• 検索結果がありません。

改善のための要件 : ソリューション Azure Active Directory (AD) Premium で複数のクラウドと社内の ID を統合 EMS は Azure AD Premium を包含 Office 365 などの SaaS アプリや社内アプリをシングルサインオンで利用可能 Off

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "改善のための要件 : ソリューション Azure Active Directory (AD) Premium で複数のクラウドと社内の ID を統合 EMS は Azure AD Premium を包含 Office 365 などの SaaS アプリや社内アプリをシングルサインオンで利用可能 Off"

Copied!
52
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 52 ページ )

全文

(1)

The Microsoft

Conference 2014

(2)

25

Azure Active Directory (AD) Premium

で複数のクラウドと社内の ID を統合

• EMS は Azure AD Premium を包含

• Office 365 などの SaaS アプリや社内アプリを

シングルサインオンで利用可能

BitLocker でサーバーやクライアント

のディスクを保護

OS がインストールされたドライブ、固定ドラ

イブ、リムーバブル ドライブを暗号化で保護

改善のための要件: ソリューション

Office 365 など

他社クラウド

SaaS アプリ

社内アプリ

シングルサインオンで

利用可能

ディスク全体または

使用領域のみを暗号化して保護

PC やディスクの紛失、

盗難時に機密を維持

(3)

Agenda

イントロダクション

エンタープライズ

IT

の変化とユーザー認証のトレンド

AAD

を利用した安全なユーザー認証

社内

AD

AAD

のアカウント同期

AAD

を利用したユーザー認証

多要素認証の追加

まとめ

Appendix

(4)

The Microsoft

Conference 2014

(5)

エンタープライズ

IT

環境の拡大

PC

イントラネット

オンプレミス

タブレット

スマートフォン

インターネット

クラウド

SaaS

型サービス

(6)

パスワード管理の問題

クラウド上の

システム

SaaS

サービス

インターネット

ユーザー認証

は大丈夫?

(7)
(8)

イントラネットは良かった・・・

Active Directory

内部設置型の

システム

イントラネット

内部設置型の

システム

内部設置型の

システム

(9)

その頃

(10)

フェデレーション認証で楽ちん

マイクロソフト

ID

(認証処理を委譲)

OneDrive

Outlook.com

Skype

ユーザーID

/パスワード

セキュリティ

トークン

トークンを

要求

セキュリティ

トークン

セキュリティ

トークン

セキュリティ

トークン

(11)

多要素認証で安心

システム

12:38

ワンタイム

トークン

ユーザー

ID

パスワード

ワンタイム

トークン

ユーザー

ID

&

パスワード

ワンタイムパスワード

(12)
(13)

エンタープライズなら

AAD

Active Directory

内部設置型の

システム

クラウド上の

システム

SaaS

サービス

イントラネット

インターネット

Azure

Active

Directory

(14)

The Microsoft

Conference 2014

(15)

Azure Active Directory

Active Directory

とのアカウント同期

クラウドアプリも社内アカウントで利用可能

多要素認証によるセキュリティの強化

(16)

パスワードが覚えきれない!

Active Directory

内部設置型の

システム

クラウド上の

システム

SaaS

サービス

イントラネット

インターネット

アカウント

データベース

アカウント

データベース

パスワード

パスワード

パスワード

パスワード

パスワード

パスワード パスワード

パスワード

(17)

AAD

へのアカウント同期

Active Directory

内部設置型の

システム

クラウド上の

システム

SaaS

サービス

Azure

Active

Directory

イントラネット

インターネット

パスワード

(18)

アカウント同期の構成

AAD

ディレクトリ

の作成

カスタム

ドメインの

指定

AAD Sync

or

DirSync

を実行

IT

管理者

(19)
(20)

The Microsoft

Conference 2014

DEMO

(21)

アプリ個別の作りこみは面倒で危険

Active Directory

内部設置型の

システム

クラウド上の

システム

SaaS

サービス

イントラネット

インターネット

アカウント

データベース

アカウント

データベース

(22)

標準プロトコルによる認証連携

Active Directory

内部設置型の

システム

クラウド上の

システム

SaaS

サービス

Azure

Active

Directory

イントラネット

インターネット

(23)

Web

アプリへの組込み

Windows Identity

Foundation

による

組込み

ASP.NET Identity

による組込み

or

Azure Active Directory

にアプリを登録

(24)

AAD

へアプリを登録

アプリの名前

サインオン

URL

(25)

ASP.NET Web

アプリへの組込み

OpenID Connect

WS-Federation

ASP.NET Identity

[ assembly: OwinStartup ( typeof ( Samples.Startup1 ) ) ]

public class Startup1 {

public void Configuration ( IAppBuilder app ) {

// コードで組み込む

}

}

Windows Identity Foundation

<configuration>

<system.identityModel>

<!-- 構成ファイルで組み込む -->

</system.identityModel>

</configuration>

(26)

AAD

サインインが要求される

リダイレクト

(27)

The Microsoft

Conference 2014

DEMO

(28)

SaaS

型サービスの登録

Azure Active Directory

にアプリを登録

ユーザ権限の

割り当て

(29)
(30)

The Microsoft

Conference 2014

DEMO

(31)

テキストパスワードは危険!

