Abstract image of a woman sitting on books and studying on a laptop

20171011_最新のハイブリッドID管理基盤パターン

ID-Based Security イニシアティブ, profile picture
ID-Based Security イニシアティブ

これまでハイブリッドID基盤を構築する場合にはADFSが大きな役割を果たしてきましたが、冗長性や運用などの負荷がかかっていました。昨今はパススルー認証など新しいテクノロジーにより ADFS を配置しなくても、ハイブリッド認証基盤を構築することができるようになってきています。 本セッションではハイブリッドIDを実現する最新の認証基盤のデザインパターンについてご説明いたします。

Technology
1 of 20
Downloaded 82 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
© 2017 Microsoft Corporation. All rights 日本マイクロソフト株式会社 パートナー事業本部 パートナー技術統括本部 クラウドソリューションアーキテクト 青木祐二 最新のハイブリッド ID 管理基盤パターン
© 2017 Microsoft Corporation. All rights 本セッションのゴール  最新のクラウド認証方式 (パターン) の違いを理解する  それぞれのパターンの特徴 (選び方) や注意事項を理解する 2
© 2017 Microsoft Corporation. All rights SaaS アプリ認証の構成パターン 3 Azure AD 単体 オンプレミスとの連携 (ハイブリッド ID) オンプレミス
© 2017 Microsoft Corporation. All rights ハイブリッド環境の認証方式の進化 ハイブリッド環境の認証方式に以下、2つの機能が追加 これによりADFSを使わない実装の簡単な構成が可能となる • シームレスシングルサインオン 社内ネットワーク上のPC(Active Directory管理下)からADFSを使わずに Office 365にシングルサインオンする機能。 • パススルー認証 社外のネットワークからOffice 365にアクセスしたときに、認証をAzure AD ではなく社内のActive Directoryで行う機能。 4
© 2017 Microsoft Corporation. All rights SaaS アプリ認証の構成パターン 5 Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ同期 (パスワードハッシュ含む) Azure Active Directory Active Directory Office 365 SaaS Apps Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ 同期 ADFS Azure Active Directory Office 365 SaaS Apps イントラネットイントラネットイントラネット クラウド ID パスワードハッシュ同期 + シームレス SSO パススルー認証+ シームレス SSO フェデレーション認証 ディレクトリ 同期 エージェント イントラネット DMZ DMZ DMZ DMZ Internet Internet Internet Internet
© 2017 Microsoft Corporation. All rights クラウド ID 6 特徴 • オンプレミスの AD を利用せず、すべての認証や 接続コントロールをクラウド (Azure AD) で実施 前提条件 • リソースがクラウドに集約され、すべての認証を Azure AD で行うことができる • ファイルサーバー, プリンターサーバーなど、 ローカル AD (Kerberos 認証) に依存するサービスがない • デバイス管理は MDM でカバーできる • グループポリシーが利用できないため、デバイス管理は MDM (Intune) のポリシーで行う必要あり 上記の条件を満たせるのであれば、クラウド ID での運用が可能 Azure Active Directory Office 365 SaaS Apps クラウド ID イントラネット DMZ Internet
© 2017 Microsoft Corporation. All rights パスワードハッシュ同期 + シームレス SSO 7 Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ同期 (パスワードハッシュ含む) イントラネット パスワードハッシュ同期 + シームレス SSO DMZ Internet 特徴 • オンプレミスに必要なサーバーが最も少ない構成 • Azure AD Connect のみ / 冗長化不要 • 迅速な展開が可能 • パスワードはハッシュ化され、クラウドに同期 • 社外からでも同一 ID / Password で認証可能 • オンプレミスの AD への接続が途切れても、 Azure AD での認証が可能 • 社内環境では ID / Password を入力しなくても認証可能 (シームレスシングルサインオン) ハイブリッド認証で マイクロソフトが推奨する構成
© 2017 Microsoft Corporation. All rights シームレス SSO 8 OS/ブラウザー Internet Explorer Edge Google Chrome Mozilla Firefox Safari Windows 10 あり なし あり はい* 該当なし Windows 8.1 あり 該当なし あり はい* 該当なし Windows 8 あり 該当なし あり はい* 該当なし Windows 7 あり 該当なし あり はい* 該当なし Mac OS X 該当なし 該当なし はい* はい* はい*  オンプレミス、クラウドベースのアプリに自動サインイン  “パスワード ハッシュ同期”または”パススルー認証”と合わせて利用可能  サポート対象 ₋ Web ブラウザー ベースのクライアント ₋ 最新の認証 (Modern authentication) をサポートする Office クライアント ₋ Kerberos 認証に対応したブラウザ • 追加の構成が必要 https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso-quick-start#browser-considerations
© 2017 Microsoft Corporation. All rights シームレス SSO 適用状況の確認 9 AZUREADSSOACC コンピューターオブジェクトが 自動作成される Active Directory ユーザーとコンピューター Active 管理者ポータル Azure Active Directory – Azure AD Connect で 設定状況が確認可能
© 2017 Microsoft Corporation. All rights パススルー認証+ シームレス SSO 10 Azure Active Directory Active Directory Office 365 SaaS Apps イントラネット パススルー認証+ シームレス SSO ディレクトリ 同期 エージェント DMZ Internet 特徴 • ADFS 無しで、社外から Azure AD を利用して パスワード検証が可能 • オンプレミスでパスワードを管理 • クラウドにパスワードハッシュを保存したくない場合 のオプション • 単一または複数フォレストに対応 • 展開コストをかけず、フェデレーションと同様の環境を 実現 • Azure AD Connect による簡単な導入 • 複雑な DMZ 要件なし
