学認とOffice 365 の認証連携

大学等におけるクラウドサービス利用シンポジウム 2016 学認と Office 365 の認証連携日本マイクロソフト株式会社パブリックセクター統括本部中田寿穂 <nahisaho@microsoft.com>

Azure Active Directory てステキ! Shibboleth IdP と認証連携すれば Azure AD の多要素認証や Risk-based 認証が使えるようになるのよ Azure AD のリバースプロキシを使用すればレガシーな Web 認証のサービスだって SSO できちゃうワクラウドサービスの認証連携だってまかせて 200 以上のサービスに SSO できるのよ @2016 Microsoft Corpration. All rights reserved. 2

Azure Active Directory の機能一覧 Identity as a Service ID 同期 BYOD/CYOD セキュリティポリシー Intune OMA-DM Azure RMS 暗号化, 権限追跡 ID 連携 WS-Fed. SAML 2.0 認証 Browser パスワード連携 Azure AD Join アクセス制御特権 ID 管理 RBAC アクセスOK 多要素認証必須アクセス不可監査ﾛｸﾞ解析ｼｬﾄﾞｳIT検出 Azure Machine Learning Subscription Microsoft Passport Windows Hello RBAC Proxy Connector オンプレミス ID 管理他社 SaaS との ID 連携 SAML 2.0 WS-Federation OpenID Connect OAuth 2.0 Rights Management ID 同期代理認証 SSO MDM/ MAM/ MCM アプリ配布/利用制限 Active Directory ドメイン業界標準プロトコルのサポート @2016 Microsoft Corpration. All rights reserved. Windows 10 5

Azure Active Directory の機能一覧 Identity as a Service Microsoft Azure Active Directory PowerShell Azure AD Graph REST API Directory Sync, Azure AD Connect Multi-Factor Authentication Server Directory Store Provisioning AD DS IdP AD FS RP IdP Microsoft Federation Gateway RP WS-Federation SAML 2.0 OpenID Connect Office 365, Dynamic CRM Google Apps, Salesforce サイボウズ.com IdP Shibboleth IdP RP : : LDAP Multi-Factor Authentication Service @2016 Microsoft Corpration. All rights reserved. 6

Azure AD の機能認証 - 外部認証システム(, Shibboleth)が利用できます - 多要素認証が利用できます - 業界標準の認証プロトコル(WS-Fed, SAML, OpenID Connect, OAuth 2.0)に対応してます - R-Proxy 方式の SSO にも対応できますアカウントプロビジョニング - 様々なクラウドサービスにアカウント連携できます - SCIM によるアカウント連携に対応します @2016 Microsoft Corpration. All rights reserved. 7

フェデレーションを実現するための Azure AD の ID 管理フェデレーションで利用できる ID を作成するには ① Azure AD Connect を使用して ADDS から Azure AD にアカウント同期をとる ② LDAP Manager の LDAP Office 365 を利用して Azure AD にアカウントを作成する @2016 Microsoft Corpration. All rights reserved. 8

Shibboleth IdP のみで実現 ① - Azure AD へのアカウント連携は AD DS を源泉とし Azure AD Connect で行う Office 365 の認証 Azure AD Connect を Shibboleth IdP で行う - メールクライアントから利用する場合は Shibboleth IdP の ECP 拡張 Shibboleth IdP Active Directory を行う必要がある OpenLDAP @2016 Microsoft Corpration. All rights reserved. 12

Shibboleth IdP のみで実現 ② - LDAP Manager を使用して Azure AD のアカウント管理を行う - メールクライアントから利用する場合は Shibboleth IdP の ECP 拡張を行う必要がある - Windows User CAL は必要としない Shibboleth IdP LDAP Manager OpenLDAP @2016 Microsoft Corpration. All rights reserved. 13

Shibboleth IdP 連携 ① - Shibboleth IdP の認証を AD FS で行う - AD ドメインに参加している PC からは Windows ログイン認証でシングルサインオン学認 SP Office 365 にシングルサ Proxy インオンできる認証 Shibboleth IdP - Office 365 はシングルテナントにしか対応できない AD DS OpenLDAP @2016 Microsoft Corpration. All rights reserved. 14

Shibboleth IdP 連携 ② 教職員テナント学生テナントテナント - 教職員学生間で情報共有したくない場合はテナントを分ける必要がある - Office 365 をマルチテナントで運用したい場合のシステム構成 Proxy Proxy Shibboleth IdP AD DS AD DS OpenLDAP @2016 Microsoft Corpration. All rights reserved. 15

シングルテナント/マルチドメインの運用時の注意事項教職員用と学生用の認証方式は同じになってしまう教職員用 consoto-u.ac.jp 学生用 st.consoto.ac.jp 教職員用はフェデレーション認証学生はクラウド認証にしたい場合教職員用 staff.consoto-u.ac.jp 学生用 st.consoto.ac.jp @2016 Microsoft Corpration. All rights reserved. 16

ネットワーク認証による Office 365 と学認の SSO - ネットワーク認証を Shibboleth IdP で行うことで Office 365 と学認SP との SSO が実現可能ネットワーク認証サーバー Clear Pass Shibboleth認証認証 Proxy 認証スイッチ OmniSwitch 認証 Shibboleth IdP AD DS OpenLDAP 検証協力会社 @2016 Microsoft Corpration. All rights reserved. 17

2016 Microsoft Corporation. All rights reserved. Microsoft Windows およびその他の製品名は米国 Microsoft Corporation の米国およびその他の国における登録商標または商標ですここに記載されている情報は情報提供のみを目的としており本プレゼンテーションの発表時点におけるマイクロソフトの見解を反映したものですマイクロソフトは市場の変化に対応する必要があるため記載された内容の実現に関するマイクロソフトの確約とは見なされないものとしますまた本プレゼンテーションの発表後は提供される情報の正確性に関してマイクロソフトはいかなる保証もいたしませんマイクロソフトは本プレゼンテーションの情報に関して明示黙示または法律の規定にかかわらず一切の保証を行いません

学認とOffice 365 の 認証連携