Sec020 アイデンティティ
- 1. Session ID:SEC020 本情報の内容(添付文書、リンク先などを含む)は、Microsoft Tech Summit 開催日(2016年11月1-2日)時点のものであり、予告なく変更される場合があります。
- 7. SaaS アプリ Azure Active Directory 社内 PC ドメイン 個社リソース 社内ネットワーク 利用 管理 /連携 認証 関係会社・取引先 ID 基盤 社内 PC 認証 アクセス 管理 利用 SSO 利用 SSO
- 13. 同じ識別子でユーザの紐づけを出来る必要がある。 Azure AD の識別子はメールアドレス形式(.local 不可) OpenID Connect, SAML, ws-federation への対応が必要
- 14. 実質、メジャーな SaaS アプリのみの対応 最初から Azure AD で開発するフルスクラッチのアプリ
- 15. Azure AD に社内ネットワークの IP / ネットワーク アドレスを登録する必要あり デバイス同期、Azure AD Join、Intune への登録
- 16. 機能 要件 満たすために何が必要か? 対応方法の例 シングルサインオン ID が双方に存在し 紐づけが可能 アプリの識別子を Azure AD と合わせる ID の棚卸、整理、洗い替え (データ移行) OIDC,SAML,ws- federation への対応 アプリ側のプロトコル対応 対応しているアプリを使う、 アプリをカスタマイズする 条件付きアクセス ネットワークレンジ を Azure AD が判別 ネットワークの出口が整理 されていること ネットワークの棚卸、整理 デバイスの管理状態 を Azure AD が判別 Azure AD / Intune での デバイス管理 デバイス同期の実行、 Intune の購入 プロビジョニング プロビジョニング API を公開しており、 Azure AD が対応 プロビジョニング API の 公開、マイクロソフトへの 対応調整 API の開発、ユーザーベー スの獲得 (ビジネスボリューム) SCIM 対応、Azure AD による保護 アプリ側のプロトコル対応 SCIM I/F の開発
- 17. # 構成 シングルサインオン 条件付きアクセス プロビジョニング 1 SSO のみ ※ID 管理、アクセス制御はアプ リで実施 ○ 2 SSO+アクセス制御 ※ID 管理はアプリで実施 ○ ○ 3 Azure AD ですべてを実施 ○ ○ ○ 4 SSO+ID 管理 ※アクセス制御はアプリで実施 ○ ○ 5 ID 管理のみ ※認証、アクセス制御はアプリで 実施 ○
- 19. 社員番号を利用(数字7桁など) AD のドメインは .local 古き良きパッケージ。OIDC/SAML って? ID 登録は CSV で一括登録。SCIM って? 各リージョンが勝手に ISP と契約 個別に調達、Intune なし : Azure AD とはアンマッチ... : プロトコル非対応... : 把握しきれず... : 管理していない...
- 21. 属性 値 userPrincipalName 123@foo.jp displayName 富士榮 尚寛 ExtensionAttribute1 emp1234 属性 値 LoginId emp1234 displayName 富士榮 尚寛 アプリ Azure Active Directory
- 26. SAML の識別子(NameID)にはフォーマット (NameID Format)の指定があります。 ※通常は SAML RP(アプリケーション)からの認証要求の中の 識別子ポリシー(NameIDPolicy)に指定があります。 識別子の値に加えて、アプリケーションが要求する フォーマットと、Azure AD が返すフォーマットが 合致している必要があります。フォーマットが不一 致だと、マッピングを無視して意図しない値が返さ れるので注意が必要です。
- 28. マッピングする属性 Azure AD が返す NameID format Userprincipalname urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress Mail urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress Onpremisessamaccountname urn:oasis:names:tc:SAML:1.1:nameid- format:WindowsDomainQualifiedName extensionattribute1~15 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified extractmailprefix() urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
- 29. マッピングする属性 Azure AD が返す NameID format Userprincipalname urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress Mail urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress Onpremisessamaccountname urn:oasis:names:tc:SAML:1.1:nameid- format:WindowsDomainQualifiedName extensionattribute1~15 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified extractmailprefix() urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
- 30. マッピングする属性 Azure AD が返す NameID format Userprincipalname urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress Mail urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress Onpremisessamaccountname urn:oasis:names:tc:SAML:1.1:nameid- format:WindowsDomainQualifiedName extensionattribute1~15 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified extractmailprefix() urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
- 31. マッピングする属性 Azure AD が返す NameID format Userprincipalname urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress Mail urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress Onpremisessamaccountname urn:oasis:names:tc:SAML:1.1:nameid- format:WindowsDomainQualifiedName extensionattribute1~15 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified extractmailprefix() urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
- 32. 属性 値 userPrincipalName 123@foo.jp displayName 富士榮尚寛 ExtensionAttribute1 emp1234 属性 値 LoginId emp1234 displayName 富士榮尚寛 empId 1234 Country 1234 アプリ Japan Mid() Azure Active Directory
- 48. ・オンプレミス AD に参加しており、デバイスが Azure AD に同期されている ・Azure AD に直接参加している ・Workplace Join している ・PC ブラウザ : Internet Explorer、Edgeのみ ・モバイルブラウザ : Safari(iOS)、Chrome(Android 5.x)
- 50. カテゴリ 企業における実情 Azure AD の要求 対応(例) 識別子 識別子は社員番号 AD は .local 識別子は userPrincipalName (メー ルアドレス形式) 正規のドメインが必要 識別子のカスタム マッピング アプリケー ション レガシーな製品/サービスの利用 (OIDC、SAML などの ID 連携プロ トコルに対応していない) ID 連携標準への対応(OIDC、SAML、 ws-federation) パスワード SSO Azure AD WAP WAM 統合 アプリケーション毎にプロビジョニ ングに必要な属性が異なる Azure AD の保持されている一般的な 属性のプロビジョニング可 属性のカスタム マッピング プロビジョニング I/F がなく、CSV 投入で ID 管理 SCIM への対応(かつ Azure AD で API 保護) まずは SSO だけで Go Live ネットワーク 各リージョンや拠点で個別に ISP と 契約しており、出口を完全に把握で きていない アクセス制御するためには社内、社外 をソース IP で判別できる必要あり 広めのレンジで Go Live デバイス (Azure AD と統合された)MDM を導入していない アクセス制御するためには Azure AD 上に登録したデバイスを使う必要あり PC のみ(デバイス 同期)で Go Live
- 52. graph explorer や PowerShell では値の確認できない Azure AD Connect の Connector Space を見るしかない 属性確認用のアプリケーションを用意しておくと便利 デフォルトのルールや TenantId などは削除できず
- 53. アプリケーションによっては日本語属性だと NG 基本的に属性の値にダブルバイト文字を使わない方が無難 同一の Azure AD ディレクトリと接続する際、ユーザー 割り当てや一部設定が個別に反映されない Azure AD を含め開発用ディレクトリを用意しておく (ライセンス費用がかさむが・・・)