【IDM】Windows Server 2012 R2 の Web Application Proxy ってナニするためのもの? Device Registration Service との関係は?

Active Directory の最新情報をキャッチアップ! クラウド時代の Active Directory 次の一手シリーズ 第1回~6回 公開中! 第 1 回 Active Directory の位置づけ 第 2 回 Active Directory ドメイン サービスの新しい役割 第 3 回 Active Directory フェデレーション サービスの役割 解説編 第 4 回 Active Directory フェデレーション サービスの役割 構築編 第 5 回 認証のためのプロキシ Web Application Proxy 第 6 回 Microsoft Azure Active Directory とは Windows Server…

2

【IDM】Active Directory Federation Service が起動できない場合にはサービスアカウントのパスワードをリセットしてみる

Active Directory の最新情報をキャッチアップ! クラウド時代の Active Directory 次の一手シリーズ 第1回~6回 公開中! 第 1 回 Active Directory の位置づけ 第 2 回 Active Directory ドメイン サービスの新しい役割 第 3 回 Active Directory フェデレーション サービスの役割 解説編 第 4 回 Active Directory フェデレーション サービスの役割 構築編 第 5 回 認証のためのプロキシ Web Application Proxy 第 6 回 Microsoft Azure Active Directory とは たったいまこんなことがありました。 Windows…

0

【大阪】新しい BYOD シナリオ デモ を大阪で行います ~ ID&IT カンファレンス 2013 @大阪

以前、以下の投稿をしました。 【BYOD】デバイス認証ができるようになった WS 2012 R2 ADFS -テスト手順書公開 http://blogs.technet.com/b/junichia/archive/2013/08/29/3593415.aspx 上記の手順書にそってセットアップしていただければ、新しい Widows Server 2012 R2 と Windows 8.1 によるデバイス認証(Workplace Join)の環境を構築することができます。 とはいえ、実際に動いてるところを見てからだなぁ~と思われる方も多いはず。 そこで、2013年9月18日(水) ANAクラウンプラザホテル 大阪で開催される ID&IT Management Conference 2013 にてWorkplace Join の実演を行います。 なかなか大阪で実施する機会が無いので、ぜひ上記イベントにご参加ください。 イベント自体は、タイトル通り、Identity Technologies に特化したもので、MSテクノロジー以外にも興味深いセッション満載です! みなさまのご来場をお待ちしております~

1

【BYOD】デバイス認証ができるようになった WS 2012 R2 ADFS -テスト手順書公開

Active Directory の最新情報をキャッチアップ! クラウド時代の Active Directory 次の一手シリーズ 第1回~6回 公開中! 第 1 回 Active Directory の位置づけ 第 2 回 Active Directory ドメイン サービスの新しい役割 第 3 回 Active Directory フェデレーション サービスの役割 解説編 第 4 回 Active Directory フェデレーション サービスの役割 構築編 第 5 回 認証のためのプロキシ Web Application Proxy 第 6 回 Microsoft Azure Active Directory とは 既にご存知の方も多いと思いますが、Windows Server…

3

【IDM】Active Directory Federation Service 2.1 の新機能

※この投稿は Office 365 Advent Clendar 2012 に参加しています。 軽い話題ですんません。 私の大好きな Active Directory Federation Service 2.0 は、Office 365 の爆発的人気に伴い、今ではすっかりフィールドに浸透しました。もう、「AD FS なんて知らない、聞いたことない」という方はいらっしゃらないでしょう。 そんな中、いまひそかに熱い注目を集めているのが Windows Server 2012 に標準実装された Active Directory Federation Service 2.1 です。新しい Hyper-V や Failover Cluster の陰に隠れて目立たないことこの上ないですが、地味ながら確実に進化しています。 Active Directory フェデレーション サービス(2.1)の概要 http://technet.microsoft.com/ja-jp/library/hh831502.aspx 上記サイトにも書かれている通り、AD FS 2.1 の新機能として3つが挙げられています。 役割の1つとしてサーバーマネージャーまたは PowerShell でインストールできるようになった AD FS 役割をインストールすれば、add-pssnapin をすることなくコマンドレットが使用できる Kerberos チケットからクレームを取得できるようになった ここで大いに気になるのは 3…

0

【IDM】AD FS で既存のクレームルールセットをバックアップするには

前回以下の投稿をしました。 【IDM】AD FS で Event ID 323、364 が発生して認可されない場合の対処 この投稿に関連し、既存のクレームルールセットをバックアップする方法についても紹介しておきます。クレームルールは大切なリソースですから、変更の前には必ずバックアップするようにしましょう。 AD FS には PowerShell 用コマンドレットが大量に用意されており、それらを使えばバックアップなんて簡単です。 AD FS 2.0 Cmdlets in Windows PowerShell クレームルールセットを取得できるのは、以下の2つです。 Get-ADFSClaimsProviderTrust :要求プロバイダー信頼に関する情報の取得 Get-ADFSRelyingPartyTrust :証明書利用者信頼(RP)に関する情報の取得 いずれのコマンドレットも、出力のフォーマットは同様です。今回は、Get-ADFSClaimsProviderTrust を使用してみます。 PowerShell コンソールを開き、 以下のコマンドレットで AD FS スナップインを読み込んでください。 PS C:\>Add-PSSnapin Microsoft.Adfs.Powershell 要求プロバイダー名が "Active Directory" であれば、以下のようにして要求プロバイダーの情報を取得することができます。 PS C:\> Get-ADFSClaimsProviderTrust -Name "Active Directory" 出力結果の中に AcceptanceTransformRules というプロパティが用意されていますが、これがクレームルールセットです。 そこで、以下のように入力すると、以下のように、クレームルールセットのみを取得することができます。 PS C:\> $cp =…

