社内インフラの技術

技術力を高めることで、快適な社内インフラを作る

ユーザ用ツール

サイト用ツール


system:federation:adfs.html


ID連携(IDフェデレーション、IDaaS)

AD FSで、自前でフェデレーションを実現しクラウドと連携

AD FSとは

  • AD FS ( Active Directory Federation Service)
  • フェデレーションをIDaaSを利用しないで自前でパブリッククラウドとフェデレーションする方法
  • Active DirectoryをSAML、WS-Federationなどの認証プロトコルに対応できるように拡張する
  • Windows Server の役割の一つ
  • ユーザーはActive Directoryで管理されているアカウントを使い、社内アプリケーションやSaaSへアクセスできます。
  • 外部サービスでは、ID情報を持たない。(クレームベースセキュリティ)
    外部サービスにもアカウントを作成する方式は、「ID連携」です。
クレームベースセキュリティ 外部サービスでは、ID情報を持たない方式
ID連携 外部サービスにもアカウントを作成する方式
ADFSで必要な証明書

ADFSには、証明書の運用が必要になってきます。

トークン署名証明書 自己証明書なので期間を長くとることも可能
サービス通信証明書 認証局事業者によって発行されたSSL証明書を利用する必要


AD FSを利用する場合のID管理関係のサーバ構成

サーバ 台数 補足
AD DS 2台 Active Directory ドメイン サービス
利用できないと認証できなくなってしまうので、2台構成にします。
AD FS

Dir Sync
1台~2台 AWSのようなパブリッククラウドやvCenterのような仮想基盤があれば1台構成
物理的に故障する可能性があるなら、2台にしましょう
AD FS Proxy 1台~2台 利用方法によって必要か不要かを検討
AWSのようなパブリッククラウドやvCenterのような仮想基盤があれば1台構成
物理的に故障する可能性があるなら、2台にしましょう

AD FS Proxyが必要か

ブラウザー メーラー(Outlook)
社内からパブリックサービス 不要 AD FS必要
社外からパブリックサービス AD FS必要 AD FS必要
  • ブラウザーアクセスの場合、社外からパブリックサービス(例 O365)にアクセスする際に必要
  • 社内クライアントから社内ADへのアクセスなのに、メーラー(Outlook)を利用してアクセスする場合はAD FS Proxyを立てる必要がある。
  • メーラー(Outlook)の場合パブリックサービス(例 O365)からAD FS Proxyにアクセスしてくるため、自己証明書ではなくMicrosoft側が対応している外部認証機関の発行したSSL証明書が必要


ADFSの仕組み


ADFSでサポートされるプロコトル

プロトコル WS-Federation SAMLプロトコル
クラウド Office365 AWS
Google Apps


参考


system/federation/adfs.html.txt · 最終更新: 2020/01/08 00:53 by kurihara

ページ用ツール