Embed Size (px)
DESCRIPTION
2014.12.13 System Center Users Group Japan 第11回勉強会 LT登壇時のコンテンツ
Citation preview
ADFS の vNext
System Center Users Group Japan
2014.12.13
第11回 勉強会 LT
自己紹介
宮川 麻里(みやかわ まり)
Microsoft 認定トレーナー(㈱IPイノベーションズ)
System Center Users Group Japan 所属
主な担当コース
Windows Server 関連(運用管理、Active Directory)
Office 365 (Office 365 ID とサービスの管理 #20346)
SQL Server / Exchange Server・・・など
@ITに共著にて記事掲載中 「Office 365 運用管理入門」
ADFSのバージョン
ADFSバージョン Windows Server バージョン
ADFS 2.0Windows Server 2008
Windows Server 2008 R2
ADFS 2.1 Windows Server 2012
ADFS 3.0 Windows Server 2012 R2
ADFS 3.1 (?)
ADFS 4.0 (?)Windows Server vNext
ADFSのバージョン
ADFS 管理画面
ADFS の vNext は何が変わったか
1.Active Directory 以外の認証サポート
2.クレーム属性の種類が増加
3.デバイス登録サービス(DRS)の変更
4.Policy Template
5.Web Application Proxy 機能拡張
1.ADDS以外の認証もサポート
ADFSADDS
某企業
Kerberos
Kerberosなどの認証結果によりトークンを発行。プロトコルを利用してクラウドサービスへトークンを受け渡す。
ADFSの役割・・・IDの連携
SAML2.0
WS-Federation
OpenID
OAuth
トークン
プロトコル田中さん
田中さん
1.ADDS 以外の認証もサポート
• ADLDS
• Apache DS
• IBM Tivoli DS
• Novell DS
• Open LDAP
• Open DJ
• Open DS
• Radiant Logic Virtual DS
• Sun ONE v6, v7, v11
ADFS の vNext は何が変わったか
1.Active Directory 以外の認証サポート
2.クレーム属性情報の種類が増加
3.デバイス登録サービス(DRS)の変更
4.Policy Template
5.Web Application Proxy 機能拡張
2.クレーム属性情報の種類の増加
クレームとは? トークンとは?
名前
メールアドレス
部署名
…
トークン
クレーム
(属性)
2.クレーム属性情報の種類の増加
クレームとして利用できる属性情報は要求記述に定義
ADFS管理ツール-[サービス]-[要求記述]
2.クレーム属性情報の種類の増加
名前 要求の種類
Account Store http://schemas.microsoft.com/ws/2014/01/identity/claims/
accountstore
Anchor Claim Type http://schemas.microsoft.com/ws/2014/01/identity/claims/
anchorclaimtype
OAuth Client Id http://schemas.microsoft.com/2014/01/clientcontext/
claims/appid
OAuth Client Type http://schemas.microsoft.com/2014/01/clientcontext/
claims/apptype
Device Management Status http://schemas.microsoft.com/2014/02/devicecontext/
claims/mdmstatus
Device Usage Time http://schemas.microsoft.com/2014/02/deviceusagetime
Is Known Device http://schemas.microsoft.com/2014/02/devicecontext/
claims/isknown
Persistent Single Sign On http://schemas.microsoft.com/2014/03/psso
Scope of access http://schemas.microsoft.com/identity/claims/scope
ADFS の vNext は何が変わったか
1.Active Directory 以外の認証サポート
2.クレーム属性の種類が増加
3.デバイス登録サービス(DRS)の変更
4.Policy Template
5.Web Application Proxy 機能拡張
デバイス認証
3.デバイス登録サービス(DRS)の変更
デバイス認証
発行承認規則
・・
確認がとれるとデバイスクレームを含むトークンを発行
デバイス情報を確認
Work Place join
Office 365利用可
クラウドサービスへのアクセスを要求
Windows Server 2012 R2
デバイス認証の有効化
3.デバイス登録サービス(DRS)の変更
Initialize-ADDeviceRegistration
Enable-AdfsDeviceRegistration
Active Directoryにデバイス情報を登録可
GUIで設定可能
3.デバイス登録サービス(DRS)の変更
ADFS
-Service
-Device Registration
Configure Device Registration をクリック
Active Directoryへデバイス情報登録が完了
3.デバイス登録サービス(DRS)の変更
ADFS の vNext は何が変わったか
1.Active Directory 以外の認証サポート
2.クレーム属性の種類が増加
3.デバイス登録サービス(DRS)の変更
4.Policy Template
5.Web Application Proxy 機能拡張
4.Policy Template
「ADFS」-「Authentication Policeis」-「Policy Template」
ADFS の vNext は何が変わったか
1.Active Directory 以外の認証サポート
2.クレーム属性の種類が増加
3.デバイス登録サービス(DRS)の変更
4.Policy Template
5.Web Application Proxy 機能拡張
5.Web Application Proxy 機能拡張
DMZ 社内ネットワーク
Web ApplicationProxy
ADFS
WebServer
(事前認証あり)
Windows Server 2012 R2
5.Web Application Proxy 機能拡張
• HTTP 基本認証をサポート
• ワイルドカードによる外部URLの指定
• HTTPアクセスをHTTPSへ自動リダイレクト
• パススルー公開にてHTTPSから HTTP URL
でアプリケーションを公開可能
など
まとめ
※Technical Preview とは
開発初期段階のプレビューです。
バグあり、未実装機能多数、変更の可能性も
多々ありえます。
※ADFSは少しづつ便利になってきている印象です。製品版をお楽しみに!
