1. ADFS 2.0 & ACS V2 を使用してWindows Azure との SSO を実現しよう 第 2.2 版2011.05.30 マイクロソフト株式会社 エバンジェリスト 安納 順一（あんのう じゅんいち） http://blogs.technet.com/junichia/ twitter @junichia

2. 本日のテーマと内容 何かと難解な アイデンティティ・フェデレーション の概念と実装方法を、実際の構築手順を体験しながら理解しましょう AD FS 2.0 と AppFabric ACS V2 を使用して、Windows Azure 上に展開した アプリケーション への シングルサインオン を構成します。 Windows Azure の基礎知識 AD FS 2.0 のインストールおよび環境設定方法 Windows Azure の環境設定方法 クレームを認識するアプリケーションの作成方法 AppFabric ACS V2 との連携方法

3. Agenda 復習：Active Directory ハイブリッド クラウド シナリオ アイデンティティ管理の現状と未来 アイデンティティ・フェデレーション と クレーム ベース セキュリティ Active Directory Federation Service 2.0 AD FS 2.0 の基礎知識 これから構築する環境 AD FS 2.0 展開の準備 AD FS 2.0 のインストールと初期構成 Windows Server と Windows Azure の違い Windows Azure の準備 クレーム対応アプリケーションとは クレーム対応アプリケーションの作成 アプリケーションをAzureに展開 アプリケーションを AD FS 2.0 に登録 AD FS 2.0 Deep Dive

4. Windows Azure AppFabric ACS V2 AppFabric ACS V2 の役割 AppFabric ACS の準備 AD FS 2.0 と ACS V2 の連携とは AD FS 2.0 と ACS V2 の連携構築 Google と ACS V2 との連携構築 Facebook と ACS V2 との連携構築

5. １．復習：Active Directory

6. Business ReadySecurity 「ID & アクセス管理」は CoreIO の基盤 全てのリソースは ID を中心に結合 ホスト ネットワーク Access アプリケーション 情報 ID CoreIO : Core Infrastructure Optimization

8. 周辺ソフトウェアの Active Directory対応と適用範囲の拡大いまここ RecycleBin, AD FS 2.0 ADサービス化,RODC, GPP, PWポリシー,PowerShell対応 ADFS, SFU統合 ADAM, RMS, 管理機能の大幅な強化！ Active Directory 登場！ LDAP互換，Kerberos, マルチマスター, AD統合DNS Group Policy, GC, Site Link, SFU, 証明書 ...

11. 背景を理解しましょう2.ハイブリッド クラウド シナリオ

13. 暗闇に妖しくひかる LED

14. クールなケーブルタップ

15. はたらく自動車：：萌えるわぁ

17. 自動複製によるデータ保護

20. 3つの選択肢 全てパブリッククラウド ハイブリッド 全てオンプレミス 一部をクラウドに移行して両者の良いとこ取り 移行コストが問題 従来と変わらない運用

21. 理想的なインフラストラクチャー 全ての基盤が “1つの” システムとして協調動作 ホスター パブリック クラウド Secure CloudFederation プライベートクラウド 企業内システム

22. Secure Cloud Federation クラウド オンプレミス データ同期 ～ SQL Azure Data Sync ～ アプリケーション間通信 ～ AppFabric Service Bus ～ 今日のテーマ セキュリティ ～ AD FS 2.0 & AppFabric ACS ～ 仮想ネットワーク ～ Windows Azure Connect ～

23. 今何に困っているのか、今後何に困るのか 3. アイデンティティ管理の現状と未来

24. アプリケーションは「アイデンティティ」を求める なぜ？ -> アクセスを制御をするため クラウド クラウドも オンプレミスと同様

27. 小さな単位での統合認証AD メタディレクトリ 業務 同期 同期 統合認証 同期 同期 Open LDAP 業務 統合認証

29. ロールの二重管理パスワード ユーザー 管理簿 with パスワード 業務 ロール 管理簿 連携なし アクセス権 管理簿 ディレクトリサービス 業務 業務 ユーザー 管理簿 ユーザー 管理簿 ロール 管理簿 ロール 管理簿 アクセス権 管理簿 アクセス権 管理簿 ロールに矛盾

