s05 microsoft azure 仮想マシンでの active directory 活用シナリオ

2

バージョン

1.00 2014/6/30 ・初版リリース

1.10 2014/9/30 ・2014年9月現在の情報に更新

1.20 2015/1/31 ・2015年1月現在の情報に更新

目次 (1/2)

• Azure 上に Active Directory 構築

3

目次 (2/2)

• Office 365 認証基盤の構築シナリオ

• Microsoft Azure Active Directory

• Appendix

4

Active Directory Domain Services

6

AD DS を Azure に構築するメリット (1/2)

コスト(維持費)低減

7

社内データセンター初期導入費DC 費用HW 保守費用数年後にはリプレイス・・・

AD DS1号機 AD DS2号機

AD DS3号機

Microsoft Azure社内初期導入費：なしAzure 費用 < オンプレDC費用HW 保守費用：Azure 費用に含むリプレイス：不要

AD DS3号機


VPN

VPN

認証の高速化によるサービス利便性の向上

AD DS を Azure に構築するメリット (2/2)

8

Microsoft Azure

AP サーバー

File サーバー

AD DS

社内利用者が増えるとVPN越しの通信負荷も増え、認証に時間がかかってしまうようになる。

Azure 上に AD DS がいれば、利用者が増えても認証がスムーズ。サービスへのログインもストレス無く利用できる。

Microsoft Azure

AP サーバー

File サーバー

AD DS

社内

AD DS

VPN

VPN

AD DS 1号機 AD DS 2号機

ハイブリッド環境における Azure 上での AD DS 構成例

9

※可用性セット物理障害およびメンテナンスにより、システムが落ちてしまうことを防ぐ設定

オンプレミス Microsoft Azure

可用性セット(※)


• オンプレミスの前提条件• AD DS• Site-to-Site VPN を実現できるルーター

(FW 等) 機器

VPN

ハイブリット環境構築のための前提条件

10

Azure 上での AD DS の作り方（概要）

1. Azure 仮想ネットワークの作成

2. オンプレミスとの VPN 接続設定

3. Azure 仮想マシンの作成

4. オンプレミスのドメインへの参加

5. AD DS のインストール

11

Azure 仮想ネットワークの作成

Azure 管理ポータルから仮想ネットワークを作成

12

オンプレミスとの VPN 接続設定

オンプレミスの VPN 装置に Azure との IPsec 接続を設定

13

Azure 仮想マシンの作成

Azure 管理ポータルから仮想マシンを作成

14

オンプレミスへのドメイン参加

リモートデスクトップで仮想マシンに接続し、オンプレミスのドメインに参加

15

AD DS インストール

リモートデスクトップで仮想マシンに接続し、AD DS をインストール

16

Azure 上の AD DS リストアについて

• 仮想マシン上の AD DS でディレクトリサービス復元モードを利用• Azure では、F8 キー押下による復元モードの起動を行うことができない

そのため、bcdedit コマンドを利用して、復元モードの起動を行う必要がある

• これにより、システム状態のリストア作業を実施することができる

• リストア作業が完了したら、通常起動するように以下のコマンドで元に戻す

17

再起動すると、セーフモードで起動される(注) ログイン時のアカウントは

”Administrator” となる

Office 365 シングルサインオンのために必要なコンポーネント

19

Windows Server 2012 R2 の場合

20

AD DS

S2S VPNDevice

ディレクトリ同期

社内ドメイン社内ドメイン

社外 DNS

HTTPS:443ポートを許可

社内ネットワーク Microsoft Azure

Web Application

Proxy

WORKGROUP

AD DS+AD FS

AD FS Proxy機能を兼ね備えたリバースプロキシ

Site to Site VPN

VPN AD FSをAD DSと同じサーバーに同居可※IIS不要

Web Application Proxy のFQDN名前解決

②AD FSに接続し、認証要求

④認証完了

①Office 365にアクセス、認証要求

AD オブジェクト同期

③認証応答を返信

Windows Server 2012 以前の場合

21

AD DS

S2S VPNDevice AD DS

AD FS


社内ドメイン社内ドメイン

社外 DNS

HTTPS:443ポートを許可

社内ネットワーク Microsoft Azure

AD FS Proxy

WORKGROUP

Site to Site VPN

VPN

Web Application Proxy のFQDN名前解決

②AD FSに接続し、認証要求

③認証応答を返信

④認証完了

①Office 365にアクセス、認証要求

AD オブジェクト同期

Microsoft Azure Active Directory とは (1/2)

• クラウドで ID 管理機能、およびアクセス管理機能を提供するマルチテナント型ディレクトリサービス

• 提供機能

23

Microsoft Azure Active Directory とは (2/2)

Microsoft Azure Active Directory ≠ Windows Server Active Directory

24

• Active Directory ドメインサービス

• Windows 認証が可能

• Office 365 や Windows Intune などが使用しているマルチテナント型の認証サービス

• Windows 認証はできない• 認証 HUB• IDaaS / IDMaaS

Microsoft Azure Active Directory Windows Server Active Directory(on premise / on Azure IaaS)

