2014年の Active Directory 利用シナリオを総復習しておきましょう!

年末ですね。早いもんです。そりゃートシもとりますし、割と真剣に国の行く末を考えたりもするようになります。 行動原理の90%が食欲で、半ズボンこそが男のたった一つの勲章だって信じていたアノ頃が懐かしいです。 トシをとったといえば、Active Directory もそうです。2000 年に誕生し、いまじゃなんと 14 歳! コンピューターは人間の 20 倍速くトシをとる(当社比)と言われてますから、人間で言えば 280 歳です!AD280年! そりゃー進化もしますし、魔法のような機能だって使えるようになります。 ご存知のように、2015 年には新しい Active Directory が登場します。 さらに、クラウドには Azure Active Directory という全く新しいアイデンティティ・プロバイダーなどというキザなアイツが誕生しました。 ちなみに、クラウドは人間の30倍速く歳をとると言われてます。 今、現状を整理しておかないと、もう進化に追いつけなくなります。今が最後のチャンスなのです。 ということで、これまでの歴史を復習するために最適なコンテンツをご紹介しますので、是非除夜の鐘をきく前に一通り復習しておきましょう。   クラウド時代の Active Directory 次の一手シリーズ 第 1 回 Active Directory の位置づけ http://www.microsoftvirtualacademy.com/training-courses/cloud-activedirectory-onlineseminar-series1 第 2 回 Active Directory ドメイン サービスの新しい役割 http://www.microsoftvirtualacademy.com/training-courses/cloud-activedirectory-onlineseminar-series2 第 3 回 Active Directory フェデレーション サービスの役割 解説編…

0

【IDM】Active Directory Federation Service が起動できない場合にはサービスアカウントのパスワードをリセットしてみる

Active Directory の最新情報をキャッチアップ! クラウド時代の Active Directory 次の一手シリーズ 第1回~6回 公開中! 第 1 回 Active Directory の位置づけ 第 2 回 Active Directory ドメイン サービスの新しい役割 第 3 回 Active Directory フェデレーション サービスの役割 解説編 第 4 回 Active Directory フェデレーション サービスの役割 構築編 第 5 回 認証のためのプロキシ Web Application Proxy 第 6 回 Microsoft Azure Active Directory とは たったいまこんなことがありました。 Windows…

0

【BYOD】デバイス認証ができるようになった WS 2012 R2 ADFS -テスト手順書公開

Active Directory の最新情報をキャッチアップ! クラウド時代の Active Directory 次の一手シリーズ 第1回~6回 公開中! 第 1 回 Active Directory の位置づけ 第 2 回 Active Directory ドメイン サービスの新しい役割 第 3 回 Active Directory フェデレーション サービスの役割 解説編 第 4 回 Active Directory フェデレーション サービスの役割 構築編 第 5 回 認証のためのプロキシ Web Application Proxy 第 6 回 Microsoft Azure Active Directory とは 既にご存知の方も多いと思いますが、Windows Server…

3

【IAM】DAC その4 ~ Dynamic Access Control のアーキテクチャ(2) ー FSRM が必要な理由

Windows Server 2012 から利用可能になった ダイナミックアクセス制御 に関して、細々と掲載を続けるシリーズです。前回までの投稿は以下の通りです。 【IAM】ダイナミックアクセス制御(DAC)を理解するための解説&演習手順書 http://blogs.technet.com/b/junichia/archive/2012/12/17/3541225.aspx 【IAM】DAC その1 ~ グループベース RBAC の破たん? http://blogs.technet.com/b/junichia/archive/2013/03/29/3561744.aspx 【IAM】DAC その2 ~ なぜ企業のアクセス管理に DAC が必要なのか http://blogs.technet.com/b/junichia/archive/2013/04/01/3562095.aspx 【IAM】DAC その3~Dynamic Access Control のアーキテクチャ(1) http://blogs.technet.com/b/junichia/archive/2013/05/07/3571125.aspx 今回は、DAC を利用するのにファイルサーバー側に FSRM(ファイルサーバー リソースマネージャー)が必要な理由について解説しておきたいと思います。 FSRM(ファイルサーバー リソースマネージャー)は既にご存知かと思いますが、念のために紹介しておきます。詳細は以下を参照ください。 ファイル サーバー リソース マネージャーの概要 http://technet.microsoft.com/ja-jp/library/hh831701.aspx FSRM はもともと Windows Server 2003 R2 で初めて実装されました。それが 2008 → 2008 R2 →2012 と進化し続け、今に至っています。 FSRM はひとことで言えばストレージをより高度かつ合理的に管理するための機能セットです。Windows Server…