31. パスワード

32. メールアドレス

33. 氏名同期 同期 同期 メタディレクトリ

35. メタディテクトリシステムの導入、構築

36. オンプレミスと同じリスクをクラウドでも負うことに

37. メタディレクトリの管理

38. 同期の不整合への対応こんなはずじゃ… 初期費用 増大！ 管理コスト 増大！ …っていうか、管理しきれない…

40. 認証と認可を分離する

41. クレーム ベース セキュリティ

44. 認証と認可の分離

45. サービス側では「認証」を行わない認証 認可/承認 サービスプロバイダーは 認証機関を信頼している 認証機関 サービス プロバイダー 何らかの仕組み 利用 認証 Users Users 利用者 ID と ID を対応付ける

47. 「サービスプロバイダー」のアプリケーションは 「認証機関」が発行したチケットをベースにアクセス権を決定する（再認証は行わない）認証 認可/承認 サービスプロバイダーは 認証機関を信頼している 認証機関 サービス プロバイダー ④アクセス承認 ①証明依頼 ③チケット提示 チケット ②本人証明 Users Users 利用者 ID と ID を対応付ける

51. 氏名

52. 有効期限

53. 旅券番号

54. 写真

55. 出国印パスポート ・ ・

59. 氏名

60. 有効期限

61. 旅券番号

62. 写真

63. 出国印クレーム パスポート ・ ・ 署名

64. クレーム とは アプリケーションに渡すユーザー自身の属性 ユーザーのロールを表現しアクセス承認に使用される ユーザー ID 氏名、姓、名 資格情報（認証結果） 住所 メール アドレス 性別 役職 言語 所属部門 趣味/趣向 所属企業 会員番号 専門分野

65. セキュリティ トークン/アサーション パッケージ化されたクレーム 発行者（オーソリティ）の署名によって信頼性を担保 発行者とは事前に信頼関係を結んでおく セキュリティトークン/アサーション クレーム 1 クレーム 2 クレーム n 発行元による 署名 署名

67. 宿泊期間

68. ルームタイプ

70. 氏名

71. 有効期限

72. 旅券番号

73. 写真

74. 出国印ホテル

76. 「RP / SP」側のオーソリティはアプリケーション用にトークンを変換

77. 「RP / SP」側のアプリケーションは再認証は行わない⑦ID関連付け,ロール決定 ④ セキュリティトークン変換 RPは CP を信頼している CP / IdP RP / SP ⑧ アクセス承認 セキュリティ トークン ⑤新トークン発行 ①認証/発行依頼 ③提示 各種 オーソリティ 各種 オーソリティ ②発行 WebApp 利用者 ⑥ 新セキュリティトークン送付 RP ：Relying Party SP ：Service Provider IdP：Identity Provider CP ：Claims Provider

78. CP / IdPと RP / SP 間の信頼関係について 「信頼」とは何か？ 物理的には メタデータ/証明書/暗号化キーを事前に交換 お互いの「すり替わり」を防止 データの横取りを防止 RP / SP CP/ IdP Metadata Metadata 信頼 URI URI 精神的には IdP 側 の アイデンティティ/ロール 管理責任を信頼 SP 側の クレーム管理責任を信頼

81. WEBアプリはユーザーのロールを確認しアクセス権を決定省略されることもある RP/ SP WEBアプリ オーソリティ 新セキュリティトークン ブラウザ/アプリケーション ルール実行 アクセス制御 属性収集 ロール決定 Active Directory Federation Service2.0 Active Directory Federation Service2.0 ブラウザ/アプリケーション

83. Active DirectoryFederation Service2.0

84. AD FS 2.0 の役割と目的について 5.AD FS2.0 の基礎知識

89. STS 間でフェデレーション信頼を構築企業A 企業B RP/SP IdP/CP AD DS 信頼 ④アクセス AD DS ①認証 WIF ③Token発行 AD FS 2.0 AD FS 2.0 Application ②Token発行 クレームストア クレーム ストア IdP：Identity Provider CP：Claims Provider RP : Relying Party SP : Service Provider

92. AD FS2.0 関連コンポーネントの配置と役割 intranet DMZ ADFSPROXY ADFS AD DS 構成DB loadbalance loadbalance 認証 cluster Internet AD DSor SQL Server or AD LDS STS 構成DB R-PROXY クレーム ストア STS : Security Token Services R-PROXY : Reverse Proxy

93. 6. これから構築する環境

95. ADFS はCNAMEを使用

97. 管理者 ：administrator

98. 管理者パスワード：P@ssw0rdCName tf20101102-01（tfadfs) tf20101102-03 tf20101102-VS Application Application AD FS 2.0 WIF SDK SQL 2008R2 IIS Azure SDK ADDS IIS Azure Tools DNS VS2010

