office365のid連携の機能の移り変わりについて
DESCRIPTION
Office365の運用回りの中で、ADFS/DisSyncを中心にOffice365が出てから3年間での仕様変更と運用での対応など。今までの経緯を踏まえた上で、これからのロードマップや柔軟な対応の必要性について話をします。TRANSCRIPT
MVP - Office365 genkiw(渡辺 元気)
.NETラボ勉強会 2014年6月
名前:渡辺 元気(わたなべ げんき)
職業:通信事業者でクラウドサービスの開発
twitter/Facebook:genkiw
MVP Office365 2012.10-
blog:日々徒然 http://blog.o365mvp.com/
(Office365の技術ネタを中心に公開)
本資料については、個人で準備した環境において、個人的に実施した検証結果を基に記載しております。
あくまで個人の意見・見解であり、所属する会社・組織及びマイクロソフト社とは一切関係はございません。
また、本資料の内容ならびに閲覧により生じた一切の問題及び不利益について、発表者は一切の責任を負う事はできませんのでご了承ください。
ADFSの機能の充実を理解する
ディレクトリ同期の機能の充実を理解する
ID連携の方向性をぼんやりと理解する
Office365リリース当初
• ADの無い組織• 小規模組織
• ADを持つ中~大規模組織
• ADを持つ大規模組織
BPOS
オンラインサービスID(サインインツールのID)
オンラインサービスID +ディレクトリ同期
Office 365
クラウドID(オンラインサービスID)
クラウドID +ディレクトリ同期
ADFS +ディレクトリ同期
ぎりぎりまでβテスト終了後にシングルサインオン出来るよう
になる旨の表記
AD FSでのシングルサインオンはWebブラウザアクセス(OWAやSharePoint Online)に限定
①OutlookなどはID/Password入力が必要②社内接続のみでもADFS Proxyが必要
ADFS ADFS ProxyADDS
internet
内部 DMZ
Outlook
※Office365によるProxyアクセスの為
Exchange OnlineにアクセスしたIP/プロトコルなどを元にアクセス制御ができるように
仕様変更で満たさなくなったセキュリティ要件(社外からアクセス不可)をカバー
ADFS ADFS Proxy
CAS MBX
Exchange Online
MFG
X-MS-Forwarded-Client-IPグローバルIP:A
グローバルIP:A
社内
2012.06(初期導入ユーザーから1年)頃より、世界中のADFSサーバが次々と動作停止
2011.09に関連するADFSデフォルト設定時の挙動に関連するWikiがTechNetに公開
IIS(ADFS Proxy)上で動作する2FAプロダクト
クラウドID向けに管理者(2013.6~)ならびに一般ユーザー(2014.2~)に提供
下記POP/IMAPのProxyアクセスパターンにおけるグローバルIP Cが通知されなくなった
弊害として同じアドレス帯のAzure上で展開されているサービスのIPが取得できなくなった
ID関係(Azure Active Directory)は変わらないので、サーバサイドはあまり影響は無し
クライアントサイドでは、Office Professional Plus(Office2013)ならびにLync 2013でサインインアシスタントが不要に。
2012.5 2013.3 2013.8 2013.11
Rollup2 Rollup3 KB2843639 KB2896713
•主にバグFix•主にバグFix•要DBスキーマ変更
•脆弱性対応: MS13-066
• FormsSignIn.aspx
修正要
•バグにより一時公開停止
• KB2843639で
発生した問題のバグFix
バグFixが中心であり、機能追加はあまり無い状態
デバイス認証(Workplace Join)AD外のデバイスを識別可能に。BYODを意識
社内
ADDS
ADFS
DRS WAP(ADFS Proxy)
internet
DMZ
iOSWindows8.1
デバイスを登録
標準で多要素認証への対応より柔軟なポリシー設定が可能に
ログオンしてくるユーザーの• ユーザー/グループ• デバイスの登録/未登録• 内部/外部をベースに多要素認証を要求するポリシーが作成可能
ログイン画面のカスタマイズへの対応リダイレクト前の入力値が渡されてくるなど、細かい点も修正
好きな画像を設定可能
会社名
前の画面で入れたID
Exchange Online以外のアクセス制御IPアドレス情報やUser-Agentの情報がADFSに渡されるようになった
IPやUserAgent
ADFS Proxy経由のアクセスのみのロックアウトが可能