© 2017 Microsoft Corporation. All rights パススルー認証 制限事項  サポートシナリオ ₋ Web ブラウザーベースのアプリケーションへのサインイン ₋ 先端認証をサポートする Office 365 クライアントアプリケーションへの ユーザーサインイン ₋ ドメイン参加した Windows デバイス ₋ Azure AD Join Windows 10 デバイス ₋ Exchange ActiveSync のサポート  非サポートシナリオ ₋ Office 2013 以前の、レガシー Office クライアントへのサインイン ₋ Skype for Business client アプリケーションへのサインイン ₋ PowerShell v 1.0 へのユーザーサインイン (PowerShell v 2.0 の利用を推奨) ₋ MFA の App Password 11
© 2017 Microsoft Corporation. All rights パススルー認証 サーバー構成例  動作要件 ₋ Windows Server 2012 R2 以降 ₋ Azure AD Connect バージョン : 1.1.486.0 以降 ₋ パススルー認証エージェント : 1.5.58.0 以降  冗長構成 ₋ 認証エージェントサーバーを複数配置 (2-3台でほとんどの規模をカバー) 12 パススルー 認証 エージェント Domain Controller Azure AD Connect 1台目のサーバー パススルー 認証 エージェント 2台目のサーバー ポート 80 / 443
© 2017 Microsoft Corporation. All rights パスワード書き戻し 13 Tenant-specific Service Bus Relay 変更を検知 Inbound port の open は不要 Write Back AD DS SetPassword API Write Back Firewall Decrypt password by private key • Azure AD でパスワードを“リセット/変更”した 場合、パスワードをオンプレミスに書き戻す機能 • Azure AD Premium P1/P2 で提供 • 以下の構成でサポートされる • パスワードハッシュ同期 • パススルー認証 • フェデレーション • 以下の操作がサポートされる • 管理者によるリセット/変更 • ユーザーによるリセット/変更
© 2017 Microsoft Corporation. All rights フェデレーション認証  特徴 ₋ オンプレミス AD で認証を実施 ₋ アカウントポリシーなど、オンプレミスADでの管理 ₋ 柔軟性が高く、サードパーティ製品の相互運用性あり ₋ クレームルールによる高度な制御 運用負荷 ₋ DMZへのサーバー設置 ₋ サーバーの冗長構成 ₋ 証明書の管理 14 Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ 同期 ADFS イントラネット フェデレーション認証 DMZ Internet
© 2017 Microsoft Corporation. All rights まとめ  4つの認証パターン ₋ クラウド ID (Azure AD のみ) ₋ Hybrid : パスワードハッシュ同期 + パスワード SSO ₋ Hybrid : パススルー認証 + パスワード SSO ₋ Hybrid : フェデレーション (ADFS)  パスワードハッシュ同期 /パススルー認証 / パスワード SSO は 無料の機能なので是非お試しを!  まずはここから https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory- playbook-intro 15
© 2017 Microsoft Corporation. All rights 認証方式ごとの機能差 要望事項 パスワードハッシュ同期 パススルー認証 ADFS 社内ネットワークのPCにログインし、 SaaS へのSSOを行いたい 〇 シームレス SSO 〇 シームレス SSO 〇 オンプレの AD で認証させたい × 〇 〇 オンプレミス AD の認証ポリシーを適用したい (例 : ログオン時間制限など) × 〇 〇 多要素認証を行いたい (Azure MFA) 〇 〇 〇 多要素認証を行いたい (オンプレミス MFA) × × 〇 端末の接続制限 (デバイス制限など) 〇 Azure AD Conditional Access 〇 Azure AD Conditional Access 〇 ADFS クレームルール 16
© 2017 Microsoft Corporation. All rights 比較 (インフラ&運用) パスワードハッシュ同期 パススルー認証 フェデレーション (ADFS) サーバー台数 最小: 1 推奨: 2 (+ステージングサーバー) 最小: 1 推奨 : 2 for HA 最小: 1 推奨: 2 for HA DMZ への展開が必要か NO NO YES(WAP) 最小:1 推奨: 2 for HA 自動フェールオーバー用のHAシナ リオはあるか NO YES Service Bus Relay YES ロードバランサ SSL は必須か NO NO YES クラウドからオンプレミスのサー バーを監視できるか Connect Health (Premium) Partial Connect Health (Premium) 17
© 2017 Microsoft Corporation. All rights 比較 (認証) パスワードハッシュ同期 パススルー認証 フェデレーション (ADFS) AD - Password Sign-in YES YES YES AD - Desktop SSO YES YES YES AD - Soft Certificates (MDM or GPO provisioned) NO NO YES AD - Smart Card NO NO YES AD - Fail Auth if user is disabled Partial. Typically up to 30 mins for sync cycle to complete Immediate Immediate AD - Fail Auth if user’s password has expired NO YES YES AD - Supports users in multiple trusted AD forests YES YES YES AD - Supports users in multiple untrusted AD forests YES NO YES (2016) untrusted forest can be configured as an LDAP directory 3rd party LDAP - Password sign- in See note 4 NO NO YES (2016) Authenticator App as primary Sign-in (password less) NO NO YES (2016) 18
© 2017 Microsoft Corporation. All rights 参考情報  Choose the right sign-in option to connect to Azure AD & Office 365 https://blogs.msdn.microsoft.com/samueld/2017/06/13/choosing-the-right-sign- in-option-to-connect-to-azure-ad-office-365/  Azure AD Connect のシングル サインオン & パススルー認証 (プレビュー) によるクラウド完結のユーザー認証インフラの実現 https://blogs.technet.microsoft.com/office365-tech- japan/2017/03/08/aadconnect-sso-and-pass-through-authentication/ 19
© 2017 Microsoft Corporation. All rights