100. ActiveDirectory のインストールと構成

101. SQL Server のインストール

102. IIS のインストール

103. Windows Azureサブスクライブ

104. AD FS 2.0 展開の準備

105. AD FS 2.0 のインストールと初期構成

106. アプリケーションの開発

107. Windows Azure 上にアプリケーションを展開

108. クレームルールのカスタマイズ済 済 済 済 済 構築

109. 7.AD FS 2.0 展開の準備 済 AD FS 2.0 用 証明書の準備 IIS の SSL を有効化 WinSv 2008 R2 のセットアップ Active Directory のセットアップ SQL Server のセットアップ IIS のインストール

111. AD FS の通信を暗号化するために使用

112. 既定では IIS の SSL 用証明書が使われる

113. サブジェクト（主体名）がフェデレーションサービス名と一致していること ※サーバーファーム構成では注意が必要

114. トークン署名証明書

115. AD FS が発行するトークンの署名

116. 公開メタデータの署名

117. RPから送信されるアーティファクト解決要求の署名

118. トークン暗号化解除証明書

119. AD FS が受け取ったトークンの暗号化を解除するために使用

120. IIS の SSL 証明書が既定の暗号化解除証明書として使用される今回は自己署名証明書を使用します

121. IIS を使用した自己署名証明書の作成 ⑤AD FS 2.0 用証明書の準備 サブジェクト（主体）がホスト名

122. CNAME を登録 ⑤AD FS 2.0 用証明書の準備 tf20101102-01.tf.com (192.168.100.1) CNAME = tfadfs 名前解決 SSL証明書の主体名はここ

124. pvk2pfx.exe.CER .PFX pvk2pfx makecert .PVK

125. ⑤AD FS 2.0 用証明書の準備 自己署名証明書の作成 Visual Studio をインストールしたマシンにログオン [スタート]-[すべてのプログラム]-[Microsoft Visual Studio 2010]-[Visual Studio Tools]-[Visual Studio コマンドプロンプト] を起動 証明書（.cer）ファイルとプライベートキーファイル（ .pvk）ファイルを作成 .pvkと .cerから .pfx ファイルを作成する makecert -r -pe -n "CN=tfadfs.tf.com" -sky exchange “tfadfs.tf.com.cer" -sv“tfadfs.tf.com.pvk" pvk2pfx -pvk“tfadfs.tf.com.pvk“ -spc“tfadfs.tf.com.cer“ -pfx“tfadfs.tf.com.pfx“ -pi <パスワード>

126. ⑥IIS の SSL を有効化 [Default Web Site] の SSL を有効にする

127. ⑥IIS の SSL を有効化 接続テスト https://tfadfs.tf.com/

128. 自己署名証明書の取り込み ⑥IIS の SSL を有効化

129. ⑥IIS の SSL を有効化

130. 8.AD FS 2.0 のインストールと初期構成 AD FS 2.0 のインストール AD FS 2.0 初期構成の準備 AD FS 2.0 初期構成 AD FS 2.0 管理コンソールの確認

131. ① AD FS 2.0 のインストール AD FS 2.0 のダウンロード Active Directory Federation Services 2.0 RTW - 日本語 2008用 2008 R2 用

132. ① AD FS 2.0 のインストール AD FS 2.0 のインストール (1) AdfsSetup.exe を実行

133. AD FS 2.0 のインストール (2) ① AD FS 2.0 のインストール 前提条件は自動的に満たしてくれる 再起動

136. SQLServerサービスアカウントを作成しておく

137. サーバーファーム と スタンドアロン ② AD FS 2.0 初期構成の準備 スタンドアロン AD FS サーバー 1台 構成DB は WID のみ サーバーファーム AD FS サーバー 複数台を前提とした構成 ロードバランスが可能 構成DB は WIDor SQL Server（クラスタ可能） (ADFS+WID)*1 (ADFS+WID)*1 (ADFS+WID)*n ADFS*n ＋ SQL Server

139. 5 分に 1 回の更新チェック(各サーバー->プライマリ)

140. 機能制限が発生

141. SAMLToken Replay Detection

143. WID からの移行は不可

144. SQL Server は 1 セット

145. クラスター構成可能低 プライマリ 可用性 ADFS R/W ADFS ADFS R/O R/O セカンダリ セカンダリ 高 ADFS ADFS ADFS R/W SQL Server WID：Windows Internal Database

