SSO 8 OS/ブラウザー Internet Explorer Edge Google Chrome Mozilla Firefox Safari Windows 10 あり なし あり はい* 該当なし Windows 8.1 あり 該当なし あり はい* 該当なし Windows 8 あり 該当なし あり はい* 該当なし Windows 7 あり 該当なし あり はい* 該当なし Mac OS X 該当なし 該当なし はい* はい* はい* ? オンプレミス、クラウドベースのアプリに自動サインイン ? “パスワード ハッシュ同期”または”パススルー認証”と合わせて利用可能 ? サポート対象 ? Web ブラウザー ベースのクライアント ? 最新の認証 (Modern authentication) をサポートする Office クライアント ? Kerberos 認証に対応したブラウザ ? 追加の構成が必要 https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso-quick-start#browser-considerations
? 2017 Microsoft Corporation. All rights シームレス SSO 適用状況の確認 9 AZUREADSSOACC コンピューターオブジェクトが 自動作成される Active Directory ユーザーとコンピューター Active 管理者ポータル Azure Active Directory – Azure AD Connect で 設定状況が確認可能
? 2017 Microsoft Corporation. All rights パススルー認証+ シームレス SSO 10 Azure Active Directory Active Directory Office 365 SaaS Apps イントラネット パススルー認証+ シームレス SSO ディレクトリ 同期 エージェント DMZ Internet 特徴 ? ADFS 無しで、社外から Azure AD を利用して パスワード検証が可能 ? オンプレミスでパスワードを管理 ? クラウドにパスワードハッシュを保存したくない場合 のオプション ? 単一または複数フォレストに対応 ? 展開コストをかけず、フェデレーションと同様の環境を 実現 ? Azure AD Connect による簡単な導入 ? 複雑な DMZ 要件なし
? 2017 Microsoft Corporation. All rights パススルー認証 制限事項 ? サポートシナリオ ? Web ブラウザーベースのアプリケーションへのサインイン ? 先端認証をサポートする Office 365 クライアントアプリケーションへの ユーザーサインイン ? ドメイン参加した Windows デバイス ? Azure AD Join Windows 10 デバイス ? Exchange ActiveSync のサポート ? 非サポートシナリオ ? Office 2013 以前の、レガシー Office クライアントへのサインイン ? Skype for Business client アプリケーションへのサインイン ? PowerShell v 1.0 へのユーザーサインイン (PowerShell v 2.0 の利用を推奨) ? MFA の App Password 11
? 2017 Microsoft Corporation. All rights パススルー認証 サーバー構成例 ? 動作要件 ? Windows Server 2012 R2 以降 ? Azure AD Connect バージョン : 1.1.486.0 以降 ? パススルー認証エージェント : 1.5.58.0 以降 ? 冗長構成 ? 認証エージェントサーバーを複数配置 (2-3台でほとんどの規模をカバー) 12 パススルー 認証 エージェント Domain Controller Azure AD Connect 1台目のサーバー パススルー 認証 エージェント 2台目のサーバー ポート 80 / 443
? 2017 Microsoft Corporation. All rights パスワード書き戻し 13 Tenant-specific Service Bus Relay 変更を検知 Inbound port の open は不要 Write Back AD DS SetPassword API Write Back Firewall Decrypt password by private key ? Azure AD でパスワードを“リセット/変更”した 場合、パスワードをオンプレミスに書き戻す機能 ? Azure AD Premium P1/P2 で提供 ? 以下の構成でサポートされる ? パスワードハッシュ同期 ? パススルー認証 ? フェデレーション ? 以下の操作がサポートされる ? 管理者によるリセット/変更 ? ユーザーによるリセット/変更
? 2017 Microsoft Corporation. All rights フェデレーション認証 ? 特徴 ? オンプレミス AD で認証を実施 ? アカウントポリシーなど、オンプレミスADでの管理 ? 柔軟性が高く、サードパーティ製品の相互運用性あり ? クレームルールによる高度な制御 運用負荷 ? DMZへのサーバー設置 ? サーバーの冗長構成 ? 証明書の管理 14 Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ 同期 ADFS イントラネット フェデレーション認証 DMZ Internet
? 2017 Microsoft Corporation. All rights まとめ ? 4つの認証パターン ? クラウド ID (Azure AD のみ) ? Hybrid : パスワードハッシュ同期 + パスワード SSO ? Hybrid : パススルー認証 + パスワード SSO ? Hybrid : フェデレーション (ADFS) ? パスワードハッシュ同期 /パススルー認証 / パスワード SSO は 無料の機能なので是非お試しを! ? まずはここから https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory- playbook-intro 15