More Related Content

PDF
20171201_01_idsi_現状の認証システムに関連する機能
ID-Based Security イニシアティブ
 
PDF
ID Managementワークショップ Azure AD SaaS 連携 Tips & Tricks_第2回全体ミーティング
ID-Based Security イニシアティブ
 
PDF
AzureAD 最新情報とAzureAD B2Bの使い方_ID-based Security イニシアティブ 第4回全体ミーティング
ID-Based Security イニシアティブ
 
PDF
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
ID-Based Security イニシアティブ
 
PDF
Azure Active Directory 最新活用シナリオアップデート
ID-Based Security イニシアティブ
 
PPTX
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
junichi anno
 
PDF
クラウドにおける Windows Azure Active Directory の役割
junichi anno
 
PPTX
Azure Active Directory 1枚資料 20151125版
junichi anno
 
20171201_01_idsi_現状の認証システムに関連する機能
ID-Based Security イニシアティブ
 
ID Managementワークショップ Azure AD SaaS 連携 Tips & Tricks_第2回全体ミーティング
ID-Based Security イニシアティブ
 
AzureAD 最新情報とAzureAD B2Bの使い方_ID-based Security イニシアティブ 第4回全体ミーティング
ID-Based Security イニシアティブ
 
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
ID-Based Security イニシアティブ
 
Azure Active Directory 最新活用シナリオアップデート
ID-Based Security イニシアティブ
 
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
junichi anno
 
クラウドにおける Windows Azure Active Directory の役割
junichi anno
 
Azure Active Directory 1枚資料 20151125版
junichi anno
 

What's hot (20)