1

【IDM】AD FS で Event ID 323、364 が発生して認可されない場合の対処

みなさん、AD FS 使ってますか~? とかるーいノリで…。 たったいま、ハマった現象について覚書程度に記しておきます。 AD FSをインストールすると、規定の要求プロバイダーとして Active Directory が登録されます。 でもって、この要求プロバイダー"Active Directory"には、既定のクレームルールセットが登録されています。 この規定のクレームルールを削除してしまうと、認証方式や認証のタイムスタンプ等をRP(Relying Party)側に伝えることができなくなり、RP 側の STS からセキュリティトークン発行を拒否されてしまうことがあります(RP 側 STS の実装によります)。 拒否されると、イベントログには以下のようなイベントが出力されます。 フェデレーション サービスは、発信者 ” から証明書利用者 ‘https://tfazureforitpro.accesscontrol.windows.net/’ へのサブジェクト ‘Administrator’ の代理としてのトークンの発行を承認できませんでした。 発信者 ID については、同じインスタンス ID を持つイベント 501 を参照してください。 OnBehalfOf ID (存在する場合) については、同じインスタンス ID を持つイベント 502 を参照してください。 インスタンス ID: d3c3c678-6bce-4fb5-90ee-f86810c4c53c 例外の詳細: Microsoft.IdentityServer.Service.IssuancePipeline.OnBehalfOfAuthorizationException: MSIS5009: 証明書利用者信頼 https://tfazureforitpro.accesscontrol.windows.net/ の発信者 ID および委任…

0

【WP for IT Pros】AD FS 接続テストツール(ADFSClient)を公開しました

非常にニッチな Windows Phone アプリを公開しました。 その名も、AD FS 接続テストツール です。 社内の AD FS から SAML トークンが正しく受け取れるかどうかを検証するためのツールです。 まだマーケットプレースの検索にはヒットしないようですが、以下からダウンロードすることができます。 http://www.windowsphone.com/ja-JP/apps/6396423a-d26e-4ef7-a03e-9e695f87d52b 画面は以下の1画面だけ(笑)。「ログオン」をタップして正常に認証/認可されると、右のような画面が表示されます。これだけです。    こんなアプリも公開可能なので、ITPROの方にも是非チャレンジしていただきたいですねl このアプリのソースコードは以下で公開しています。是非もっと便利にアレンジして使ってください! 2011/11/28 セミナー資料 Windows Phone アプリケーションに認証機能を実装する

1

【WP for ITPro】Windows Phone から直接 Active Directory 認証を行うには ~その4(完結編)

※この投稿は Windows Phone Advent Calender 2011 に参加しています ※こちらもお勧め Windows Phone Advent Calendar "ひとり" 2011 : ATND Windows Phone + Active Directory の 4 回目です。過去の投稿は以下より。 2011年11月28日 Tech Fielders セミナー 「Windows Phone に認証機能を実装する」で使用した資料、ソースコードは以下からどうぞ。当日の収録動画もあります。 2011/11/28 セミナー資料 Windows Phone アプリケーションに認証機能を実装する 前回までの作業で準備が整いました(かなり時間が空いてしまいましたが)。ここからは、実際に Active Directory Federation Service からセキュリティトークンを受け取ってみましょう。 極力シンプルなコードにするために、各パラメタはハードコーディングしますのでご容赦ください。 はじめに新しい Windows Phone のプロジェクトを作成します。選択するテンプレートは「Windows Phone アプリケーション」でよいでしょう。 プロジェクトが開いたら、前回作成したライブラリ(IdentityModel.WP7.dll)を「参照設定」に追加します。 MainPage.xaml ファイルをダブルクリックして開いてください。ここに、ボタンを2つ追加しておきます。1つは SSL 証明書をインストールするためのボタン、もう1つはログオンしてセキュリティトークンを受け取るためのボタンです。今回は極力シンプルにするためにユーザー名やパスワードなどは、すべてハードコーディングしてしまいます。なのでテキストボックスは使いません。 はじめに、AD…

0

【IDM】テキストファイルを AD FS のカスタム属性ストアとして登録してみる その1

やっとこの話題に触れることができます。なぜ触れなかったかというと、全くテストしていなかったから…すんません。 TechNet に以下の記事が用意されています。この記事では、独自の属性ストア(テキストファイル)を作成して実装する手順が紹介されています。 AD FS 2.0 Attribute Store Overview(英語) 英語ということもあり読むのも面倒ですし、せっかくなのでここでご紹介します。 AD FS の既定の属性ストアは以下の通りです。 Active Directory Domain Service Active Directory Lightwaight Directory Service SQL Server SQL Server を属性ストアとして使用する場合には、以下に示す手順に従って登録する必要があります。 【IDM】AD FS 2.0 で属性ストアとしてSQL Server を使用する では、これ以外の属性ストア(例えばテキストファイルとか Facebook とか)を使用したい場合にはどうしたらよいかといえば、独自のクラスライブラリを作成して、AD FS にカスタム属性ストアとして登録する必要があります。 クラスライブラリの仕事は何かというと、AD FS からクエリーを受け取り、指定された属性ストアからデータを検索して AD FSに返してあげる…とうことです。理屈は単純ですね。 そうすると、実装すべきものは見えてきます。 AD FS のお作法にのっとって、クエリーや結果の受け渡し部分をコーディング カスタム属性ストアにアクセスしてクエリーに合致したデータを検索する クエリーや属性ストアに不備があればエラーとしてAD FSに返してあげる といった感じです。単純ですね。 今回はテキストファイルをカスタム属性ストアとして使用しますが、作りさえすれば ORACLE だろうが OpenLDAPだろうが…

0