0

【IDM】Office 365 と Windows Azure AD の電話による二要素認証

Office 365 と Windows Azure Active Directory の組み合わせで、二要素素認証が使用できるようになりました(2013年3月5日現在 プレビュー)。 Windows Azure, now with more enterprise access management! http://blogs.msdn.com/b/windowsazure/archive/2013/03/04/more-identity-and-access-management-improvements-in-windows-azure.aspx これはどのような仕組みかというと。。。。以下をご覧ください。 ユーザーがブラウザを使用して ID とパスワードを使用してサインインします。ここでIDとパスワードの検証が正しく行われると、事前に登録してある携帯電話やスマフォに電話がかかってきます。これに「#」を押して応答することで認証が成立するというものです。設定によっては、右側の図のように、ショートメッセージが送られてきて、そこに書かれているコードを入力して返信すれば認証することもできます。   この仕組みを使用するには、はじめに Office 365 を契約(評価版でもOK)します。この時にサインアップしたID(例 hogehoge@hogeorg.onmicrosoft.com)を使って Windows Azure の管理画面(例 https://manage.windowsazure.com/hogeorg.onmicrosoft.com/ )にアクセスしてログオンします。 Windows Azure Active Directory の管理画面を開くと、Office 365 で作成したドメインが表示されています。 ※この機能も新しく実装されたものです ドメインをクリックしてユーザー一覧を開いてください。Office 365 で登録したユーザー一覧が表示されます。 ※この機能も新しく実装されたものです 二要素認証を使用したいユーザーをクリックして、プロファイルを開くと、以下のように「多要素認証が必要です」をチェックできるようになっています。 このまま保存すれば、以降、IDとパスワードに加えて電話による応答が要求されるようになります。 実際の流れは以下の通りです。   1. サインイン画面で ID とパスワードを入力 2. 以下のような画面が表示される…

2

【IDM】Active Directory Federation Service 2.1 の新機能

※この投稿は Office 365 Advent Clendar 2012 に参加しています。 軽い話題ですんません。 私の大好きな Active Directory Federation Service 2.0 は、Office 365 の爆発的人気に伴い、今ではすっかりフィールドに浸透しました。もう、「AD FS なんて知らない、聞いたことない」という方はいらっしゃらないでしょう。 そんな中、いまひそかに熱い注目を集めているのが Windows Server 2012 に標準実装された Active Directory Federation Service 2.1 です。新しい Hyper-V や Failover Cluster の陰に隠れて目立たないことこの上ないですが、地味ながら確実に進化しています。 Active Directory フェデレーション サービス(2.1)の概要 http://technet.microsoft.com/ja-jp/library/hh831502.aspx 上記サイトにも書かれている通り、AD FS 2.1 の新機能として3つが挙げられています。 役割の1つとしてサーバーマネージャーまたは PowerShell でインストールできるようになった AD FS 役割をインストールすれば、add-pssnapin をすることなくコマンドレットが使用できる Kerberos チケットからクレームを取得できるようになった ここで大いに気になるのは 3…

0

【IDM】AD FS で既存のクレームルールセットをバックアップするには

前回以下の投稿をしました。 【IDM】AD FS で Event ID 323、364 が発生して認可されない場合の対処 この投稿に関連し、既存のクレームルールセットをバックアップする方法についても紹介しておきます。クレームルールは大切なリソースですから、変更の前には必ずバックアップするようにしましょう。 AD FS には PowerShell 用コマンドレットが大量に用意されており、それらを使えばバックアップなんて簡単です。 AD FS 2.0 Cmdlets in Windows PowerShell クレームルールセットを取得できるのは、以下の2つです。 Get-ADFSClaimsProviderTrust :要求プロバイダー信頼に関する情報の取得 Get-ADFSRelyingPartyTrust :証明書利用者信頼(RP)に関する情報の取得 いずれのコマンドレットも、出力のフォーマットは同様です。今回は、Get-ADFSClaimsProviderTrust を使用してみます。 PowerShell コンソールを開き、 以下のコマンドレットで AD FS スナップインを読み込んでください。 PS C:\>Add-PSSnapin Microsoft.Adfs.Powershell 要求プロバイダー名が "Active Directory" であれば、以下のようにして要求プロバイダーの情報を取得することができます。 PS C:\> Get-ADFSClaimsProviderTrust -Name "Active Directory" 出力結果の中に AcceptanceTransformRules というプロパティが用意されていますが、これがクレームルールセットです。 そこで、以下のように入力すると、以下のように、クレームルールセットのみを取得することができます。 PS C:\> $cp =…