147. SQL Server -> fsconfigコマンド でのみ構成可能一度構成した後で移行することはできないので注意しましょう！ WIDが使われる

148. ② AD FS 2.0 初期構成の準備 (参考) Token Replay Attack とは http://msdn.microsoft.com/en-us/library/ee517257.aspx 取得済のセキュリティ トークンを再利用してアクセス権を得ようとするアタック キオスク端末等でブラウザーを閉じないと危険 ブラウザーの [戻る] でトークン取得ポイントに戻れてしまう WIF には Replay を検出する機能が実装されている Replay 検出は規定でオフ 有効にするには DetectReplayedTokens値をtrue

150. AD FS 用サービスアカウントの作成 ② AD FS 2.0 初期構成の準備 AD FS が使用するサービスアカウント サーバーファーム（複数のAD FS サービス）で共有するためドメインユーザーアカウントとして作成する スタンドアロンの場合には Network Service アカウントが使用される 管理者権限は（必ずしも）必要ない 管理者権限（servicePrincipalNameの書き込み権限）が無い場合 SPN の自動登録に失敗する（後述） 作成例

151. ③ AD FS 2.0 初期構成 インストール直後の管理コンソール ちょっとまった! 脊髄クリック注意!!

152. 1台目のAD FS～ 環境構成ウィザード編 (1) ③ AD FS 2.0 初期構成

153. 1台目のAD FS～ 環境構成ウィザード編 (2) ③ AD FS 2.0 初期構成 事前に取り込んでおいた証明書が表示される 事前に作成しておいたサービスアカウント （注意） サービスアカウントの入力が求められるのは「サーバーファーム」を選択した場合

154. ③ AD FS 2.0 初期構成 サービス名をチェック これがAD FS のエンドポイントの一部になります

155. ③ AD FS 2.0 初期構成 1台目の AD FS～ 環境構成ウィザード編 (3) サービスアカウントに指定したユーザーが管理者権限を持っていない場合に発生する

157. Kerberos でサービスの認証に使用される

158. 登録するには管理者権限が必要

159. ドメイン内に同じ SPN は登録できないSPN チェック SPNを送付 KDC SPN AD DS kerberos チケットを発行 チケット送付 AD FS 2.0サービス （adfssrv） サービス アカウント サービス認証 （参考）認証のためのサービスID http://msdn.microsoft.com/ja-jp/library/ms733130(VS.85).aspx

160. ③ AD FS 2.0 初期構成 SPN を手動で登録する setspn -a host/adfssrv <ドメイン名>lt;サービスアカウント名> (例)setspn-a host/adfssrvtfdfssvc

161. AD FS 2.0 を構成するファイルと設定情報 ③ AD FS 2.0 初期構成 SF : Server Farm

162. AD FS 2.0 をアンインストールするには ③ AD FS 2.0 初期構成 （参考）http://blogs.technet.com/b/junichia/archive/2010/07/28/3347209.aspx 証明書共有コンテナを削除（PowerShell を使用）ADSI Edit を起動し、「既定の名前付きコンテキスト」に接続し、CertificateSharingContainerの値と一致するコンテナを削除する。 AD FS 2.0（KB974408）を削除 WIF ランライム（KB974405）を削除 WID または SQL Server の当該インスタンス（もしくはデータベースのみ）を削除 IIS 上のアプリケーションとアプリケーションプール、ファイル群を削除 SPN を削除サービスアカウントの servicePrincipalName属性から「hostdfssrv」を削除 PS C:gt;Add-PsSnapin Microsoft.Adfs.Powershell PS C:gt;Get-ADFSProperties |Select-Object CertificateSharingContainer CertificateSharingContainer--------------------------- CN=0586a130-89fa-40e8-8896-18ece4d171e7,CN=ADFS,CN=Microsoft,CN=Program Data,DC=T3304,DC=com 再構成だけしたい場合は↑↓を実施 C:etspn -d host/adfssrv<ADFS サーバーのホスト名>

163. WID の管理方法 ③ AD FS 2.0 初期構成 SQL Server Management Studio Express を使用 サーバー名は.ipessql$microsoft##sseeqluery ADFS 2.0 用 DB

