【IDM】Active Directory Federation Service 2.1 の新機能

※この投稿は Office 365 Advent Clendar 2012 に参加しています。

軽い話題ですんません。

私の大好きな Active Directory Federation Service 2.0 は、Office 365 の爆発的人気に伴い、今ではすっかりフィールドに浸透しました。もう、「AD FS なんて知らない、聞いたことない」という方はいらっしゃらないでしょう。

そんな中、いまひそかに熱い注目を集めているのが Windows Server 2012 に標準実装された Active Directory Federation Service 2.1 です。新しい Hyper-V や Failover Cluster の陰に隠れて目立たないことこの上ないですが、地味ながら確実に進化しています。

Active Directory フェデレーション サービス(2.1)の概要
https://technet.microsoft.com/ja-jp/library/hh831502.aspx

上記サイトにも書かれている通り、AD FS 2.1 の新機能として3つが挙げられています。

  • 役割の1つとしてサーバーマネージャーまたは PowerShell でインストールできるようになった
  • AD FS 役割をインストールすれば、add-pssnapin をすることなくコマンドレットが使用できる
  • Kerberos チケットからクレームを取得できるようになった

ここで大いに気になるのは 3 つ目です。「Kerberos チケットからクレームを取得する」とはどういうことでしょう?そして、どんな効用があるのでしょうか?

(参考)Using AD DS Claims with AD FS(英語)
https://technet.microsoft.com/ja-jp/library/hh831504.aspx

上記英語サイトにも書かれている通り、Windows Server 2012 の Active Directory には大きく分けて2種類の「クレーム」が存在しています。

  1. Kereros チケットに格納されているクレーム。これは AD DS によって発行されたものです。
  2. SAMLトークンに格納されているクレーム。これは AD FS によって発行されたものです、

基本的に、AD FS 2.0 から見れば Kerberos チケットは「ユーザーが AD DS に認証された証」であり、AD FS が Kerberos チケットからクレームとして得られるのは、ユーザーの SID およびユーザーが所属するグループの SID でした。

AD FS 2.0 ではその他に、AD DS や AD LDS および SQL Server に格納された情報をクレームとして収集し SAML トークンに変化することができました。

しかし、その対象は「ログオンしているユーザー」をキーとしたものであり、例えばログオンしているデバイスに関する情報を収集することができませんでした。そのため、「ログオンしているコンピューターによってアクセスを制御する」ことが難しかったのです。

そんな中、革命ともいえる新たな機能が Windows Server 2012 に実装されました。それが Dynamic Access Control(ダイナミックアクセス制御)です。この機能は、Kerberos チケットにユーザーやグループ、そしてユーザーがログオンしているデバイスの属性をクレームとして格納し、それらの情報とファイルサーバーの ACL を比較することで、アクセスの可否を判断する機能です。従来のグループベースの静的なアクセス制御と異なり、日々変化するユーザーやデバイスの属性にダイナミックに対応できることから、新しいアクセス制御方式として注目されています。

※ただし、グループポリシーで「複合認証」を有効にする必要があり、これは Windows 8/Windows Server 2012/Windows RT でのみサポートされています

そして、この機能は AD FS 2.1 にとっても大きな革命なのです。

先に書いたように、AD FS 2.1 では、Kerberos チケットに格納されているクレームを読み取ることができるようになりました。

つまり、AD DS 側のダイナミックアクセス制御でデバイスポリシーが設定されており、かつ AD FS 側で Kerberos チケットからクレームを受け取るための要求規則が書かれていれば、ユーザーの属性だけでなくログオンしているデバイスの属性をもとに、クレームベースのアプリケーションに対するアクセス制御が行えるようになる。。。というわけです。

AD DS 発行の要求が AD FS と連携するしくみ

これは、今後、Office 365 ユーザーにとっても期待の大きな機能であるはずです。

。。。。とはいえ、具体的な設定に関する解説がどこにも掲載されていないため、これについては追ってまとめたいと思います。

また、ダイナミックアクセス制御についても、結構複雑なテクノロジーとうこともあって使ったことがある方は少ないと思います。こちらも概念を含めてまとめていきたいと思いますのでご期待ください。