クラウドで始めるActive Directory
6 likes•1,729 views
クラウドもしくはクラウドと共に利用可能なActive Directory関連技術と利用シナリオを紹介します。
クラウドで始めるActive Directory
- 1. クラウドで始めるActiveDirectory 株式会社ソフィアネットワーク 国井傑(くにいすぐる) スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
- 2. 自己紹介 2 Copyright 2014 Sophia Network Ltd. MicrosoftMVP for Directory Services (2006~2015) マイクロソフト認定トレーナー (1997~) ブログ Always on the clock @sophiakunii 株式会社ソフィアネットワーク所属 連載~基礎から分かる ActiveDirectory再入門 スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
- 3. 評価ガイドあります 3 Copyright 2014 Sophia Network Ltd. スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
- 4. はじめに 4 Copyright 2014 Sophia Network Ltd.
- 5. 私たちが直面するID管理の現実 5 Copyright 2014 Sophia Network Ltd.
- 6. 認証とは、(主に)ユーザー名/パスワードを入力して本人確認を行うプロセス ActiveDirectoryではKerberos(ケルベロス)と呼ばれるテクノロジーを 使って、認証と承認(認可)を行う 認証のおさらい 6 Copyright 2014 Sophia Network Ltd.
- 7. ID連携のおさらい トークンを利用してActiveDirectoryユーザーと クラウドサービス上のユーザーを関連付け 7 Copyright 2014 Sophia Network Ltd.
- 8. 【参考】用語解説IdP/CPとSP/RP 8 Copyright 2014 Sophia Network Ltd.
- 9. ID同期のおさらい 複数のディレクトリサービスに格納されるID情報を同期し、同じ情報を 互いのサービスで利用できるようにすること 9 Copyright 2014 Sophia Network Ltd.
- 11. MicrosoftAzureActiveDirectory(AzureAD) 11 Copyright 2014 Sophia Network Ltd.
- 12. Azure仮想マシンとしてADDS/ADFSを実装 基本的には、通常の仮想マシンを作成する操作と同じ操作で作成 仮想マシン作成時に提供されるディスクとは異なるディスクを用意して、 ActiveDirectoryをインストール Azureから割り当てられる動的IPアドレスを利用 ドメイン参加する他の仮想マシンにはDHCPから 割り当てられるDNSサーバー アドレスを利用する 12 Copyright 2014 Sophia Network Ltd.
- 13. AzureAD利用シナリオ 13 Copyright 2014 Sophia Network Ltd.
- 14. 現状のシステム構成から用途を考える ActiveDirectoryドメインを保有していない場合 ActiveDirectoryドメインを保有している場合 14 Copyright 2014 Sophia Network Ltd.
- 15. Azure仮想マシンのADDS利用シナリオ 15 Copyright 2014 Sophia Network Ltd.
- 16. Azure 仮想マシンでADDSを利用する上での注意事項 クラウドのみでのActive Directoryドメイン構成は非推奨 = Azure仮想マシンでのActive Directoryドメイン構成は オンプレミスとの組み合わせで利用することを前提 = オンプレミスとクラウドをAzure VPNで接続 16 Copyright 2014 Sophia Network Ltd. ローカルサブネット 10.1.0.0/16 Subnet 10.2.1.0/24 ドメインコントローラー 10.2.1.4 Azure VNET 10.2.0.0/16 サイト間VPN接続
- 17. 利用シナリオを考える バックアップ/DRサイトとしての利用 クラウドで提供するサービスへのアクセスをドメインのIDで実現 17 Copyright 2014 Sophia Network Ltd. ローカルサブネット 10.1.0.0/16 Subnet 10.2.1.0/24 ドメインコントローラー 10.2.1.4 Azure VNET 10.2.0.0/16 サイト間VPN接続 ローカルサブネット 10.1.0.0/16 Subnet 10.2.1.0/24 ドメインコントローラー 10.2.1.4 Azure VNET 10.2.0.0/16 Webサーバー 10.2.1.5
- 18. Azure仮想マシンのADFS利用シナリオ 18 Copyright 2014 Sophia Network Ltd.
- 19. ADFSのシステム構成とAzureの相性 外部からのADFSサーバーへのアクセスにはプロキシの役割となるサーバーの 設置が必須 = Webアプリケーションプロキシ(ADFSプロキシ)の設置が必須 = 外部向けのIPアドレス(VIP)が自動的に割り当てられる Azure仮想マシンはWebアプリケーションプロキシ実装を簡単にしてくれる 19 Copyright 2014 Sophia Network Ltd. ローカルサブネット 10.1.0.0/16 Subnet 10.2.1.0/24 ドメインコントローラー 10.2.1.4 Azure VNET 10.2.0.0/16 ADFSサーバー 10.2.1.5 Subnet 10.2.2.0/24 Webアプリケーション プロキシ 10.2.2.4
- 20. ADFSの実装にAzure仮想マシンを積極活用 Office365との組み合わせの場合 20 Copyright 2014 Sophia Network Ltd. ローカルサブネット 10.1.0.0/16 Subnet 10.2.1.0/24 ドメインコントローラー 10.2.1.4 Azure VNET 10.2.0.0/16 ADFSサーバー 10.2.1.5 Subnet 10.2.2.0/24 Webアプリケーション プロキシ 10.2.2.4 DirSyncサーバー 10.2.1.6
- 21. 使い始めると細かいことが気になり始める 21 Copyright 2014 Sophia Network Ltd. 外出先からパスワードを変更したい Azure管理ポータルから パスワードリセットポリシーを 有効にし、事前に携帯電話の番号を登録 アクセスパネルからパスワード リセットの登録を事前に行う アクセスパネルからパスワード リセットが実行可能 リセットされたパスワードは DirSyncによってADユーザーの パスワードが変更される
- 22. 使い始めると細かいことが気になり始める 22 Copyright 2014 Sophia Network Ltd. デバイス種類に応じて接続を制限したい Start Start
- 23. 登録されたデバイスだけを許可するためのADFS設定 23 Copyright 2014 Sophia Network Ltd.
- 24. ADFSサーバーのクレームルール言語で多彩な制限が可能 ActiveDirectoryに保存される情報 24 Copyright 2014 Sophia Network Ltd.
- 25. まとめ~ID管理にAzureサービスを活用する 25 Copyright 2014 Sophia Network Ltd.
- 26. ADFSトレーニングコース開催しています! http://www.crie-illuminate.jp/ 26 Copyright 2014 Sophia Network Ltd. ActiveDirectory フェデレーションサービストレーニング Office 365ユーザー認証ベストプラクティス(2日コース) MicrosoftAzureを活用したADFS構築(1日コース)
- 27. 27 Microsoft Confidential We don’t even have to try, It’s alwaysa good time. from “good time” by owl city & carlyraejepsen