164. 1台目のAD FS～ fsconfigコマンド編（SQL Server を使用） ③ AD FS 2.0 初期構成 書式 FSConfig.exe CreateSQLFarm /ServiceAccount <ドメイン名>lt;サービスアカウント名> /ServiceAccountPassword <サービスアカウントのパスワード> /SQLConnectionString“database=<構成DB名> ;server=<SQL Server のサーバー名>lt;インスタンス名> ;integrated security=SSPI" /AutoCertRolloverEnabled /CleanConfig 既定の名前は AdfsConfiguration 既定のインスタンス（MSSQLSERVER）ならば指定しなくてもよい

165. ③ AD FS 2.0 初期構成 入力例 AD FS 2.0 のインストールディレクトリに移動 C:gt; cd C:rogram Filesctive Directory Federation Services 2.0 CreateSQLFarm オプションを指定して実行 C:……gt;FSConfig.exe CreateSQLFarm /ServiceAccountTFdfssvc /ServiceAccountPassword P@ssw0rd /SQLConnectionString“ database=AdfsConfiguration ;server=TF20101102-03 ;integrated security=SSPI" /AutoCertRolloverEnabled /CleanConfig

166. ③ AD FS 2.0 初期構成 対応を忘れずに! IIS上のアプリケーションを削除していない場合に出力される

167. ④AD FS 2.0 管理コンソールの確認 AD FS 2.0 管理コンソールの基礎 この AD FS 2.0（STS）で扱うことができるクレームが定義されている。逆に言えばここに定義されていないクレームを使うことはできない。先方から要求されているクレームは個々に定義する。 「要求プロバイダー」とは「IdP/CP」のこと。自分が RP/SP 側の STS である場合には、ここに IdP/CP となるサーバーを定義する。既定では自身が所属している Active Directory ドメインが定義されている（「要求プロバイダーであること」が規定値となっている）。 「証明書利用者」とは「RP/SP」のこと。自分がIdP/CP 側の STS である場合には、ここに RP/SP を定義することで信頼関係を構築できる。既定では何も定義されていない。 クレームのもととなる属性情報の格納庫を定義する。既定では、所属している Active Directory が定義されている。

169. ここに定義されていないクレームは、要求規則テンプレートで使用することができない（カスタムルールでは独自に作成可能）このクレームを外部から受信可能か否か、外部に送信可能か否かを定義 ワールドワイドで一意なクレームの名前（だから URI で書かれている）。 これを使ってクレームが識別される。 あくまでも識別名としての「名前」。このSTS内部だけで通用する。

170. ④AD FS 2.0 管理コンソールの確認 （参考）既定のクレーム タイプ

171. ④AD FS 2.0 管理コンソールの確認

172. 9.Windows Server と Windows Azure の違い

173. Windows AzurePlatform の位置づけ

174. *aaS の違い App App App IaaS PaaS App Platform Platform Platform Platform Platform オンプレミス オンプレミス Infrastructure Infrastructure Infrastructure Infrastructure Infrastructure SaaS Infrastructure オンプレミス

175. Windows AzurePlatform Web Role Worker Role VM Role Windows Azure Platform Windows Azure コンピュート ストレージ ファブリック ブロブ テーブル キュー SQL Azure WindowsAzure AppFabric Service Bus Access Control Service WindowsAzure Marketplace DataMarket Applications

176. マイクロソフトデータセンター用の Windows Server Node 用のOS PXEBoot用OS ゲストOSに 使用される ゲストOSに 使用される Rack FabricController Windows Azure ImageStore Maintenance OS Worker Role Windows Azure OS Web Role 展開・監視 ComputeNode StorageNode StorageNode ComputeNode

179. Guest VM を監視するGuestAgent GuestAgent Fabric Agent Windows AzureHypervisor Windows AzureOS（VHDboot）

181. Web ロール － フロントWEBサービスに最適化されている

182. Worker ロール － バックエンドサービスに最適化されている

183. VM ロール－ 利用者によりカスタマイズが可能Web ロール Worker ロール フロントエンド Web サービス バックエンド サービス xxx.cloudapp.net

184. アプリケーション展開までの流れ Windows Server の場合 Application 手動 Windows Server Windows Server IIS IIS 手動 Server（H/W） Server（H/W） Server（H/W） 手動 Windows Azure （PaaS）の場合 Application 手動 「サービスのURL」が DNS に登録される Windows Server IIS 自動 PaaSなので、OSをインストールするというプロセスが存在しない Hyper-V Server（H/W） サービスを作成 アプリケーションを展開