PDF
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
Shinichiro Kosugi
 
PDF
ハイブリッド時代のID基盤構成の基礎
Naohiro Fujie
 
PDF
ADFS の vNext
Mari Miyakawa
 
PDF
Windows 10 の新機能 Azure AD Domain Join とは
Mari Miyakawa
 
PPTX
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
Shinya Yamaguchi
 
PDF
SaaS としての IDM の役割
junichi anno
 
PPTX
.NETラボ勉強会資料 Azure AD Identity Protection を知る
Shinya Yamaguchi
 
PDF
IDaaS を正しく活用するための認証基盤設計
Trainocate Japan, Ltd.
 
PPTX
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Shinya Yamaguchi
 
PDF
Sec004 cloud first、_mobile_first_におけるid
Tech Summit 2016
 
PDF
ADFS クレームルール言語 Deep Dive
Suguru Kunii
 
PPTX
Microsoft Azure のセキュリティ
junichi anno
 
PDF
Office365のIdentity管理
Naohiro Fujie
 
PDF
Sec007 条件付きアクセス
Tech Summit 2016
 
PDF
Sec010 プロトコルマニア
Tech Summit 2016
 
PDF
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
de:code 2017
 
PDF
Sec002 office 365_で実現する一歩
Tech Summit 2016
 
PDF
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
junichi anno
 
PPTX
Azure AD による Web API の 保護
junichi anno
 
PPTX
Active directoryと認証・認可
Hiroki Kamata
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
Shinichiro Kosugi
 
ハイブリッド時代のID基盤構成の基礎
Naohiro Fujie
 
ADFS の vNext
Mari Miyakawa
 
Windows 10 の新機能 Azure AD Domain Join とは
Mari Miyakawa
 
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
Shinya Yamaguchi
 
SaaS としての IDM の役割
junichi anno
 
.NETラボ勉強会資料 Azure AD Identity Protection を知る
Shinya Yamaguchi
 
IDaaS を正しく活用するための認証基盤設計
Trainocate Japan, Ltd.
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Shinya Yamaguchi
 
Sec004 cloud first、_mobile_first_におけるid
Tech Summit 2016
 
ADFS クレームルール言語 Deep Dive
Suguru Kunii
 
Microsoft Azure のセキュリティ
junichi anno
 
Office365のIdentity管理
Naohiro Fujie
 
Sec007 条件付きアクセス
Tech Summit 2016
 
Sec010 プロトコルマニア
Tech Summit 2016
 
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
de:code 2017
 
Sec002 office 365_で実現する一歩
Tech Summit 2016
 
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
junichi anno
 
Azure AD による Web API の 保護
junichi anno
 
Active directoryと認証・認可
Hiroki Kamata
 
Ad

Similar to 20171011_最新のハイブリッドID管理基盤パターン (20)

PPTX
適切な Azure AD 認証方式の選択の決め手
Yusuke Kodama
 
PDF
[Japan Tech summit 2017] SEC 004
Microsoft Tech Summit 2017
 
PDF
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
Trainocate Japan, Ltd.
 
PDF
[Japan Tech summit 2017] SEC 006
Microsoft Tech Summit 2017
 
PDF
INF-008_Azure Active Directory 最新動向 ~今後の Active Directory はどうあるべきか~
decode2016
 
PPTX
Azure Active Directory 利用開始への第一歩
Yusuke Kodama
 
PDF
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...
NHN テコラス株式会社
 
PDF
Azure ADとWindows 10によるドメイン環境の拡張
Naohiro Fujie
 
PPTX
Azure AD の新しいデバイス管理パターンを理解しよう
Yusuke Kodama
 
PPTX
Windows Phone で Active Directory 認証 2011.12.1版
junichi anno
 
PDF
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
Yusuke Kodama
 
PDF
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
decode2016
 
PDF
クラウド時代の認証保護 MicrosoftとFIDO、パスワードレスへの流れ
FIDO Alliance
 
PDF
Windows Server 2019 Active Directory related information
Mari Miyakawa
 
PDF
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Genki WATANABE
 
PDF
プロトコルから見るID連携
Naohiro Fujie
 
PPTX
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
junichi anno
 
PDF
Azure activedirectoryの最新機能の概要紹介
Tsukasa Kato
 
PDF
[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装
de:code 2017
 
PDF
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
Microsoft Azure Japan
 
適切な Azure AD 認証方式の選択の決め手
Yusuke Kodama
 
[Japan Tech summit 2017] SEC 004
Microsoft Tech Summit 2017
 
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
Trainocate Japan, Ltd.
 