Windows ServerActive Directory

orShibboleth

orPingFederate

ディレクトリ

25

ディレクトリ

ID Store(AD LDSに相当)

FederationGateway

(AD FSに相当)

CP(Id

P)側

RP(S

P)側

WS-Federation

SAML 2.0(ECP Profile)

WS-Federation

OAuth 2.0

SAML 2.0

ID同期

アカウント情報の管理• ユーザー• グループ• デバイス

Graph API(REST API)

自社開発アプリ

3rd Party SaaS

認証

アプリケーションアクセス• 既存 SaaS の認証を”インスタント”に MAAD に関連付ける

• Google Apps, Salesforce.com などは SSO/ID 同期も可能

26

Microsoft AzureActive Directory

IDフェデレーション

ID同期

パスワード連携※事前にID/Passwordを登録

Federation-Based Apps

Password-Based Apps

アクセスコントロール• 外部認証サービスから RP 側へのトークンゲートウェイ

• ACS 自身は認証プロバイダーではない

27アクセスコントロール

トークン変換

RP(S

P)側

CP(IdP)側

Windows ServerActive Directory

AD

FS

Microsoft AzureActive Directory(ディレクトリ)

Federa

tion

Gate

way

WS-Federation

OpenID OAuth 2.0

Identity Providers

Application A

Application B

WS-Federation

OAuth Wrap

多要素認証プロバイダー• 既存 IdP に認証要素を追加することができる独立したプロバイダー

28

多要素認証プロバイダー(Multi-factor Authentication Provider)

• ワンタイムパスワード(*)

• 通知(*)

• 電話• テキストメッセージ

ID / Password

Identity Providers

IE

管理ポータル

3rd PartyWebサービス

クラウドサービス

Web Application

オンプレミス

Microsoft Azure

Active Directory

AD DSAD FS

(WS 2012 R2)

(*)：スマートフォン専用 (iOS, Android, Windows Phone) アプリ

AD DS データベース、ログファイル、SYSVOL の作成先

• 書き込みの整合性を確保するためにも AD DS を構築する際のデータベースなどは、追加したディスクに作成する。

30

追加したディスク(ドライブ)を選択。

動的 IP 利用に関する警告

Active Directory ドメインサービス構成ウィザードの警告

31

IP アドレスが変更されないために

基本的に内部 IP アドレスは DHCP による割当

32

IPアドレスは開放されない。

IPアドレスが開放されてしまう※。

※再度実行状態にすると、割り当てされていないIPアドレスが振り直される。尚、「割り当て解除済み」となっている仮想マシンは課金されない。

Get-AzureVM -ServiceName <クラウドサービス名> -Name <仮想マシン名> | Set-AzureStaticVNetIP -IPAddress <IPアドレス> | Update-AzureVM

DNS の設定

DNS の設定は管理ポータル

※ OS 上で設定することも可能ですが、ポータルサイトからの停止(「割り当て解除済み」)やハードウェア障害によるネットワークカード再構成などが発生すると OS 上のネットワーク設定が初期化されてしまいます。

33ポータルサイトの仮想ネットワークを選択して対象の仮想ネットワークの構成で設定。

サイトとサブネット

• Azure 上に AD DS を構築後、AD DS の機能でサイトとサブネットを適正に設定する必要がある。これにより Azure 側に AD DS の認証を必要とするサーバーを構築した際に、適切な AD DS にて認証が行われるようになる。

34

オンプレミス側のサイト

Azure側のサイト

オンプレミス側のサブネットAzure側のサブネット

※ サイト間のレプリケーションは、同じサイト内でのレプリケーション間隔と比べ遅延が発生。サイト内のデフォルト：リアルタイムサイト間のデフォルト：180分

Azure 上のみで AD DS を展開

Azure 上のみで AD DS を展開する場合の留意点

35

オンプレミス

ファイルサーバー

VPNに障害が発生してしまうとオンプレミス内のリソースにアクセスできなくなってしまう。

Microsoft Azure

可用性セット


VPN

AD のユーザー数による仮想マシンのサイジング

• 仮想ネットワークを構築し、その上に各サーバーを設置

• 仮想マシンのサイズの主な要因は、組織内のユーザー数によって決まる

• 可用性を向上させるために、ほとんどのサーバーで 2 台以上の仮想マシンを用意

36

サーバーの役割インスタンス 5,000 ユーザー未満 5,001 ～ 15,000

ユーザー15,001 ～ 50,000

ユーザー50,001 ユーザー以上

AD DS 標準 A1 (S) × 2 台 A2 (M) × 2 台 A3 (L) × 2 台 A3 (L) × 2 台


標準 A2 (M) × 1 台 A2 (M) × 1 台 A2 (M) × 1 台 A3 (L) × 1 台

AD FS 標準 A1 (S) × 2 台 A1 (S) × 2 台 A2 (M) × 2 台以上 A3 (L) × 2 台以上

AD FS Proxy 標準 A1 (S) × 2 台 A1 (S) × 2 台 A2 (M) × 2 台以上 A3 (L) × 2 台以上

s05 microsoft azure 仮想マシンでの active directory 活用シナリオ

Technology