Active Directory

内部設置型の

システム

クラウド上の

システム

SaaS

サービス

Azure

Active

Directory

イントラネット

インターネット

あぶない!

(32)

多要素認証による強化

Active Directory

内部設置型の

システム

クラウド上の

システム

SaaS

サービス

Azure

Active

Directory

イントラネット

インターネット

パスワード

デバイス

(33)

多要素認証の構成

IT

管理者

開発者

ユーザー

多要素認証

の有効化

追加情報を

登録

(34)
(35)

ユーザーが追加情報を登録

スマホアプリ

音声メッセージ

(電話)

テキストメッセージ

(SMS)

http://aka.ms/MFASetup

(36)

以降は多要素認証が要求される

まずはユーザー

ID

パスワードでサインイン

ワンタイムパスワードも

必要になる

(37)

The Microsoft

Conference 2014

DEMO

(38)

まとめ

慣れ親しんだアカウントが

外でも使えます

ユーザー

開発者

IT

管理者

面倒な認証機構はお任せです

従来同様の

ID

管理・運用と

多要素認証による強化

(39)

リファレンス

MSDN

http://msdn.microsoft.com/library/azure/jj673460.aspx

TechNet

http://technet.microsoft.com/ja-jp/library/hh967619.aspx

Cloud Identity (Blog)

(40)

関連セッション

MN-242

Dynamic Identity Framework

~ クラウド時代適応のための

ID

管理手法 ~

MN-271

多要素認証

Deep Dive

~ ハイブリット認証基盤だからこそ実現できる

柔軟で高機能な多要素認証 ~

(41)

もしかして・・・

Office 365

をご利用いただいていますか

既に

Azure Active Directory

のユーザーです

(42)

The Microsoft

Conference 2014

(43)

WS-Federation

サンプルコード

public static void

ConfigureWsFederation(

IAppBuilder

app)

{

// 認証の種類を設定

app.SetDefaultSignInAsAuthenticationType(

WsFederationAuthenticationDefaults

.AuthenticationType);

// クッキー認証を有効化

app.UseCookieAuthentication(

new

CookieAuthenticationOptions

()

{

AuthenticationType =

WsFederationAuthenticationDefaults

.AuthenticationType

});

// WS-Federation の組込み

app.UseWsFederationAuthentication(

new

WsFederationAuthenticationOptions

()

{

Wtrealm =

"http://appid.azlab01.asia/MSC2014.Demo.Web.Mvc"

,

MetadataAddress =

"https://login.windows.net/azlab01.asia/"

+

"federationmetadata/2007-06/federationmetadata.xml"

});

}

アプリケーション ID を指定

テナント名部分は適宜変更

(44)

OpenID Connect

サンプルコード

public static void

ConfigureOpenIdConnect(

IAppBuilder

app)

{

// 認証の種類を設定

app.SetDefaultSignInAsAuthenticationType(

OpenIdConnectAuthenticationDefaults

.AuthenticationType);

// クッキー認証を有効化

app.UseCookieAuthentication(

new

CookieAuthenticationOptions

()

{

AuthenticationType =

OpenIdConnectAuthenticationDefaults

.AuthenticationType

});

// OpenID Connect の組込み

app.UseOpenIdConnectAuthentication(

new

OpenIdConnectAuthenticationOptions

()

{

ClientId =

"f4b98e1d-7b5d-47d3-85fe-bb17cef425a4"

,

Authority =

"https://login.windows.net/azlab01.asia/"

});

}

テナント名部分は適宜変更

クライアント ID を指定

(登録したアプリの構成タブから取得)

(45)

WS-Federation

構成サンプル

<configuration> <configSections>

<section name="system.identityModel"

type="System.IdentityModel.Configuration.SystemIdentityModelSection,

System.IdentityModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089" /> <section name=“system.identityModel.services"

type="System.IdentityModel.Services.Configuration.SystemIdentityModelServicesSection,

System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089" /> </configSections> <system.web> <authorization> <deny users="?" /> </authorization> </system.web> <system.webServer> <modules>

<add name="WSFederationAuthenticationModule"

type="System.IdentityModel.Services.WSFederationAuthenticationModule,

System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"

preCondition="managedHandler" /> <add name="SessionAuthenticationModule"

type="System.IdentityModel.Services.SessionAuthenticationModule,

System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"

preCondition="managedHandler" /> </modules> </system.webServer>

WIF

の有効化

認証されてないユーザーを拒否

WS-Federation および セッ

ション認証モジュールを追加

(46)

WS-Federation

構成サンプル

<system.identityModel> <identityConfiguration>

<securityTokenHandlers>

<add type="System.IdentityModel.Services.Tokens.MachineKeySessionSecurityTokenHandler,

