【IDM】Windows Server 2012 R2 の Web Application Proxy ってナニするためのもの? Device Registration Service との関係は?

Active Directory の最新情報をキャッチアップ! クラウド時代の Active Directory 次の一手シリーズ 第1回~6回 公開中! 第 1 回 Active Directory の位置づけ 第 2 回 Active Directory ドメイン サービスの新しい役割 第 3 回 Active Directory フェデレーション サービスの役割 解説編 第 4 回 Active Directory フェデレーション サービスの役割 構築編 第 5 回 認証のためのプロキシ Web Application Proxy 第 6 回 Microsoft Azure Active Directory とは Windows Server…

2

【IDM】Active Directory Federation Service が起動できない場合にはサービスアカウントのパスワードをリセットしてみる

Active Directory の最新情報をキャッチアップ! クラウド時代の Active Directory 次の一手シリーズ 第1回~6回 公開中! 第 1 回 Active Directory の位置づけ 第 2 回 Active Directory ドメイン サービスの新しい役割 第 3 回 Active Directory フェデレーション サービスの役割 解説編 第 4 回 Active Directory フェデレーション サービスの役割 構築編 第 5 回 認証のためのプロキシ Web Application Proxy 第 6 回 Microsoft Azure Active Directory とは たったいまこんなことがありました。 Windows…

0

【大阪】新しい BYOD シナリオ デモ を大阪で行います ~ ID&IT カンファレンス 2013 @大阪

以前、以下の投稿をしました。 【BYOD】デバイス認証ができるようになった WS 2012 R2 ADFS -テスト手順書公開 http://blogs.technet.com/b/junichia/archive/2013/08/29/3593415.aspx 上記の手順書にそってセットアップしていただければ、新しい Widows Server 2012 R2 と Windows 8.1 によるデバイス認証(Workplace Join)の環境を構築することができます。 とはいえ、実際に動いてるところを見てからだなぁ~と思われる方も多いはず。 そこで、2013年9月18日(水) ANAクラウンプラザホテル 大阪で開催される ID&IT Management Conference 2013 にてWorkplace Join の実演を行います。 なかなか大阪で実施する機会が無いので、ぜひ上記イベントにご参加ください。 イベント自体は、タイトル通り、Identity Technologies に特化したもので、MSテクノロジー以外にも興味深いセッション満載です! みなさまのご来場をお待ちしております~

1

【BYOD】デバイス認証ができるようになった WS 2012 R2 ADFS -テスト手順書公開

Active Directory の最新情報をキャッチアップ! クラウド時代の Active Directory 次の一手シリーズ 第1回~6回 公開中! 第 1 回 Active Directory の位置づけ 第 2 回 Active Directory ドメイン サービスの新しい役割 第 3 回 Active Directory フェデレーション サービスの役割 解説編 第 4 回 Active Directory フェデレーション サービスの役割 構築編 第 5 回 認証のためのプロキシ Web Application Proxy 第 6 回 Microsoft Azure Active Directory とは 既にご存知の方も多いと思いますが、Windows Server…

3

【IDM】Windows Azure Active Directory と Office 365 と外部 IdP の関係(予想)

※この投稿は、あくまでも現在公開されているドキュメントやBLOG、および自身による動作検証をもとにしたものであり、マイクロソフトが正式にドキュメント化しているものではありません。あくまでも「ご参考」ということでよろしくお願いいたします。検証作業等の参考になれば幸いです。 Windows Azure Active Directory と Office 365 の関係を調べていると疑問がつきません。 特に、Access Control Service との関係など、なにがどうなっていて、どこまで認証部分をカスタマイズできて、何ができなくて。。。といったことで夜も眠れなくなります。 そこで、「こんなかんじなんじゃないか?」という予想をまとめたものが以下の図です。 なんとなく、Access Control Service(ACS) が使われているように思いがちなのですが、従来 MFG(Microsoft Federation Gateway)と呼ばれていた STS(Security Token Service)が使われているような気がします(MFGと呼んでいるかどうかは定かではありません)。ただ、MFG の Endpoint が以下のURLなので、全くACSを使っていないというわけでもなさそうで。。。 https://account.accesscontrol.windows.net/<テナントのURL> ちなみに、ACS の Endpoint は以下のような URL になります。 https://<Namespace名>.accesscontrol.windows.net/   ちなみに、以下の図で赤丸を付けた部分は、Set-MsolDomainAuthentication というコマンドレットを使用して関連付けることができます。選択できるプロトコルは WS-Federation と SAML 2.0 なので、いずれかに対応した独自 STS を開発すれば「理論上」は MFG の IdP として関連付けることができるはずです。 逆に、MFG の RP として ACS を登録する方法については…