? 2017 Microsoft Corporation. All rights 認証方式ごとの機能差 要望事項 パスワードハッシュ同期 パススルー認証 ADFS 社内ネットワークのPCにログインし、 SaaS へのSSOを行いたい 〇 シームレス SSO 〇 シームレス SSO 〇 オンプレの AD で認証させたい × 〇 〇 オンプレミス AD の認証ポリシーを適用したい (例 : ログオン時間制限など) × 〇 〇 多要素認証を行いたい (Azure MFA) 〇 〇 〇 多要素認証を行いたい (オンプレミス MFA) × × 〇 端末の接続制限 (デバイス制限など) 〇 Azure AD Conditional Access 〇 Azure AD Conditional Access 〇 ADFS クレームルール 16
? 2017 Microsoft Corporation. All rights 比較 (インフラ&運用) パスワードハッシュ同期 パススルー認証 フェデレーション (ADFS) サーバー台数 最小: 1 推奨: 2 (+ステージングサーバー) 最小: 1 推奨 : 2 for HA 最小: 1 推奨: 2 for HA DMZ への展開が必要か NO NO YES(WAP) 最小:1 推奨: 2 for HA 自動フェールオーバー用のHAシナ リオはあるか NO YES Service Bus Relay YES ロードバランサ SSL は必須か NO NO YES クラウドからオンプレミスのサー バーを監視できるか Connect Health (Premium) Partial Connect Health (Premium) 17
? 2017 Microsoft Corporation. All rights 比較 (認証) パスワードハッシュ同期 パススルー認証 フェデレーション (ADFS) AD - Password Sign-in YES YES YES AD - Desktop SSO YES YES YES AD - Soft Certificates (MDM or GPO provisioned) NO NO YES AD - Smart Card NO NO YES AD - Fail Auth if user is disabled Partial. Typically up to 30 mins for sync cycle to complete Immediate Immediate AD - Fail Auth if user’s password has expired NO YES YES AD - Supports users in multiple trusted AD forests YES YES YES AD - Supports users in multiple untrusted AD forests YES NO YES (2016) untrusted forest can be configured as an LDAP directory 3rd party LDAP - Password sign- in See note 4 NO NO YES (2016) Authenticator App as primary Sign-in (password less) NO NO YES (2016) 18
? 2017 Microsoft Corporation. All rights 参考情報 ? Choose the right sign-in option to connect to Azure AD & Office 365 https://blogs.msdn.microsoft.com/samueld/2017/06/13/choosing-the-right-sign- in-option-to-connect-to-azure-ad-office-365/ ? Azure AD Connect のシングル サインオン & パススルー認証 (プレビュー) によるクラウド完結のユーザー認証インフラの実現 https://blogs.technet.microsoft.com/office365-tech- japan/2017/03/08/aadconnect-sso-and-pass-through-authentication/ 19
? 2017 Microsoft Corporation. All rights

More Related Content

20171011冲最新のハイブリッド滨顿管理基盘パターン

  • 1. ? 2017 Microsoft Corporation. All rights 日本マイクロソフト株式会社 パートナー事業本部 パートナー技術統括本部 クラウドソリューションアーキテクト 青木祐二 最新のハイブリッド ID 管理基盤パターン
  • 2. ? 2017 Microsoft Corporation. All rights 本セッションのゴール ? 最新のクラウド認証方式 (パターン) の違いを理解する ? それぞれのパターンの特徴 (選び方) や注意事項を理解する 2
  • 3. ? 2017 Microsoft Corporation. All rights SaaS アプリ認証の構成パターン 3 Azure AD 単体 オンプレミスとの連携 (ハイブリッド ID) オンプレミス
  • 4. ? 2017 Microsoft Corporation. All rights ハイブリッド環境の認証方式の進化 ハイブリッド環境の認証方式に以下、2つの機能が追加 これによりADFSを使わない実装の簡単な構成が可能となる ? シームレスシングルサインオン 社内ネットワーク上のPC(Active Directory管理下)からADFSを使わずに Office 365にシングルサインオンする機能。 ? パススルー認証 社外のネットワークからOffice 365にアクセスしたときに、認証をAzure AD ではなく社内のActive Directoryで行う機能。 4
  • 5. ? 2017 Microsoft Corporation. All rights SaaS アプリ認証の構成パターン 5 Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ同期 (パスワードハッシュ含む) Azure Active Directory Active Directory Office 365 SaaS Apps Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ 同期 ADFS Azure Active Directory Office 365 SaaS Apps イントラネットイントラネットイントラネット クラウド ID パスワードハッシュ同期 + シームレス SSO パススルー認証+ シームレス SSO フェデレーション認証 ディレクトリ 同期 エージェント イントラネット DMZ DMZ DMZ DMZ Internet Internet Internet Internet