System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" /> <remove type="System.IdentityModel.Tokens.SessionSecurityTokenHandler,

System.IdentityModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" /> </securityTokenHandlers>

<issuerNameRegistry type="AADStudy.WebForms.Utils.DatabaseIssuerNameRegistry, AADStudy.WebForms" /> <audienceUris>

<add value="https://appid.azlab01.asia/MSC2014.Demo.Web.Mvc" /> </audienceUris>

<certificateValidation certificateValidationMode="None" /> </identityConfiguration>

</system.identityModel>

<system.identityModel.services> <federationConfiguration>

<cookieHandler requireSsl="true" />

<wsFederation passiveRedirectEnabled="true"

issuer="https://login.windows.net/azlab01.asia/wsfed" realm="https://appid.azlab01.asia/MSC2014.Demo.Web.Mvc" requireHttps="true" /> </federationConfiguration> </system.identityModel.services>

認証クッキーの暗号化

方式を指定

アプリ

ID

ログイン URL 等のメタデー

タを取得する URL

アプリ

ID

(47)

マルチフォレスト統合(

AAD Sync

AD DS

AD DS

AD DS

AD DS

AAD

AAD

AAD Sync

DirSync

1:1

構成

N:1

構成

(48)

シングルサインオン(

AAD + ADFS

AAD

AD FS

AD DS

WAP

クラウド上の

Web

システム

信頼

関係

社内設置型の

Web システム

イントラネット

インターネット

要パスワード

+多要素認証

D

irS

yn

c /

A

AD

Sy

nc

パスワード

入力不要(

SSO

)

(49)

ネイティブアプリ認証 (

OAuth 2.0

)

ネイティブアプリ

ADAL

Web サービス

(ASP.NET Web API 等)

Azure Active Directory

認証ダイアログ

O

Au

th

2.0

(50)

ネイティブアプリの登録

(51)

ネイティブアプリ認証サンプル

public static void

ConfigureOAuth2(

IAppBuilder

app)

{

app.UseWindowsAzureActiveDirectoryBearerAuthentication(

new

WindowsAzureActiveDirectoryBearerAuthenticationOptions

()

{

Audience =

"http://appid.azlab01.asia/MSC2014.Demo.Web.Api"

,

Tennant =

“azlab01.asia"

});

}

public async void

Run()

{

var

acx =

new

AuthenticationContext

(

"https://login.windows.net/azlab01.asia"

);

var

token =

await

acx.AcquireTokenAsync(

"http://appid.azlab01.asia/MSC2014.Demo.Web.Api"

,

"d8fed4c3-73a7-44a7-af82-65c7983d245a"

,

new

Uri

(

"https://localhost:44302/redirecturi"

));

var

client =

new

HttpClient

();

client.DefaultRequestHeaders.Authorization =

new

AuthenticationHeaderValue

(

"Bearer"

, token.AccessToken);

client.BaseAddress =

new

Uri

(

"https://localhost:44302/api/"

);

var

response =

await

client.GetAsync(

"HelloWorld"

);

API 側の認証設定

(52)

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

参照

今ダウンロードする ( PDF - 52 ページ - 1.48 MB )

Outline

MSDN

関連したドキュメント

コンピュータサイエンス基礎・講義資料( 2016 年度)

定可能性は大前提とした上で、どの程度の時間で、どの程度のメモリを用いれば計

Y‹¶�P岈K¶©†±R c„h⁄ .xbd

その職員の賃金改善に必要な費用を含む当該職員を配置するために必要な額(1か所

カメラユーザーガイド

・カメラには、日付 / 時刻などの設定を保持するためのリチ ウム充電池が内蔵されています。カメラにバッテリーを入

新しい働き方編 いつでもどこでも今いる場所がオフィスになる 新しい働き方の導入をご検討中の企業の皆様へ シリーズ 新しい Office 編 Tablet & ipad 活用編ファイルサーバー編メールサーバー編ホスティングメール編新しい働き方編 BCP & コンプライアンス対策編

プラン一覧 現状の悩み 変革のメリット Office 365 とは 悩みを解決 スケジュール メール& 情報共有・ 共同作業 オンライン会議 社内 SNS クラウド版

Office 365 インストールマニュアル 【Mac】

Office 365 のインストールが完了すると Word ・ Excel ・ PowerPoint ・ OneDrive などを使用出来ます。. Office

補足資料 (データ集)

マニピュレータで、プール 内のがれきの撤去や燃料取 り出しをサポートする テンシルトラスには,2本 のマニピュレータが設置さ

補足資料 (データ集)

マニピュレータで、プール 内のがれきの撤去や燃料取 り出しをサポートする テンシルトラスには,2本 のマニピュレータが設置さ

2014 年度高等教育推進センター共同研究助成 報告書

LUNA 上に図、表、数式などを含んだ問題と回答を LUNA の画面上に同一で表示する機能の必要性 などについての意見があった。そのため、 LUNA