0

【IDM】Office 365 と Windows Azure AD の電話による二要素認証

Office 365 と Windows Azure Active Directory の組み合わせで、二要素素認証が使用できるようになりました(2013年3月5日現在 プレビュー)。 Windows Azure, now with more enterprise access management! http://blogs.msdn.com/b/windowsazure/archive/2013/03/04/more-identity-and-access-management-improvements-in-windows-azure.aspx これはどのような仕組みかというと。。。。以下をご覧ください。 ユーザーがブラウザを使用して ID とパスワードを使用してサインインします。ここでIDとパスワードの検証が正しく行われると、事前に登録してある携帯電話やスマフォに電話がかかってきます。これに「#」を押して応答することで認証が成立するというものです。設定によっては、右側の図のように、ショートメッセージが送られてきて、そこに書かれているコードを入力して返信すれば認証することもできます。   この仕組みを使用するには、はじめに Office 365 を契約(評価版でもOK)します。この時にサインアップしたID(例 hogehoge@hogeorg.onmicrosoft.com)を使って Windows Azure の管理画面(例 https://manage.windowsazure.com/hogeorg.onmicrosoft.com/ )にアクセスしてログオンします。 Windows Azure Active Directory の管理画面を開くと、Office 365 で作成したドメインが表示されています。 ※この機能も新しく実装されたものです ドメインをクリックしてユーザー一覧を開いてください。Office 365 で登録したユーザー一覧が表示されます。 ※この機能も新しく実装されたものです 二要素認証を使用したいユーザーをクリックして、プロファイルを開くと、以下のように「多要素認証が必要です」をチェックできるようになっています。 このまま保存すれば、以降、IDとパスワードに加えて電話による応答が要求されるようになります。 実際の流れは以下の通りです。   1. サインイン画面で ID とパスワードを入力 2. 以下のような画面が表示される…

2

【IAM】ダイナミックアクセス制御(DAC)を理解するための解説&演習手順書

以前、以下の投稿をしました。 http://blogs.technet.com/b/junichia/archive/2012/12/10/3539674.aspx ダイナミックアクセス制御はとても面白いテクノロジーなのですが、かなり複雑なので手を付けている方は少ないのではないでしょうか。 そこで、現在実施しているハンズオンセミナーで使用している資料から、ダイナミックアクセス制御の部分を抜粋して公開しました。 解説編と演習編に分かれています。 演習環境はシンプルで、以下の2つの仮想マシンを用意していただければOKです。 ドメインコントローラーが構成された Windows Server 2012(フルインストール) ドメインのメンバーとなっている Windows Server 2012(フルインストール) 細かな設定は必要ありません。すべて演習の中で一から構築していきます。 Windows 8 の Hyper-V でも問題なく演習できます。 是非、社内の勉強会等でも活用してください! Dynamic Access Control 解説編 Dynamic Access Control 演習編  