  • 6. ? 2017 Microsoft Corporation. All rights クラウド ID 6 特徴 ? オンプレミスの AD を利用せず、すべての認証や 接続コントロールをクラウド (Azure AD) で実施 前提条件 ? リソースがクラウドに集約され、すべての認証を Azure AD で行うことができる ? ファイルサーバー, プリンターサーバーなど、 ローカル AD (Kerberos 認証) に依存するサービスがない ? デバイス管理は MDM でカバーできる ? グループポリシーが利用できないため、デバイス管理は MDM (Intune) のポリシーで行う必要あり 上記の条件を満たせるのであれば、クラウド ID での運用が可能 Azure Active Directory Office 365 SaaS Apps クラウド ID イントラネット DMZ Internet
  • 7. ? 2017 Microsoft Corporation. All rights パスワードハッシュ同期 + シームレス SSO 7 Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ同期 (パスワードハッシュ含む) イントラネット パスワードハッシュ同期 + シームレス SSO DMZ Internet 特徴 ? オンプレミスに必要なサーバーが最も少ない構成 ? Azure AD Connect のみ / 冗長化不要 ? 迅速な展開が可能 ? パスワードはハッシュ化され、クラウドに同期 ? 社外からでも同一 ID / Password で認証可能 ? オンプレミスの AD への接続が途切れても、 Azure AD での認証が可能 ? 社内環境では ID / Password を入力しなくても認証可能 (シームレスシングルサインオン) ハイブリッド認証で マイクロソフトが推奨する構成
  • 8. ? 2017 Microsoft Corporation. All rights シームレス SSO 8 OS/ブラウザー Internet Explorer Edge Google Chrome Mozilla Firefox Safari Windows 10 あり なし あり はい* 該当なし Windows 8.1 あり 該当なし あり はい* 該当なし Windows 8 あり 該当なし あり はい* 該当なし Windows 7 あり 該当なし あり はい* 該当なし Mac OS X 該当なし 該当なし はい* はい* はい* ? オンプレミス、クラウドベースのアプリに自動サインイン ? “パスワード ハッシュ同期”または”パススルー認証”と合わせて利用可能 ? サポート対象 ? Web ブラウザー ベースのクライアント ? 最新の認証 (Modern authentication) をサポートする Office クライアント ? Kerberos 認証に対応したブラウザ ? 追加の構成が必要 https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso-quick-start#browser-considerations
  • 9. ? 2017 Microsoft Corporation. All rights シームレス SSO 適用状況の確認 9 AZUREADSSOACC コンピューターオブジェクトが 自動作成される Active Directory ユーザーとコンピューター Active 管理者ポータル Azure Active Directory – Azure AD Connect で 設定状況が確認可能
  • 10. ? 2017 Microsoft Corporation. All rights パススルー認証+ シームレス SSO 10 Azure Active Directory Active Directory Office 365 SaaS Apps イントラネット パススルー認証+ シームレス SSO ディレクトリ 同期 エージェント DMZ Internet 特徴 ? ADFS 無しで、社外から Azure AD を利用して パスワード検証が可能 ? オンプレミスでパスワードを管理 ? クラウドにパスワードハッシュを保存したくない場合 のオプション ? 単一または複数フォレストに対応 ? 展開コストをかけず、フェデレーションと同様の環境を 実現 ? Azure AD Connect による簡単な導入 ? 複雑な DMZ 要件なし
  • 11. ? 2017 Microsoft Corporation. All rights パススルー認証 制限事項 ? サポートシナリオ ? Web ブラウザーベースのアプリケーションへのサインイン ? 先端認証をサポートする Office 365 クライアントアプリケーションへの ユーザーサインイン ? ドメイン参加した Windows デバイス ? Azure AD Join Windows 10 デバイス ? Exchange ActiveSync のサポート ? 非サポートシナリオ ? Office 2013 以前の、レガシー Office クライアントへのサインイン ? Skype for Business client アプリケーションへのサインイン ? PowerShell v 1.0 へのユーザーサインイン (PowerShell v 2.0 の利用を推奨) ? MFA の App Password 11
  • 12. ? 2017 Microsoft Corporation. All rights パススルー認証 サーバー構成例 ? 動作要件 ? Windows Server 2012 R2 以降 ? Azure AD Connect バージョン : 1.1.486.0 以降 ? パススルー認証エージェント : 1.5.58.0 以降 ? 冗長構成 ? 認証エージェントサーバーを複数配置 (2-3台でほとんどの規模をカバー) 12 パススルー 認証 エージェント Domain Controller Azure AD Connect 1台目のサーバー パススルー 認証 エージェント 2台目のサーバー ポート 80 / 443