185. Windows Azure VM のスケーラビリティ 価格は2011年5月現在 サブスクリプションあたり 最大20インスタンス UP OUT インスタンス数

186. スケールアウトとスケールイン 負荷に応じてインスタンス数を調整できる インスタンスの増減はユーザーに影響しない ロール インスタンス Application Application Application Application Application Application Windows Server Windows Server Windows Server Windows Server Windows Server Windows Server IIS IIS IIS IIS IIS IIS xxx.cloudapp.net WindowsAzure DataCenter

187. アップグレード ～ Inｰplace Update 方式 Update Domain 単位でアップデートする 利用者には影響を与えない 自動更新（パッチ適用）時にも同じ方式が適用される Update Domain #0 アップデート １ Update Domain #1 アップデート 2 新環境 アップデート 3 Update Domain #2 xxx.cloudapp.net 4 アップデート Update Domain #3 5 アップデート １ Update Domain #4 アップデート Update Domain #0 Update Domain は最大5つ

188. アップグレード ～ VIP Swap 方式 ステージング環境とプロダクション環境の仮想IPを入れ替える 短時間での展開 容易なロールバック（やりなおし） xxx.xxx.xxx.xxx プロダクション xxx.cloudapp.net ステージング xxxx.hogehoge.net zzz.zzz.zzz.zzz

189. ハードウェア障害の影響 Fault Domain Cluster Top of Rack Switches Fabric Controller Node Node Node Node Node xxx.cloudapp.net Node Node Node Power Definition Unit Rack Rack Rack Rack

191. ファブリック コントローラー

192. 電源ユニット

193. スイッチ等

194. ハード障害がサービス全体に及ばないための機構

195. Windows Azure ファブリックは、ロールインスタンス群を最低 2つの異なる Fault Domainに分散配置する

196. ホストコンピューターのメンテナンス単位

197. 緊急度の高い障害修正

198. 緊急度の高いセキュリティパッチ

201. Windows Azure と Windows Server の違い ローカルストレージリセットのタイミング Reboot と ReImage（再展開）はシステム管理者の指示以外でも発生する

202. Windows Azure と Windows Server の違い 永続ストレージ 残したいデータは永続ストレージに保存する Windows AzureStorage SQL Azure REST API ゲスト（仮想マシン） http/https Application Windows Server IIS port 1433 WindowsAzure Storage ホスト（物理マシン） SQL Azure Hyper-V Server Windows Azure

203. Windows Azure Storage へのアクセス 計算ノードとストレージノードは分離されている Storage Node Compute Node Container Guest OS REST API .NET Application Query URL 操作 操作 Read/Write 有効時間 署名 SAK config SAK: Storage Account Key

205. ライブラリのインストール

206. レジストリの修正などなど Hyper-V Server 個別ファイル スタートアップスクリプト等で使用するファイル

207. 10.Windows Azure の準備 サービスを作成 自己署名証明書の登録

208. ② サービスの作成 サービスの新規作成 Windows Azure ポータル に移動 http://windows.azure.com/

209. ② サービスの新規作成 サービスのURLを設定する 識別名なので何でもよい アプリケーションのURL 世界で唯一である必要がある アプリケーションを展開するデータセンター 同時にアプリケーションを展開することもできるが、今回はまだ作成していないので「展開しない」を選択

210. ② サービスの新規作成 サービスの初期状態 「URL」を確定しただけなので、まだ OS は展開されていない

211. ③ 自己署名証明書の準備 Windows Azure で使用する証明書とは 参考 http://blogs.technet.com/b/junichia/archive/2010/09/02/3353275.aspx サブスクリプション証明書（.cer） クライアント証明書 サービス管理 API（SMAPI）へのアクセスに使用 X.509 V3（.CER）に対応し、最低 2048 bit キー を持っている サービス証明書（.pfx） サービスへの SSL 通信に使用 thumbprint によってアプリケーションと対応付け いずれも自己署名証明書を利用可能

212. ③ 自己署名証明書の準備 証明書の登録場所 サブスクリプション サブスクリプション 証明書（.cer） アカウント import サービス tf20110311.cloudapp.net サービス証明書 （.pfx） import サービス xxxx.cloudapp.net サービス証明書 （.pfx） import サービス yyyy.cloudapp.net サービス証明書 （.pfx） import