0

【IDM】Active Directory Federation Service 2.1 の新機能

※この投稿は Office 365 Advent Clendar 2012 に参加しています。 軽い話題ですんません。 私の大好きな Active Directory Federation Service 2.0 は、Office 365 の爆発的人気に伴い、今ではすっかりフィールドに浸透しました。もう、「AD FS なんて知らない、聞いたことない」という方はいらっしゃらないでしょう。 そんな中、いまひそかに熱い注目を集めているのが Windows Server 2012 に標準実装された Active Directory Federation Service 2.1 です。新しい Hyper-V や Failover Cluster の陰に隠れて目立たないことこの上ないですが、地味ながら確実に進化しています。 Active Directory フェデレーション サービス(2.1)の概要 http://technet.microsoft.com/ja-jp/library/hh831502.aspx 上記サイトにも書かれている通り、AD FS 2.1 の新機能として3つが挙げられています。 役割の1つとしてサーバーマネージャーまたは PowerShell でインストールできるようになった AD FS 役割をインストールすれば、add-pssnapin をすることなくコマンドレットが使用できる Kerberos チケットからクレームを取得できるようになった ここで大いに気になるのは 3…

0

【IDM】AD FS で既存のクレームルールセットをバックアップするには

前回以下の投稿をしました。 【IDM】AD FS で Event ID 323、364 が発生して認可されない場合の対処 この投稿に関連し、既存のクレームルールセットをバックアップする方法についても紹介しておきます。クレームルールは大切なリソースですから、変更の前には必ずバックアップするようにしましょう。 AD FS には PowerShell 用コマンドレットが大量に用意されており、それらを使えばバックアップなんて簡単です。 AD FS 2.0 Cmdlets in Windows PowerShell クレームルールセットを取得できるのは、以下の2つです。 Get-ADFSClaimsProviderTrust :要求プロバイダー信頼に関する情報の取得 Get-ADFSRelyingPartyTrust :証明書利用者信頼(RP)に関する情報の取得 いずれのコマンドレットも、出力のフォーマットは同様です。今回は、Get-ADFSClaimsProviderTrust を使用してみます。 PowerShell コンソールを開き、 以下のコマンドレットで AD FS スナップインを読み込んでください。 PS C:\>Add-PSSnapin Microsoft.Adfs.Powershell 要求プロバイダー名が "Active Directory" であれば、以下のようにして要求プロバイダーの情報を取得することができます。 PS C:\> Get-ADFSClaimsProviderTrust -Name "Active Directory" 出力結果の中に AcceptanceTransformRules というプロパティが用意されていますが、これがクレームルールセットです。 そこで、以下のように入力すると、以下のように、クレームルールセットのみを取得することができます。 PS C:\> $cp =…

1

【IDM】AD FS で Event ID 323、364 が発生して認可されない場合の対処

みなさん、AD FS 使ってますか~? とかるーいノリで…。 たったいま、ハマった現象について覚書程度に記しておきます。 AD FSをインストールすると、規定の要求プロバイダーとして Active Directory が登録されます。 でもって、この要求プロバイダー"Active Directory"には、既定のクレームルールセットが登録されています。 この規定のクレームルールを削除してしまうと、認証方式や認証のタイムスタンプ等をRP(Relying Party)側に伝えることができなくなり、RP 側の STS からセキュリティトークン発行を拒否されてしまうことがあります(RP 側 STS の実装によります)。 拒否されると、イベントログには以下のようなイベントが出力されます。 フェデレーション サービスは、発信者 ” から証明書利用者 ‘https://tfazureforitpro.accesscontrol.windows.net/’ へのサブジェクト ‘Administrator’ の代理としてのトークンの発行を承認できませんでした。 発信者 ID については、同じインスタンス ID を持つイベント 501 を参照してください。 OnBehalfOf ID (存在する場合) については、同じインスタンス ID を持つイベント 502 を参照してください。 インスタンス ID: d3c3c678-6bce-4fb5-90ee-f86810c4c53c 例外の詳細: Microsoft.IdentityServer.Service.IssuancePipeline.OnBehalfOfAuthorizationException: MSIS5009: 証明書利用者信頼 https://tfazureforitpro.accesscontrol.windows.net/ の発信者 ID および委任…

0