クラウドで始めるactive directory

クラウドで始める Active Directory株式会社ソフィアネットワーク

国井 傑 (くにい すぐる)

スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/

自己紹介

Copyright 2014 Sophia Network Ltd.2

Microsoft MVP for Directory Services (2006～2015)

マイクロソフト認定トレーナー(1997～)

ブログAlways on the clock

＠sophiakunii

株式会社ソフィアネットワーク 所属

連載～基礎から分かるActive Directory再入門

スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/

評価ガイドあります

Copyright 2014 Sophia Network Ltd.3

スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/

はじめに

Copyright 2014 Sophia Network Ltd.4

私たちが直面するID管理の現実

Copyright 2014 Sophia Network Ltd.5

認証とは、(主に)ユーザー名/パスワードを入力して本人確認を行うプロセス

Active DirectoryではKerberos(ケルベロス)と呼ばれるテクノロジーを使って、認証と承認(認可)を行う

認証のおさらい

Copyright 2014 Sophia Network Ltd.6

ID連携のおさらいトークンを利用してActive Directory ユーザーとクラウドサービス上のユーザーを関連付け

Copyright 2014 Sophia Network Ltd.7

【参考】用語解説 IdP/CPとSP/RP

Copyright 2014 Sophia Network Ltd.8

ID同期のおさらい

複数のディレクトリサービスに格納されるID情報を同期し、同じ情報を互いのサービスで利用できるようにすること

Copyright 2014 Sophia Network Ltd.9

3つのID管理テクノロジーをMS製品/サービスにマッピング

10

Microsoft Azure Active Directory (Azure AD)

Copyright 2014 Sophia Network Ltd.11

Azure 仮想マシンとして ADDS/ADFS を実装 基本的には、通常の仮想マシンを作成する操作と同じ操作で作成

仮想マシン作成時に提供されるディスクとは異なるディスクを用意して、Active Directoryをインストール

Azureから割り当てられる動的IPアドレスを利用

ドメイン参加する他の仮想マシンにはDHCPから割り当てられるDNSサーバーアドレスを利用する

Copyright 2014 Sophia Network Ltd.12

Azure AD 利用シナリオ

Copyright 2014 Sophia Network Ltd.13

現状のシステム構成から用途を考える Active Directoryドメインを保有していない場合

Active Directoryドメインを保有している場合

Copyright 2014 Sophia Network Ltd.14

Azure仮想マシンのADDS利用シナリオ

Copyright 2014 Sophia Network Ltd.15

Azure 仮想マシンでADDSを利用する上での注意事項 クラウドのみでのActive Directoryドメイン構成は非推奨

＝ Azure仮想マシンでのActive Directoryドメイン構成はオンプレミスとの組み合わせで利用することを前提

＝ オンプレミスとクラウドをAzure VPNで接続

Copyright 2014 Sophia Network Ltd.16

ローカルサブネット10.1.0.0/16

Subnet10.2.1.0/24

ドメインコントローラー10.2.1.4

Azure VNET10.2.0.0/16

サイト間VPN接続

利用シナリオを考える バックアップ/DRサイトとしての利用

クラウドで提供するサービスへのアクセスをドメインのIDで実現

Copyright 2014 Sophia Network Ltd.17

ローカルサブネット10.1.0.0/16

Subnet10.2.1.0/24

ドメインコントローラー10.2.1.4

Azure VNET10.2.0.0/16

サイト間VPN接続

ローカルサブネット10.1.0.0/16

Subnet10.2.1.0/24

ドメインコントローラー10.2.1.4

Azure VNET10.2.0.0/16

Webサーバー10.2.1.5

Azure仮想マシンのADFS利用シナリオ

Copyright 2014 Sophia Network Ltd.18

ADFSのシステム構成とAzureの相性 外部からのADFSサーバーへのアクセスにはプロキシの役割となるサーバーの設置が必須

＝ Webアプリケーションプロキシ(ADFSプロキシ)の設置が必須＝ 外部向けのIPアドレス(VIP)が自動的に割り当てられる

Azure仮想マシンはWebアプリケーションプロキシ実装を簡単にしてくれる

Copyright 2014 Sophia Network Ltd.19

ローカルサブネット10.1.0.0/16

Subnet10.2.1.0/24

ドメインコントローラー10.2.1.4

Azure VNET10.2.0.0/16

ADFSサーバー10.2.1.5

Subnet10.2.2.0/24

Webアプリケーションプロキシ10.2.2.4

ADFSの実装にAzure仮想マシンを積極活用 Office365との組み合わせの場合

Copyright 2014 Sophia Network Ltd.20

ローカルサブネット10.1.0.0/16

Subnet10.2.1.0/24

ドメインコントローラー10.2.1.4

Azure VNET10.2.0.0/16

ADFSサーバー10.2.1.5

Subnet10.2.2.0/24

Webアプリケーションプロキシ10.2.2.4

DirSyncサーバー10.2.1.6

使い始めると細かいことが気になり始める

Copyright 2014 Sophia Network Ltd.21

外出先からパスワードを変更したい

Azure 管理ポータルからパスワードリセットポリシーを有効にし、事前に携帯電話の番号を登録

アクセスパネルからパスワードリセットの登録を事前に行う

アクセスパネルからパスワードリセットが実行可能

リセットされたパスワードはDirSync によって AD ユーザーのパスワードが変更される

使い始めると細かいことが気になり始める

Copyright 2014 Sophia Network Ltd.22

デバイス種類に応じて接続を制限したい

Start

Start

登録されたデバイスだけを許可するためのADFS設定

Copyright 2014 Sophia Network Ltd.23

ADFSサーバーのクレームルール言語で多彩な制限が可能

Active Directoryに保存される情報

Copyright 2014 Sophia Network Ltd.24

まとめ ～ ID管理にAzureサービスを活用する

Copyright 2014 Sophia Network Ltd.25

ADFS トレーニングコース開催しています！http://www.crie-illuminate.jp/

Copyright 2014 Sophia Network Ltd.26

Active Directory フェデレーション サービス トレーニング

Office 365ユーザー認証ベストプラクティス (2日コース)Microsoft Azure を活用した ADFS 構築 (1日コース)

Microsoft Confidential27

We don’t even have to try,It’s always a good time.

from “good time” by owl city & carly rae jepsen