  • 13. ? 2017 Microsoft Corporation. All rights パスワード書き戻し 13 Tenant-specific Service Bus Relay 変更を検知 Inbound port の open は不要 Write Back AD DS SetPassword API Write Back Firewall Decrypt password by private key ? Azure AD でパスワードを“リセット/変更”した 場合、パスワードをオンプレミスに書き戻す機能 ? Azure AD Premium P1/P2 で提供 ? 以下の構成でサポートされる ? パスワードハッシュ同期 ? パススルー認証 ? フェデレーション ? 以下の操作がサポートされる ? 管理者によるリセット/変更 ? ユーザーによるリセット/変更
  • 14. ? 2017 Microsoft Corporation. All rights フェデレーション認証 ? 特徴 ? オンプレミス AD で認証を実施 ? アカウントポリシーなど、オンプレミスADでの管理 ? 柔軟性が高く、サードパーティ製品の相互運用性あり ? クレームルールによる高度な制御 運用負荷 ? DMZへのサーバー設置 ? サーバーの冗長構成 ? 証明書の管理 14 Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ 同期 ADFS イントラネット フェデレーション認証 DMZ Internet
  • 15. ? 2017 Microsoft Corporation. All rights まとめ ? 4つの認証パターン ? クラウド ID (Azure AD のみ) ? Hybrid : パスワードハッシュ同期 + パスワード SSO ? Hybrid : パススルー認証 + パスワード SSO ? Hybrid : フェデレーション (ADFS) ? パスワードハッシュ同期 /パススルー認証 / パスワード SSO は 無料の機能なので是非お試しを! ? まずはここから https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory- playbook-intro 15
  • 16. ? 2017 Microsoft Corporation. All rights 認証方式ごとの機能差 要望事項 パスワードハッシュ同期 パススルー認証 ADFS 社内ネットワークのPCにログインし、 SaaS へのSSOを行いたい 〇 シームレス SSO 〇 シームレス SSO 〇 オンプレの AD で認証させたい × 〇 〇 オンプレミス AD の認証ポリシーを適用したい (例 : ログオン時間制限など) × 〇 〇 多要素認証を行いたい (Azure MFA) 〇 〇 〇 多要素認証を行いたい (オンプレミス MFA) × × 〇 端末の接続制限 (デバイス制限など) 〇 Azure AD Conditional Access 〇 Azure AD Conditional Access 〇 ADFS クレームルール 16
  • 17. ? 2017 Microsoft Corporation. All rights 比較 (インフラ&運用) パスワードハッシュ同期 パススルー認証 フェデレーション (ADFS) サーバー台数 最小: 1 推奨: 2 (+ステージングサーバー) 最小: 1 推奨 : 2 for HA 最小: 1 推奨: 2 for HA DMZ への展開が必要か NO NO YES(WAP) 最小:1 推奨: 2 for HA 自動フェールオーバー用のHAシナ リオはあるか NO YES Service Bus Relay YES ロードバランサ SSL は必須か NO NO YES クラウドからオンプレミスのサー バーを監視できるか Connect Health (Premium) Partial Connect Health (Premium) 17
  • 18. ? 2017 Microsoft Corporation. All rights 比較 (認証) パスワードハッシュ同期 パススルー認証 フェデレーション (ADFS) AD - Password Sign-in YES YES YES AD - Desktop SSO YES YES YES AD - Soft Certificates (MDM or GPO provisioned) NO NO YES AD - Smart Card NO NO YES AD - Fail Auth if user is disabled Partial. Typically up to 30 mins for sync cycle to complete Immediate Immediate AD - Fail Auth if user’s password has expired NO YES YES AD - Supports users in multiple trusted AD forests YES YES YES AD - Supports users in multiple untrusted AD forests YES NO YES (2016) untrusted forest can be configured as an LDAP directory 3rd party LDAP - Password sign- in See note 4 NO NO YES (2016) Authenticator App as primary Sign-in (password less) NO NO YES (2016) 18
  • 19. ? 2017 Microsoft Corporation. All rights 参考情報 ? Choose the right sign-in option to connect to Azure AD & Office 365 https://blogs.msdn.microsoft.com/samueld/2017/06/13/choosing-the-right-sign- in-option-to-connect-to-azure-ad-office-365/ ? Azure AD Connect のシングル サインオン & パススルー認証 (プレビュー) によるクラウド完結のユーザー認証インフラの実現 https://blogs.technet.microsoft.com/office365-tech- japan/2017/03/08/aadconnect-sso-and-pass-through-authentication/ 19
  • 20. ? 2017 Microsoft Corporation. All rights