~ 第5回 認証のためのプロキシー Web Application Proxy Active Directory フェデレーションサービスがクラウド時代の認証基盤を支える [Online Solution Seminar] クラウド時代の Active Directory 次の一手 ~ 第5回 認証のためのプロキシー Web Application Proxy 日本マイクロソフト株式会社 エバンジェリスト 安納 順一 2014/10/08
クラウド時代の Active Directory 次の一手シリーズ 今後の予定 7月24日 第1回 Active Directory の位置づけ 8月21日 第2回 Active Directory ドメイン サービスの新しい役割 8月28日 第3回 Active Directory フェデレーション サービスの役割 解説 9月04日 第4回 Active Directory フェデレーション サービスの役割 構築編 10月09日 第5回 認証のためのプロキシー Web Application Proxy 11月06日 第6回 Azure Active Directory とは 以降、12月までに第10回くらいまで継続予定です! リクエストがあれば教えてください! 今回
本セミナーの録画は Microsoft Virtual Academy で公開します http://www.microsoftvirtualacademy.com/Live-Training-Events
今後のセミナー予定 http://technet.microsoft.com/ja-JP/dn308916.aspx
本日のテーマ Web Application Proxy リバース プロキシー AD FS プロキシー これが重要
(復習)People-Centric IT という考え方 「利用者」が「ツール」を使って「業務」を遂行するプロセスから ストレスを取りのぞくには、IAM によるモビリティの実現が重要だということ 利用者 ツール 業務 逆に言えば、IAMができていないから業務の遂行にストレスを感じる ユーザーID デバイス アプリケーション データ Identity and Access Management(IAM) Windows Server Active Directory + EMS
モビリティとは 管理と監視が隅々まで行き届いた状態で 最大限の安全性と自由度を得ること
ユーザー ID のモビリティとは どこからでもサインインできる どのサービスにも同じ ID でサインインできる ドメイン 非参加 業務アプリ Active Directory ドメイン ドメイン 非参加 認証要求 認証 プロキシ ドメイン 参加
ID モビリティ度 低 Level 1 Level 2 Level 3 高 どこから どこに 社内 ドメイン内のリソース 社外 社内/社外 ドメイン外のリソース 高
ID のモビリティ ~ Level 1 社内で社内リソースにアクセス Active Directory ドメインにより ドメイン内で Active Directory 統合認証が使える ドメイン内の IT ガバナンスを実現 ※ドメインに参加していないリソースは管理外 Active Directory ドメイン AD DS
ID のモビリティ ~ Level 2 社外からドメインリソースにアクセス Web Application Proxy により 認証要求を社内 AD FS に転送(認証のリバースプロキシ) WEB アプリのリバースプロキシ AD FS(フェデレーションサービス) 認証要求を AD DS に転送 Kerberos https Active Directory ドメイン https https AD FS AD DS WAP
ID のモビリティ ~ Level 3 場所を問わずドメイン外リソースにアクセスできる 認証を社内 Active Directoryドメインで行うことでセキュリティポリシーが統一できる SaaS 自社開発 Active Directory ドメイン https https AD FS AD DS WAP
Web Application Proxy 単純リバースプロキシー 事前認証プロキシー HTTPS HTTP/S WEB AD FS AD FS に登録されたWEBアプリケーションは、事前認証プロセスが実行される AD FS AD DS HTTPS HTTP/S(認証) 登録しておく HTTP/S WEB
事前認証 Web Application Proxy AD FS と連携し、デバイス クレームとユーザークレームを使用した事前認証が可能 追加認証プロバーダーによるマルチファクター認証が可能 ③ Web Application Proxy Web Application AD FS AD DS クレーム処理エンジン デバイス認証 Start ③ アクセス デバイス クレーム 事前認証 プロセス ユーザー認証 Start AD FS に リダイレクト ユーザー クレーム ① 事前認証 追加認証 ②結果 アクセス可否を判定
WAP クラウド上のIdPにサービスを接続 Microsoft Azure Active Directory https AD FS クラウドサービスへの ゲートウェイ Microsoft Azure Active Directory SaaS 自社開発 Active Directory ドメイン https https AD FS AD DS WAP
Hybrid IdP WAP IDフェデレーション信頼関係を構築 Microsoft Azure Active Directory クラウドサービスへの ゲートウェイ Microsoft Azure Active Directory SaaS 自社開発 Hybrid IdP Active Directory ドメイン https https AD FS AD DS WAP
Hybrid IdP WAP 利用したいサービスは Azure AD と連携 クラウドサービスへの ゲートウェイ Microsoft Azure Active Directory SaaS 自社開発 Hybrid IdP Active Directory ドメイン https https AD FS AD DS WAP
まとめ
社内 IdP の構成要素 セキュリティ ドメイン Web Application Proxy (WAP) 社内リソースへの集中的なアクセスコントロールと IT ガバナンス ユーザー認証/ デバイス認証 依頼 認証要求を転送 Active Directory Domain Service (AD DS) Active Directory Federation Service (AD FS) Web Application Proxy (WAP) 認証要求の リバースプロキシー トークンの発行 モバイルデバイス をAD DSに登録 外部 IdP へのゲー トウェイ パスワードの 一元管理 ユーザー認証 デバイス認証 クレームストア
© 2014 Microsoft Corporation. All rights reserved © 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.