1
1
2
バージョン
1.00 2014/6/30 ・初版リリース
1.10 2014/9/30 ・2014年9月現在の情報に更新
1.20 2015/1/31 ・2015年1月現在の情報に更新
目次 (1/2)
• Azure 上に Active Directory 構築
3
目次 (2/2)
• Office 365 認証基盤の構築シナリオ
• Microsoft Azure Active Directory
• Appendix
4
5
Active Directory Domain Services
6
AD DS を Azure に構築するメリット (1/2)
コスト(維持費)低減
7
社内 データセンター初期導入費DC 費用HW 保守費用数年後にはリプレイス・・・
AD DS1号機 AD DS2号機
AD DS3号機
Microsoft Azure社内初期導入費:なしAzure 費用 < オンプレDC費用HW 保守費用:Azure 費用に含むリプレイス:不要
AD DS3号機
AD DS1号機 AD DS2号機
VPN
VPN
認証の高速化によるサービス利便性の向上
AD DS を Azure に構築するメリット (2/2)
8
Microsoft Azure
AP サーバー
File サーバー
AD DS
社内利用者が増えるとVPN越しの通信負荷も増え、認証に時間がかかってしまうようになる。
Azure 上に AD DS がいれば、利用者が増えても認証がスムーズ。サービスへのログインもストレス無く利用できる。
Microsoft Azure
AP サーバー
File サーバー
AD DS
社内
AD DS
VPN
VPN
AD DS 1号機 AD DS 2号機
ハイブリッド環境における Azure 上での AD DS 構成例
9
※可用性セット物理障害およびメンテナンスにより、システムが落ちてしまうことを防ぐ設定
オンプレミス Microsoft Azure
可用性セット(※)
AD DS3号機 AD DS4号機
• オンプレミスの前提条件• AD DS• Site-to-Site VPN を実現できるルーター
(FW 等) 機器
VPN
ハイブリット環境構築のための前提条件
10
Azure 上での AD DS の作り方(概要)
1. Azure 仮想ネットワークの作成
2. オンプレミスとの VPN 接続設定
3. Azure 仮想マシンの作成
4. オンプレミスのドメインへの参加
5. AD DS のインストール
11
Azure 仮想ネットワークの作成
Azure 管理ポータルから仮想ネットワークを作成
12
オンプレミスとの VPN 接続設定
オンプレミスの VPN 装置に Azure との IPsec 接続を設定
13
Azure 仮想マシンの作成
Azure 管理ポータルから仮想マシンを作成
14
オンプレミスへのドメイン参加
リモートデスクトップで仮想マシンに接続し、オンプレミスのドメインに参加
15
AD DS インストール
リモートデスクトップで仮想マシンに接続し、AD DS をインストール
16
Azure 上の AD DS リストアについて
• 仮想マシン上の AD DS でディレクトリ サービス 復元モードを利用• Azure では、F8 キー押下による 復元モードの起動を行うことができない
そのため、bcdedit コマンドを利用して、復元モードの起動を行う必要がある
• これにより、システム状態のリストア作業を実施することができる
• リストア作業が完了したら、通常起動するように以下のコマンドで元に戻す
17
再起動すると、セーフモードで起動される(注) ログイン時のアカウントは
”Administrator” となる
18
Office 365 シングル サインオンのために必要なコンポーネント
19
Windows Server 2012 R2 の場合
20
AD DS
S2S VPNDevice
ディレクトリ同期
社内ドメイン社内ドメイン
社外 DNS
HTTPS:443ポートを許可
社内ネットワーク Microsoft Azure
Web Application
Proxy
WORKGROUP
AD DS+AD FS
AD FS Proxy機能を兼ね備えたリバースプロキシ
Site to Site VPN
VPN AD FSをAD DSと同じサーバーに同居可※IIS不要
Web Application Proxy のFQDN名前解決
②AD FSに接続し、認証要求
④認証完了
①Office 365にアクセス、認証要求
AD オブジェクト同期
③認証応答を返信
Windows Server 2012 以前の場合
21
AD DS
S2S VPNDevice AD DS
AD FS
ディレクトリ同期
社内ドメイン社内ドメイン
社外 DNS
HTTPS:443ポートを許可
社内ネットワーク Microsoft Azure
AD FS Proxy
WORKGROUP
Site to Site VPN
VPN
Web Application Proxy のFQDN名前解決
②AD FSに接続し、認証要求
③認証応答を返信
④認証完了
①Office 365にアクセス、認証要求
AD オブジェクト同期
22
Microsoft Azure Active Directory とは (1/2)
• クラウドで ID 管理機能、およびアクセス管理機能を提供するマルチテナント型ディレクトリサービス
• 提供機能
23
Microsoft Azure Active Directory とは (2/2)
Microsoft Azure Active Directory ≠ Windows Server Active Directory
24
• Active Directory ドメインサービス
• Windows 認証が可能
• Office 365 や Windows Intune などが使用しているマルチテナント型の認証サービス
• Windows 認証はできない• 認証 HUB• IDaaS / IDMaaS
Microsoft Azure Active Directory Windows Server Active Directory(on premise / on Azure IaaS)