1

【IDM】AD FS で Event ID 323、364 が発生して認可されない場合の対処

みなさん、AD FS 使ってますか~? とかるーいノリで…。 たったいま、ハマった現象について覚書程度に記しておきます。 AD FSをインストールすると、規定の要求プロバイダーとして Active Directory が登録されます。 でもって、この要求プロバイダー"Active Directory"には、既定のクレームルールセットが登録されています。 この規定のクレームルールを削除してしまうと、認証方式や認証のタイムスタンプ等をRP(Relying Party)側に伝えることができなくなり、RP 側の STS からセキュリティトークン発行を拒否されてしまうことがあります(RP 側 STS の実装によります)。 拒否されると、イベントログには以下のようなイベントが出力されます。 フェデレーション サービスは、発信者 ” から証明書利用者 ‘https://tfazureforitpro.accesscontrol.windows.net/’ へのサブジェクト ‘Administrator’ の代理としてのトークンの発行を承認できませんでした。 発信者 ID については、同じインスタンス ID を持つイベント 501 を参照してください。 OnBehalfOf ID (存在する場合) については、同じインスタンス ID を持つイベント 502 を参照してください。 インスタンス ID: d3c3c678-6bce-4fb5-90ee-f86810c4c53c 例外の詳細: Microsoft.IdentityServer.Service.IssuancePipeline.OnBehalfOfAuthorizationException: MSIS5009: 証明書利用者信頼 https://tfazureforitpro.accesscontrol.windows.net/ の発信者 ID および委任…

0

【WP for ITPro】Windows Phone から直接 Active Directory 認証を行うには ~その4(完結編)

※この投稿は Windows Phone Advent Calender 2011 に参加しています ※こちらもお勧め Windows Phone Advent Calendar "ひとり" 2011 : ATND Windows Phone + Active Directory の 4 回目です。過去の投稿は以下より。 2011年11月28日 Tech Fielders セミナー 「Windows Phone に認証機能を実装する」で使用した資料、ソースコードは以下からどうぞ。当日の収録動画もあります。 2011/11/28 セミナー資料 Windows Phone アプリケーションに認証機能を実装する 前回までの作業で準備が整いました(かなり時間が空いてしまいましたが)。ここからは、実際に Active Directory Federation Service からセキュリティトークンを受け取ってみましょう。 極力シンプルなコードにするために、各パラメタはハードコーディングしますのでご容赦ください。 はじめに新しい Windows Phone のプロジェクトを作成します。選択するテンプレートは「Windows Phone アプリケーション」でよいでしょう。 プロジェクトが開いたら、前回作成したライブラリ(IdentityModel.WP7.dll)を「参照設定」に追加します。 MainPage.xaml ファイルをダブルクリックして開いてください。ここに、ボタンを2つ追加しておきます。1つは SSL 証明書をインストールするためのボタン、もう1つはログオンしてセキュリティトークンを受け取るためのボタンです。今回は極力シンプルにするためにユーザー名やパスワードなどは、すべてハードコーディングしてしまいます。なのでテキストボックスは使いません。 はじめに、AD…

0

【IDM】テキストファイルを AD FS のカスタム属性ストアとして登録してみる その1

やっとこの話題に触れることができます。なぜ触れなかったかというと、全くテストしていなかったから…すんません。 TechNet に以下の記事が用意されています。この記事では、独自の属性ストア(テキストファイル)を作成して実装する手順が紹介されています。 AD FS 2.0 Attribute Store Overview(英語) 英語ということもあり読むのも面倒ですし、せっかくなのでここでご紹介します。 AD FS の既定の属性ストアは以下の通りです。 Active Directory Domain Service Active Directory Lightwaight Directory Service SQL Server SQL Server を属性ストアとして使用する場合には、以下に示す手順に従って登録する必要があります。 【IDM】AD FS 2.0 で属性ストアとしてSQL Server を使用する では、これ以外の属性ストア(例えばテキストファイルとか Facebook とか)を使用したい場合にはどうしたらよいかといえば、独自のクラスライブラリを作成して、AD FS にカスタム属性ストアとして登録する必要があります。 クラスライブラリの仕事は何かというと、AD FS からクエリーを受け取り、指定された属性ストアからデータを検索して AD FSに返してあげる…とうことです。理屈は単純ですね。 そうすると、実装すべきものは見えてきます。 AD FS のお作法にのっとって、クエリーや結果の受け渡し部分をコーディング カスタム属性ストアにアクセスしてクエリーに合致したデータを検索する クエリーや属性ストアに不備があればエラーとしてAD FSに返してあげる といった感じです。単純ですね。 今回はテキストファイルをカスタム属性ストアとして使用しますが、作りさえすれば ORACLE だろうが OpenLDAPだろうが…

0