gMSA/グループ管理サービスアカウント対応サービスアカウントのパスワード管理不要
Alternative Logon IDの利用が可能にUPNではなく、その他の属性をADFSのログオンIDとして利用する事ができるように
ただし、それで利用するその他の属性もOffice365でドメイン登録されている必要がある
現時点ではあまり活用できるケースが無いかもしれない…が。
2012.6 Shibboleth IDPによるSSOサポート
2013.9 Works with Office 365-Identityプログラムを通じた3td party製IDPのSSOサポート
2014.3 SAML 2.0 federationサポート
ILM2007ベース32bit版のOS(2008無印など)を用意する必要
デフォルト上限オブジェクト数は10,000越える場合はサービスリクエスト
同期間隔の調整やMiisclient.exeの直接操作が非サポートと明言される
BPOS時代に公開されていたカスタマイズ手法が取れなくなる
デフォルト上限オブジェクト数が20,0002011.10.5以降に作成されたテナント
デフォルト上限オブジェクト数が50,0002012.5以降に作成されたテナント
独自ドメイン追加をトリガーに300,000に増加2013.8に機能実装。
既存のテナント(上限が10,000や20,000)も対象
FIM2010ベースに移植ADFSなどと同じく、2008R2に揃えられるように
2012.9に32bit版は2013.1.1でサポートが切れると告知
2013.2に32bit版は2013.10.1で利用できなくなると告知
2011.11ディレクトリ同期の無効化が可能にOffice365側ではオブジェクトの編集ができない
ディレクトリ同期の障害時など「ゴミ」が残る事も
2012.4頃ディレクトリ同期オブジェクトの削除編集はできないが削除はできる様に
2012.9ディレクトリ同期のフィルタに関わる情報がTechNetに公開少し前から英語版のコミュニティのWikiに掲載
新しいバージョンのインストール時に設定が引き継がれない旨が明記
ディレクトリ同期ツールでパスワードも同期
定期的にAD→Office365の片方向の差分同期
FIM2010とソフトウェアライセンスが必要。
FIMのOffice 365 Connectorを取得するためにMicrosoftサポートが必要
ドメインコントローラへのディレクトリ同期インストールがサポート小規模環境やテスト環境の作成が容易に
クラウド⇒オンプレミスのパスワード同期
マルチフォレストサポート
ルールエディタによる柔軟なカスタマイズ
…etc
詳しくはIdM実験室へ
Office 365
クラウドID(オンラインサービスID)
クラウドID +ディレクトリ同期
ADFS +ディレクトリ同期
AADから他サービス/ MDM用途
AD以外のIDPともHybrid
双方向パスワード同期
Hybrid
より柔軟で安全なHybrid
連携先IdP無し 非AD マルチフォレスト
Hybrid IdP
+マルチサービス
• OfficeならびにOffice Serverのサブスクリプションモデル化• Azure IaaSなどクラウドのWindows ServerはCALは不要
Windows Server CALビジネスモデルの終了
Windows Server CAL
AD RMS CAL
FIM CAL
単一モデルによるフルサポート
AAD (+Premium)
Azure RMS
Hybrid IDP
File SV DB
AD
AAD
その他IdP
Multi Service/Device
PC
その他クラウドサービス
Office365
ADFSACSその他
BYOD
Store
☑どんどんと新しい機能が実装されるが、それを享受するためには、原則最新バージョンを導入する必要がある
☑場合によってはサーバOSの入れ替えやCALのバージョンアップなども必要になってくる
度重なる機能追加
☑古いバージョンは機能追加されないだけでなく、早晩使えなくなるかもしれないので注意
仕様もどんどん変わります☑お客様に「これはできない仕様です」と言っていた物が、明日にはそれが実現できるようになるかも
☑逆に、今日できていた物が明日できなくなるかも
フィールドSEあがりの安納です (Microsoft 安納さん)http://blogs.technet.com/b/junichia/
IdM実験室(MVP 富士榮さん)http://idmlab.eidentity.jp/
Always on the clock(MVP 国井さん)http://sophiakunii.wordpress.com/
日々徒然http://blog.o365mvp.com
Office365コミュニティhttp://community.office365.com/
【公式ページなど】
【blog】