Office 365 の TLS 1.0/1.1 無効化に伴う AD FS / WAP (AD FS Proxy) の対応

2018/02/15: TLS 1.2 の必須化は当初予定していた 2018/3/1 から 2018/10/31 に延期になりました。   こんにちは、 Azure ID の三浦です。 今回は Office 365 での TLS 1.0 と 1.1 のサポート無効化に伴う AD FS / WAP (AD FS Proxy) での対応についてまとめました。 次の情報にありますように 2018/10/31 に Office 365 では TLS 1.0 と 1.1 のサポートを無効化することを予定しています。   Office 365 への TLS 1.2 の実装に対する準備 https://support.microsoft.com/ja-jp/help/4057306/preparing-for-tls-1-2-in-office-365   フェデレーション環境では、 AD FS および WAP…


[2018/03/06 更新] フェデレーション環境 (Windows 統合認証) で [サインインの状態を維持しますか?] の画面が表示されない

こんにちは、Azure ID サポートチームの高田です。 本日は、Azure AD のサインイン画面の変更とそれに伴うフェデレーション環境への影響についておまとめしました。   まず、Microsoft では、11 月より Azure AD のサインイン画面にいくつか変更を加えております。具体的には、新しいサインイン エクスペリエンスが導入されており、Azure AD へのサインイン時に以下のような画面が表示されることにお気づきの方もいらっしゃると思います。   ▼古いサインイン エクスペリエンス   ▼新しいサインイン エクスペリエンス ※画面遷移の説明は、下記ブログを参照ください。 Fewer login prompts: The new “Keep me signed in” experience for Azure AD is in preview https://cloudblogs.microsoft.com/enterprisemobility/2017/09/19/fewer-login-prompts-the-new-keep-me-signed-in-experience-for-azure-ad-is-in-preview/   この [サインインの状態を維持しますか?] の画面は、古いサインイン画面の [サインインしたままにする] チェックボックスと同じ設定を表しています。Azure AD の [会社のブランド] から構成できる [サインインしたままにするオプションを表示する] の設定が [はい] の場合に表示されます。 既定ではこのオプションは…


AD FS が PDC と通信するケース

皆様、こんにちは。Windows プラットフォーム サポート担当の竹村です。   今回は、簡単ですが AD FS が PDC と通信する3つのケースについてご案内します。 ドメイン コントローラーが各拠点に散らばっている場合などに、ご留意ください。   – 対象リリース Windows Server 2012 R2 (AD FS 3.0)   ————————————————————- (1) AD FS 構成ウィザードの実行時 ————————————————————- AD FS 構成ウィザード中で、PDC にアクセスいたします。 したがって、PDC と通信できない場合にはウィザードが失敗いたしますので、ご注意ください。     ————————————————————- (2) パスワード更新機能利用時 ————————————————————- AD FS には、オンプレミス ドメインのユーザーのパスワードを更新する機能がございます。   (ご参考) https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/operations/update-password-customization この機能を利用してパスワードを更新する際には、PDC にアクセスいたします。 PDC と通信ができない場合には、パスワードを更新できませんので、ご注意ください。     ————————————————————-…


証明書利用者信頼のセキュア ハッシュ アルゴリズムについて

こんにちは、Azure & Identity サポート担当の竹村です。   今回は、AD FS の証明書利用者信頼のプロパティで設定する、セキュア ハッシュ アルゴリズム についてご案内いたします。 ここで設定する セキュア ハッシュ アルゴリズム は、AD FS が、発行したトークンに署名を行う時のハッシュ アルゴリズムです。   以下、簡単に動作をご説明します。   認証要求が AD FS にリダイレクトされた後、認証に成功すると、AD FS は 証明書利用者信頼 (AD FS と連携しているサービス、アプリケーションを指します。例えば Office 365 などが該当します。) にアクセスするためのトークンを発行します。 この時、AD FS は、トークンに署名を行います。 クライアントは、証明書利用者信頼にアクセスする際にこのトークンを提示し、証明書利用者信頼は受け取ったトークンの署名を検証します。 つまり、間違いなくフェデレーション信頼を結んでいる AD FS がトークンを発行したこと、および改ざんが無いことを確認するために、デジタル署名のしくみを利用しています。 AD FS のプロパティで設定するセキュア ハッシュ アルゴリズムは、この署名を行う(メッセージダイジェストを作成する)時のハッシュ アルゴリズムになります。   Office 365 をご利用の環境で、このハッシュ アルゴリズムが…