[Japan Tech summit 2017] SEC 006
Microsoft Tech Summit 2017
 
INF-008_Azure Active Directory 最新動向 ~今後の Active Directory はどうあるべきか~
decode2016
 
Azure Active Directory 利用開始への第一歩
Yusuke Kodama
 
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...
NHN テコラス株式会社
 
Azure ADとWindows 10によるドメイン環境の拡張
Naohiro Fujie
 
Azure AD の新しいデバイス管理パターンを理解しよう
Yusuke Kodama
 
Windows Phone で Active Directory 認証 2011.12.1版
junichi anno
 
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
Yusuke Kodama
 
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
decode2016
 
クラウド時代の認証保護 MicrosoftとFIDO、パスワードレスへの流れ
FIDO Alliance
 
Windows Server 2019 Active Directory related information
Mari Miyakawa
 
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Genki WATANABE
 
プロトコルから見るID連携
Naohiro Fujie
 
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
junichi anno
 
Azure activedirectoryの最新機能の概要紹介
Tsukasa Kato
 
[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装
de:code 2017
 
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
Microsoft Azure Japan
 
Ad

More from ID-Based Security イニシアティブ (16)

PDF
Active Directory とシームレスにマルチに連携する多要素認証基盤の活用方法
ID-Based Security イニシアティブ
 
PDF
Intune/AADとLookout連携によるモバイル端末の管理と脅威対策
ID-Based Security イニシアティブ
 
PDF
マシンアイデンティティ保護とベナファイについて ~証明書運用が抱える危機とその対策、最近の証明書失効に紐づく大規模トラブルを鑑みて~
ID-Based Security イニシアティブ
 
PDF
ゼロ・トラストネットワークを実現する、 マイクロソフトの新しいSecurityサービスの全貌 〜 SIEM、SOCの構築をサポートするMicrosoft ...
ID-Based Security イニシアティブ
 
PDF
アプリケーションに対するアクセスの改善とセキュリティの強化_ID-based Security イニシアティブ 第4回全体ミーティング
ID-Based Security イニシアティブ
 
PDF
クラウドのセキュア利用モデルを考える_ID-based Security イニシアティブ 第4回全体ミーティング
ID-Based Security イニシアティブ
 
PDF
20180604 株式会社ディー・ディー・エス様
ID-Based Security イニシアティブ
 
PDF
40分でわかるMSセキュリティアップデート_ID-based Securityイニシアティブ第3回全体ミーティング
ID-Based Security イニシアティブ
 
PDF
ADセキュリティワークショップ WG活動報告 _第2回全体ミーティング
ID-Based Security イニシアティブ
 
PDF
サイバー攻撃ワークショップ サイバー攻撃の変遷について_公開用第2回全体ミーティング
ID-Based Security イニシアティブ
 
PDF
ご挨拶_第2回全体ミーティング
ID-Based Security イニシアティブ
 
PDF
クラウド時代のIT基盤構築 時代に合った正しいIT活用がセキュリティを容易にさせる_第2回全体ミーティング
ID-Based Security イニシアティブ
 
PDF
認証基盤ワークショップ_ 認証基盤におけるセキュリティと利便性のこれまでとこれから_第2回全体ミーティング
ID-Based Security イニシアティブ
 
PDF
20171201_02_idb_security_wg発表_p
ID-Based Security イニシアティブ
 
PDF
日本の最新セキュリティ事情
ID-Based Security イニシアティブ
 
PDF
ID-based Security イニシアティブ の活動内容
ID-Based Security イニシアティブ
 
Active Directory とシームレスにマルチに連携する多要素認証基盤の活用方法
ID-Based Security イニシアティブ
 
Intune/AADとLookout連携によるモバイル端末の管理と脅威対策
ID-Based Security イニシアティブ
 
マシンアイデンティティ保護とベナファイについて ~証明書運用が抱える危機とその対策、最近の証明書失効に紐づく大規模トラブルを鑑みて~
ID-Based Security イニシアティブ
 