Windows ServerActive Directory
orShibboleth
orPingFederate
ディレクトリ
25
ディレクトリ
ID Store(AD LDSに相当)
FederationGateway
(AD FSに相当)
CP(Id
P)側
RP(S
P)側
WS-Federation
SAML 2.0(ECP Profile)
WS-Federation
OAuth 2.0
SAML 2.0
ID同期
アカウント情報の管理• ユーザー• グループ• デバイス
Graph API(REST API)
自社開発アプリ
3rd Party SaaS
認証
アプリケーションアクセス• 既存 SaaS の認証を”インスタント”に MAAD に関連付ける
• Google Apps, Salesforce.com などは SSO/ID 同期も可能
26
Microsoft AzureActive Directory
IDフェデレーション
ID同期
パスワード連携※事前にID/Passwordを登録
Federation-Based Apps
Password-Based Apps
アクセスコントロール• 外部認証サービスから RP 側へのトークンゲートウェイ
• ACS 自身は認証プロバイダーではない
27アクセス コントロール
トークン変換
RP(S
P)側
CP(IdP)側
Windows ServerActive Directory
AD
FS
Microsoft AzureActive Directory(ディレクトリ)
Federa
tion
Gate
way
WS-Federation
OpenID OAuth 2.0
Identity Providers
Application A
Application B
WS-Federation
OAuth Wrap
多要素認証プロバイダー• 既存 IdP に認証要素を追加することができる独立したプロバイダー
28
多要素認証プロバイダー(Multi-factor Authentication Provider)
• ワンタイムパスワード(*)
• 通知(*)
• 電話• テキストメッセージ
ID / Password
Identity Providers
IE
管理ポータル
3rd PartyWebサービス
クラウドサービス
Web Application
オンプレミス
Microsoft Azure
Active Directory
AD DSAD FS
(WS 2012 R2)
(*):スマートフォン専用 (iOS, Android, Windows Phone) アプリ
29
AD DS データベース、ログファイル、SYSVOL の作成先
• 書き込みの整合性を確保するためにも AD DS を構築する際のデータベースなどは、追加したディスクに作成する。
30
追加したディスク(ドライブ)を選択。
動的 IP 利用に関する警告
Active Directory ドメイン サービス構成ウィザードの警告
31
IP アドレスが変更されないために
基本的に内部 IP アドレスは DHCP による割当
32
IPアドレスは開放されない。
IPアドレスが開放されてしまう※。
※再度実行状態にすると、割り当てされていないIPアドレスが振り直される。尚、「割り当て解除済み」となっている仮想マシンは課金されない。
Get-AzureVM -ServiceName <クラウドサービス名> -Name <仮想マシン名> | Set-AzureStaticVNetIP -IPAddress <IPアドレス> | Update-AzureVM
DNS の設定
DNS の設定は管理ポータル
※ OS 上で設定することも可能ですが、ポータルサイトからの停止(「割り当て解除済み」)やハードウェア障害によるネットワークカード再構成などが発生すると OS 上のネットワーク設定が初期化されてしまいます。
33ポータルサイトの仮想ネットワークを選択して対象の仮想ネットワークの構成で設定。
サイトとサブネット
• Azure 上に AD DS を構築後、AD DS の機能でサイトとサブネットを適正に設定する必要がある。これにより Azure 側に AD DS の認証を必要とするサーバーを構築した際に、適切な AD DS にて認証が行われるようになる。
34
オンプレミス側のサイト
Azure側のサイト
オンプレミス側のサブネットAzure側のサブネット
※ サイト間のレプリケーションは、同じサイト内でのレプリケーション間隔と比べ遅延が発生。サイト内のデフォルト:リアルタイムサイト間のデフォルト:180分
Azure 上のみで AD DS を展開
Azure 上のみで AD DS を展開する場合の留意点
35
オンプレミス
ファイルサーバー
VPNに障害が発生してしまうとオンプレミス内のリソースにアクセスできなくなってしまう。
Microsoft Azure
可用性セット
AD DS1号機 AD DS2号機
VPN
AD のユーザー数による仮想マシンのサイジング
• 仮想ネットワークを構築し、その上に各サーバーを設置
• 仮想マシンのサイズの主な要因は、組織内のユーザー数によって決まる
• 可用性を向上させるために、ほとんどのサーバーで 2 台以上の仮想マシンを用意
36
サーバーの役割 インスタンス 5,000 ユーザー未満 5,001 ~ 15,000
ユーザー15,001 ~ 50,000
ユーザー50,001 ユーザー以上
AD DS 標準 A1 (S) × 2 台 A2 (M) × 2 台 A3 (L) × 2 台 A3 (L) × 2 台
ディレクトリ同期
標準 A2 (M) × 1 台 A2 (M) × 1 台 A2 (M) × 1 台 A3 (L) × 1 台
AD FS 標準 A1 (S) × 2 台 A1 (S) × 2 台 A2 (M) × 2 台以上 A3 (L) × 2 台以上
AD FS Proxy 標準 A1 (S) × 2 台 A1 (S) × 2 台 A2 (M) × 2 台以上 A3 (L) × 2 台以上