大学等におけるクラウドサービス利用シンポジウム 2016 学認と Office 365 の 認証連携 日本マイクロソフト株式会社 パブリックセクター統括本部 中田 寿穂 <nahisaho@microsoft.com>
Azure Active Directory てステキ! Shibboleth IdP と認証連携すれば Azure AD の多要素認証や Risk-based 認証が使えるようになるのよ Azure AD のリバースプロキシを使用すれば レガシーな Web 認証のサービスだって SSO できちゃうワ クラウドサービスの認証連携だってまかせて 200 以上のサービスに SSO できるのよ @2016 Microsoft Corpration. All rights reserved. 2
リスクベース認証をサポートした Azure Active Directory @2016 Microsoft Corpration. All rights reserved. 3
Azure Active Directory とは @2016 Microsoft Corpration. All rights reserved. 4
Azure Active Directory の機能一覧 Identity as a Service ID 同期 BYOD/CYOD セキュリティポ リシー Intune OMA-DM Azure RMS 暗号化, 権限追跡 ID 連携 WS-Fed. SAML 2.0 認証 Browser パスワード連携 Azure AD Join アクセス制御 特権 ID 管理 RBAC アクセスOK 多要素認証必須 アクセス不可 監査 ログ解析 シャドウIT検出 Azure Machine Learning Subscription Microsoft Passport Windows Hello RBAC Proxy Connector オンプレミス ID 管理 他社 SaaS との ID 連携 SAML 2.0 WS-Federation OpenID Connect OAuth 2.0 Rights Management ID 同期 代理認証 SSO MDM/ MAM/ MCM アプリ配布/利用制限 Active Directory ドメイン 業界標準プロトコルのサポート @2016 Microsoft Corpration. All rights reserved. Windows 10 5
Azure Active Directory の機能一覧 Identity as a Service Microsoft Azure Active Directory PowerShell Azure AD Graph REST API Directory Sync, Azure AD Connect Multi-Factor Authentication Server Directory Store Provisioning AD DS IdP AD FS RP IdP Microsoft Federation Gateway RP WS-Federation SAML 2.0 OpenID Connect Office 365, Dynamic CRM Google Apps, Salesforce サイボウズ.com IdP Shibboleth IdP RP : : LDAP Multi-Factor Authentication Service @2016 Microsoft Corpration. All rights reserved. 6
Azure AD の機能 認証 - 外部認証システム(, Shibboleth)が利用できます - 多要素認証が利用できます - 業界標準の認証プロトコル(WS-Fed, SAML, OpenID Connect, OAuth 2.0)に対応してます - R-Proxy 方式の SSO にも対応できます アカウントプロビジョニング - 様々なクラウドサービスにアカウント連携できます - SCIM によるアカウント連携に対応します @2016 Microsoft Corpration. All rights reserved. 7
フェデレーションを実現するための Azure AD の ID 管理 フェデレーションで利用できる ID を作成するには ① Azure AD Connect を使用して ADDS から Azure AD に アカウント同期をとる ② LDAP Manager の LDAP Office 365 を利用して Azure AD にアカウントを作成する @2016 Microsoft Corpration. All rights reserved. 8
フェデレーションを実現するための Azure AD の ID 管理 - Azure AD の Immutable ID に適切な属性値をいれる ことが重要 - Immutable ID = Base64{Object SID} @2016 Microsoft Corpration. All rights reserved. 9
クラウド ID で運用していたものを フェデレーション ID に 変更できますか? 変更可能です Azure AD Connect を利用する場合は SMTP matching の機能を利用してアカウント同期を行ってください @2016 Microsoft Corpration. All rights reserved. 10
学認 Office 365 認証連携の ベストプラクティス @2016 Microsoft Corpration. All rights reserved. 11
Shibboleth IdP のみで実現 ① - Azure AD へのアカウント連携は AD DS を源泉とし Azure AD Connect で行う Office 365 の認証 Azure AD Connect を Shibboleth IdP で行う - メールクライアントから利用する場 合は Shibboleth IdP の ECP 拡張 Shibboleth IdP Active Directory を行う必要がある OpenLDAP @2016 Microsoft Corpration. All rights reserved. 12
Shibboleth IdP のみで実現 ② - LDAP Manager を使用して Azure AD のアカウント管理を行う - メールクライアントから利用する場 合は Shibboleth IdP の ECP 拡張 を行う必要がある - Windows User CAL は必要としない Shibboleth IdP LDAP Manager OpenLDAP @2016 Microsoft Corpration. All rights reserved. 13
Shibboleth IdP 連携 ① - Shibboleth IdP の認証を AD FS で 行う - AD ドメインに参加している PC か らは Windows ログイン認証で シングルサインオン 学認 SP Office 365 にシングルサ Proxy インオンできる 認証 Shibboleth IdP - Office 365 はシングルテナントにし か対応できない AD DS OpenLDAP @2016 Microsoft Corpration. All rights reserved. 14
Shibboleth IdP 連携 ② 教職員テナント 学生テナントテナント - 教職員 学生間で情報共有した くない場合は テナントを分け る必要がある - Office 365 をマルチテナントで 運用したい場合のシステム構成 Proxy Proxy Shibboleth IdP AD DS AD DS OpenLDAP @2016 Microsoft Corpration. All rights reserved. 15
シングルテナント/マルチドメインの運用時の注意事項 教職員用と学生用の認証方式は同じになってしまう 教職員用 consoto-u.ac.jp 学生用 st.consoto.ac.jp 教職員用はフェデレーション認証 学生はクラウド認証にしたい場合 教職員用 staff.consoto-u.ac.jp 学生用 st.consoto.ac.jp @2016 Microsoft Corpration. All rights reserved. 16
ネットワーク認証による Office 365 と 学認の SSO - ネットワーク認証を Shibboleth IdP で行うことで Office 365 と 学認SP との SSO が実現可能 ネットワーク認証サーバー Clear Pass Shibboleth認証 認証 Proxy 認証スイッチ OmniSwitch 認証 Shibboleth IdP AD DS OpenLDAP 検証協力会社 @2016 Microsoft Corpration. All rights reserved. 17
Azure AD Premier の多要素認証 @2016 Microsoft Corpration. All rights reserved. 18
Multi-Factor Authentication for Office 365 と Microsoft Azure Multi-Factor Authentication の違い @2016 Microsoft Corpration. All rights reserved. 19
Azure AD Premier の多要素認証 Azure AD 側の多要素認証を使用する MFA サーバーを使用して多要素認証を使用する Proxy Proxy MFA Server AD DS @2016 Microsoft Corpration. All rights reserved. AD DS 20
Shibboleth IdP で Azure の MFA を利用するためのシステム構成 教職員向け Web サービス 認証 Proxy Shibboleth IdP MFA Server OpenLDAP AD DS @2016 Microsoft Corpration. All rights reserved. 21
2016 Microsoft Corporation. All rights reserved. Microsoft Windows およびその他の製品名は 米国 Microsoft Corporation の 米国およびその他の国における登録商標または商標です ここに記載されている情報は 情報提供のみを目的としており 本プレゼンテーションの発表時点におけるマイクロソフトの見解を反映したものです マイクロソフトは市場の変化に対応する必要があるため 記載された内容の実現に関するマイクロソフトの確約とは見なされないものとします また 本プレゼンテーションの発表後は 提供される情報の正確性に関して マイクロソフトはいかなる保証もいたしません マイクロソフトは 本プレゼンテーションの情報に関して 明示 黙示 または法律の規定にかかわらず 一切の保証を行いません