ゼロ・トラストネットワークを実現する、 マイクロソフトの新しいSecurityサービスの全貌 〜 SIEM、SOCの構築をサポートするMicrosoft ...
ID-Based Security イニシアティブ
 
アプリケーションに対するアクセスの改善とセキュリティの強化_ID-based Security イニシアティブ 第4回全体ミーティング
ID-Based Security イニシアティブ
 
クラウドのセキュア利用モデルを考える_ID-based Security イニシアティブ 第4回全体ミーティング
ID-Based Security イニシアティブ
 
20180604 株式会社ディー・ディー・エス様
ID-Based Security イニシアティブ
 
40分でわかるMSセキュリティアップデート_ID-based Securityイニシアティブ第3回全体ミーティング
ID-Based Security イニシアティブ
 
ADセキュリティワークショップ WG活動報告 _第2回全体ミーティング
ID-Based Security イニシアティブ
 
サイバー攻撃ワークショップ サイバー攻撃の変遷について_公開用第2回全体ミーティング
ID-Based Security イニシアティブ
 
ご挨拶_第2回全体ミーティング
ID-Based Security イニシアティブ
 
クラウド時代のIT基盤構築 時代に合った正しいIT活用がセキュリティを容易にさせる_第2回全体ミーティング
ID-Based Security イニシアティブ
 
認証基盤ワークショップ_ 認証基盤におけるセキュリティと利便性のこれまでとこれから_第2回全体ミーティング
ID-Based Security イニシアティブ
 
20171201_02_idb_security_wg発表_p
ID-Based Security イニシアティブ
 
日本の最新セキュリティ事情
ID-Based Security イニシアティブ
 
ID-based Security イニシアティブ の活動内容
ID-Based Security イニシアティブ
 

20171011_最新のハイブリッドID管理基盤パターン

  • 1. © 2017 Microsoft Corporation. All rights 日本マイクロソフト株式会社 パートナー事業本部 パートナー技術統括本部 クラウドソリューションアーキテクト 青木祐二 最新のハイブリッド ID 管理基盤パターン
  • 2. © 2017 Microsoft Corporation. All rights 本セッションのゴール  最新のクラウド認証方式 (パターン) の違いを理解する  それぞれのパターンの特徴 (選び方) や注意事項を理解する 2
  • 3. © 2017 Microsoft Corporation. All rights SaaS アプリ認証の構成パターン 3 Azure AD 単体 オンプレミスとの連携 (ハイブリッド ID) オンプレミス
  • 4. © 2017 Microsoft Corporation. All rights ハイブリッド環境の認証方式の進化 ハイブリッド環境の認証方式に以下、2つの機能が追加 これによりADFSを使わない実装の簡単な構成が可能となる • シームレスシングルサインオン 社内ネットワーク上のPC(Active Directory管理下)からADFSを使わずに Office 365にシングルサインオンする機能。 • パススルー認証 社外のネットワークからOffice 365にアクセスしたときに、認証をAzure AD ではなく社内のActive Directoryで行う機能。 4
  • 5. © 2017 Microsoft Corporation. All rights SaaS アプリ認証の構成パターン 5 Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ同期 (パスワードハッシュ含む) Azure Active Directory Active Directory Office 365 SaaS Apps Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ 同期 ADFS Azure Active Directory Office 365 SaaS Apps イントラネットイントラネットイントラネット クラウド ID パスワードハッシュ同期 + シームレス SSO パススルー認証+ シームレス SSO フェデレーション認証 ディレクトリ 同期 エージェント イントラネット DMZ DMZ DMZ DMZ Internet Internet Internet Internet
  • 6. © 2017 Microsoft Corporation. All rights クラウド ID 6 特徴 • オンプレミスの AD を利用せず、すべての認証や 接続コントロールをクラウド (Azure AD) で実施 前提条件 • リソースがクラウドに集約され、すべての認証を Azure AD で行うことができる • ファイルサーバー, プリンターサーバーなど、 ローカル AD (Kerberos 認証) に依存するサービスがない • デバイス管理は MDM でカバーできる • グループポリシーが利用できないため、デバイス管理は MDM (Intune) のポリシーで行う必要あり 上記の条件を満たせるのであれば、クラウド ID での運用が可能 Azure Active Directory Office 365 SaaS Apps クラウド ID イントラネット DMZ Internet