AD FS の自動証明書ロールオーバー機能について

AD FS の自動証明書ロールオーバー機能についてご案内します。 (a) ご案内の目的 (b) 対象の AD FS (c) 自動証明書ロールオーバー機能とは (d) 想定されるリスク (e) 対処策 (f) 補足   (a) ご案内の目的 AD FS の自動証明書ロールオーバー機能が動作することで、連携をしていただいているサービス (RP・IdP) によりましては運用に影響を及ぼす可能性がございます。 そのため、多くのお客様に正しく AD FS の自動証明書ロールオーバー機能をご理解いただけますよう、その一助となればと思いまして本ご案内にて情報の提供を行わせていただくことになりました。   (b) 対象の AD FS 本ご案内の対象となる AD FS は以下になります。 Windows Server 2008 R2 の AD FS 2.0 Windows Server 2012 の AD FS 2.1 Windows Server…


AD FS の証明書更新手順(トークン署名証明書、トークン暗号化解除証明書)

皆様、こんにちは。Azure & Identity サポート担当の竹村です。 前回に引き続き、本エントリではトークン署名証明書、トークン暗号化解除証明書の更新手順をご紹介いたします。   トークン署名証明書、トークン暗号化解除証明書は AD FS が発行する自己証明書であり、既定では1年に1回自動的に新しい証明書の作成、更新処理が行われます。 これを、自動ロールオーバー機能と呼びます。   自動ロールオーバー機能は、具体的には以下のように動作します。 1. 有効期限が切れる 20 日前に、セカンダリのトークン署名/トークン暗号化解除証明書を作成します。 2. 上記 1 でセカンダリの証明書が作成されてから 5日後に、セカンダリの新しい証明書がプライマリとなり、実際に利用されるようになります。 ※ この 5日間の間に、証明書利用者信頼に新しい証明書を登録する必要があります。   ※ 2019/02/14 追記 証明書利用者信頼にアップロードされるのはトークン署名証明書ですが、トークン暗号化解除証明書につきましても認証の際に利用されますので、有効期限が切れますと認証に失敗します。 トークン署名証明書だけでなく、トークン暗号化解除証明書につきましても有効期限内での更新が必要です。   ここでは、これらの証明書を手動で更新する手順をご案内いたします。 また、補足として証明書の有効期限を既定の 1年 から変更する方法についても併せてご紹介いたします。   – 対象リリース Windows Server 2012 R2 (AD FS 3.0)   – 更新手順 以下の流れで更新作業を行います。   —————— 手順の概要 —————— 1….


AD FS の証明書更新手順 (SSLサーバー証明書)

皆様、こんにちは。Azure & Identity サポート担当の竹村です。 今回は、比較的多くのお客様からお問合せをいただく、AD FS の証明書更新手順をご紹介します。 本エントリでは SSLサーバー証明書 (サービス通信証明書) の手順をご紹介し、次回にトークン署名証明書、トークン暗号化証明書についてもご案内したいと思います。   – 対象リリース Windows Server 2012 R2 (AD FS 3.0)   – 更新手順 以下の流れで更新作業を行います。   —————— 手順の概要 —————— 1. 証明書の取得 2. SSL サーバー証明書、ルート証明書、中間証明書のインストール 3. SSL サーバー証明書のアクセス権設定 4. AD FS のサービス通信証明書へ SSL サーバー証明書を設定 5. AD FS の SSL サーバー証明書を更新 6. WAP サーバーを再構成   それぞれの詳細を後述致します。 —————————————————————-…