  • 7. © 2017 Microsoft Corporation. All rights パスワードハッシュ同期 + シームレス SSO 7 Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ同期 (パスワードハッシュ含む) イントラネット パスワードハッシュ同期 + シームレス SSO DMZ Internet 特徴 • オンプレミスに必要なサーバーが最も少ない構成 • Azure AD Connect のみ / 冗長化不要 • 迅速な展開が可能 • パスワードはハッシュ化され、クラウドに同期 • 社外からでも同一 ID / Password で認証可能 • オンプレミスの AD への接続が途切れても、 Azure AD での認証が可能 • 社内環境では ID / Password を入力しなくても認証可能 (シームレスシングルサインオン) ハイブリッド認証で マイクロソフトが推奨する構成
  • 8. © 2017 Microsoft Corporation. All rights シームレス SSO 8 OS/ブラウザー Internet Explorer Edge Google Chrome Mozilla Firefox Safari Windows 10 あり なし あり はい* 該当なし Windows 8.1 あり 該当なし あり はい* 該当なし Windows 8 あり 該当なし あり はい* 該当なし Windows 7 あり 該当なし あり はい* 該当なし Mac OS X 該当なし 該当なし はい* はい* はい*  オンプレミス、クラウドベースのアプリに自動サインイン  “パスワード ハッシュ同期”または”パススルー認証”と合わせて利用可能  サポート対象 ₋ Web ブラウザー ベースのクライアント ₋ 最新の認証 (Modern authentication) をサポートする Office クライアント ₋ Kerberos 認証に対応したブラウザ • 追加の構成が必要 https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso-quick-start#browser-considerations
  • 9. © 2017 Microsoft Corporation. All rights シームレス SSO 適用状況の確認 9 AZUREADSSOACC コンピューターオブジェクトが 自動作成される Active Directory ユーザーとコンピューター Active 管理者ポータル Azure Active Directory – Azure AD Connect で 設定状況が確認可能
  • 10. © 2017 Microsoft Corporation. All rights パススルー認証+ シームレス SSO 10 Azure Active Directory Active Directory Office 365 SaaS Apps イントラネット パススルー認証+ シームレス SSO ディレクトリ 同期 エージェント DMZ Internet 特徴 • ADFS 無しで、社外から Azure AD を利用して パスワード検証が可能 • オンプレミスでパスワードを管理 • クラウドにパスワードハッシュを保存したくない場合 のオプション • 単一または複数フォレストに対応 • 展開コストをかけず、フェデレーションと同様の環境を 実現 • Azure AD Connect による簡単な導入 • 複雑な DMZ 要件なし
  • 11. © 2017 Microsoft Corporation. All rights パススルー認証 制限事項  サポートシナリオ ₋ Web ブラウザーベースのアプリケーションへのサインイン ₋ 先端認証をサポートする Office 365 クライアントアプリケーションへの ユーザーサインイン ₋ ドメイン参加した Windows デバイス ₋ Azure AD Join Windows 10 デバイス ₋ Exchange ActiveSync のサポート  非サポートシナリオ ₋ Office 2013 以前の、レガシー Office クライアントへのサインイン ₋ Skype for Business client アプリケーションへのサインイン ₋ PowerShell v 1.0 へのユーザーサインイン (PowerShell v 2.0 の利用を推奨) ₋ MFA の App Password 11
  • 12. © 2017 Microsoft Corporation. All rights パススルー認証 サーバー構成例  動作要件 ₋ Windows Server 2012 R2 以降 ₋ Azure AD Connect バージョン : 1.1.486.0 以降 ₋ パススルー認証エージェント : 1.5.58.0 以降  冗長構成 ₋ 認証エージェントサーバーを複数配置 (2-3台でほとんどの規模をカバー) 12 パススルー 認証 エージェント Domain Controller Azure AD Connect 1台目のサーバー パススルー 認証 エージェント 2台目のサーバー ポート 80 / 443
  • 13. © 2017 Microsoft Corporation. All rights パスワード書き戻し 13 Tenant-specific Service Bus Relay 変更を検知 Inbound port の open は不要 Write Back AD DS SetPassword API Write Back Firewall Decrypt password by private key • Azure AD でパスワードを“リセット/変更”した 場合、パスワードをオンプレミスに書き戻す機能 • Azure AD Premium P1/P2 で提供 • 以下の構成でサポートされる • パスワードハッシュ同期 • パススルー認証 • フェデレーション • 以下の操作がサポートされる • 管理者によるリセット/変更 • ユーザーによるリセット/変更
  • 14. © 2017 Microsoft Corporation. All rights フェデレーション認証  特徴 ₋ オンプレミス AD で認証を実施 ₋ アカウントポリシーなど、オンプレミスADでの管理 ₋ 柔軟性が高く、サードパーティ製品の相互運用性あり ₋ クレームルールによる高度な制御 運用負荷 ₋ DMZへのサーバー設置 ₋ サーバーの冗長構成 ₋ 証明書の管理 14 Azure Active Directory Active Directory Office 365 SaaS Apps ディレクトリ 同期 ADFS イントラネット フェデレーション認証 DMZ Internet
  • 15. © 2017 Microsoft Corporation. All rights まとめ  4つの認証パターン ₋ クラウド ID (Azure AD のみ) ₋ Hybrid : パスワードハッシュ同期 + パスワード SSO ₋ Hybrid : パススルー認証 + パスワード SSO ₋ Hybrid : フェデレーション (ADFS)  パスワードハッシュ同期 /パススルー認証 / パスワード SSO は 無料の機能なので是非お試しを!  まずはここから https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory- playbook-intro 15
  • 16. © 2017 Microsoft Corporation. All rights 認証方式ごとの機能差 要望事項 パスワードハッシュ同期 パススルー認証 ADFS 社内ネットワークのPCにログインし、 SaaS へのSSOを行いたい 〇 シームレス SSO 〇 シームレス SSO 〇 オンプレの AD で認証させたい × 〇 〇 オンプレミス AD の認証ポリシーを適用したい (例 : ログオン時間制限など) × 〇 〇 多要素認証を行いたい (Azure MFA) 〇 〇 〇 多要素認証を行いたい (オンプレミス MFA) × × 〇 端末の接続制限 (デバイス制限など) 〇 Azure AD Conditional Access 〇 Azure AD Conditional Access 〇 ADFS クレームルール 16
  • 17. © 2017 Microsoft Corporation. All rights 比較 (インフラ&運用) パスワードハッシュ同期 パススルー認証 フェデレーション (ADFS) サーバー台数 最小: 1 推奨: 2 (+ステージングサーバー) 最小: 1 推奨 : 2 for HA 最小: 1 推奨: 2 for HA DMZ への展開が必要か NO NO YES(WAP) 最小:1 推奨: 2 for HA 自動フェールオーバー用のHAシナ リオはあるか NO YES Service Bus Relay YES ロードバランサ SSL は必須か NO NO YES クラウドからオンプレミスのサー バーを監視できるか Connect Health (Premium) Partial Connect Health (Premium) 17
  • 18. © 2017 Microsoft Corporation. All rights 比較 (認証) パスワードハッシュ同期 パススルー認証 フェデレーション (ADFS) AD - Password Sign-in YES YES YES AD - Desktop SSO YES YES YES AD - Soft Certificates (MDM or GPO provisioned) NO NO YES AD - Smart Card NO NO YES AD - Fail Auth if user is disabled Partial. Typically up to 30 mins for sync cycle to complete Immediate Immediate AD - Fail Auth if user’s password has expired NO YES YES AD - Supports users in multiple trusted AD forests YES YES YES AD - Supports users in multiple untrusted AD forests YES NO YES (2016) untrusted forest can be configured as an LDAP directory 3rd party LDAP - Password sign- in See note 4 NO NO YES (2016) Authenticator App as primary Sign-in (password less) NO NO YES (2016) 18
  • 19. © 2017 Microsoft Corporation. All rights 参考情報  Choose the right sign-in option to connect to Azure AD & Office 365 https://blogs.msdn.microsoft.com/samueld/2017/06/13/choosing-the-right-sign- in-option-to-connect-to-azure-ad-office-365/  Azure AD Connect のシングル サインオン & パススルー認証 (プレビュー) によるクラウド完結のユーザー認証インフラの実現 https://blogs.technet.microsoft.com/office365-tech- japan/2017/03/08/aadconnect-sso-and-pass-through-authentication/ 19
  • 20. © 2017 Microsoft Corporation. All rights