213. ③ 自己署名証明書の準備 [FAQ] 証明書の「主体（Subject）」について http://blogs.technet.com/b/junichia/archive/2010/09/03/3353536.aspx Windows Azure 上に展開されるアプリケーションの FQDN は… xxxxxxxx.cloudapp.net マイクロソフト所有のドメイン… ということは… xxxxxxxx.cloudapp.net で 証明書を取得することはできない CNAME を使用して証明書を取得する必要がある ※今回は自己署名証明書を使用します

214. ③ 自己署名証明書の準備 自己署名証明書の作成 Visual Studio をインストールしたマシンにログオン [スタート]-[すべてのプログラム]-[Microsoft Visual Studio 2010]-[Visual Studio Tools]-[Visual Studio コマンドプロンプト] を起動 証明書（.cer）ファイルとプライベートキーファイル（ .pvk）ファイルを作成 .pvkと .cerから .pfx ファイルを作成する .cerと .pfxファイルを Windows Azure にインポートする makecert -r -pe -n "CN=tf01.cloudapp.net" -sky exchange “tf01.cloudapp.net.cer" -sv“tf01.cloudapp.net.pvk" pvk2pfx -pvk "sydneytest.cloudapp.net.pvk“ -spc“tf01.cloudapp.net.cer“ -pfx“tf01.cloudapp.net.pfx“ -pi <パスワード>

215. ③ 自己署名証明書の準備 サブスクリプション証明書の登録（.cer）

216. 11. クレーム対応アプリケーションとは

217. クレーム対応アプリケーションとは 「認証の分離」とその限界 多くのアプリケーションが「認証」を分離してきたが… アプリケーション これまでの方式 認証 ロール サービス アプリケーション 認証 ロール サービス 認証

219. Identity 管理ポリシーの違い

220. アプリケーション側の対応

221. Single Sign-On/Off への適用Active Directory アプリ1 プロトコル 情報の整形 情報の解釈 情報 プロトコル 強い絆 情報 情報 強い絆 強い絆 アプリ2 OpenLDAP プロトコル 情報の整形 プロトコル 情報の解釈 情報 強い絆 情報 情報

223. STS によりアプリケーション側の処理を削減

224. 情報はセキュリティトークンに格納して受け渡しSTS STS Active Directory アプリ1 プロトコル 情報の整形 情報の解釈 プロトコル 情報 プロトコル フェデレーション信頼 情報 情報 STS アプリ2 OpenLDAP STS プロトコル プロトコル プロトコル 情報の整形 情報の解釈 情報 情報 情報

226. アプリケーションは受け取ったロールを解釈するだけWIF AD FS 2.0 STS STS Active Directory アプリ1 プロトコル 情報の整形 情報の解釈 プロトコル 情報 プロトコル 信頼 情報 情報 WIF：Windows Identity Foundation

227. クレーム対応アプリケーションとは 認証/ロール管理からの分離 アプリケーション これまでの方式 認証 ロール サービス アプリケーション 認証 ロール サービス 認証 セキュリティ トークン アプリケーション クレームに対応 認証 クレーム クレーム解釈 サービス クレーム 認証

228. クレーム対応アプリケーションとは WIF アプリケーションの構造 WIF (Windows Identity Foundation) を使用してセキュリティー トークンからクレームを取り出す WIF は WS-Federation/WS-Trustをサポート ロールは既にトークンにセットされているので評価するだけでOK AD FS 2.0 ASP.NET クレームの評価 トークン ロール判定 Windows Identity Foundation 各種処理 .NET Framework 4 ブラウザー

229. クレーム対応アプリケーションとは クレームの構造と識別方法 Microsoft.IdentityModel.Claims http://msdn.microsoft.com/ja-jp/library/microsoft.identitymodel.claims.aspx これらの値で クレームを識別する Claims ClaimType Claim Value Claim Claim Issuer Claim OriginalIssuer ValueType subject

230. クレーム対応アプリケーションとは サポートされているプロトコルとトークン形式 AD FS 2.0 WIF パッシブ SAML WebSSO SAML 2.0 トークン パッシブ WS-Federation SAML1.1 トークン アクティブ WS-Trust (CardSpace 対応含む) SAML 2.0トークン SAML 1.1 トークン

231. 12. クレーム対応アプリケーションの作成 開発環境の準備 アプリケーションの作成

232. 事前にインストールしておくもの ① 開発環境の準備 Windows 7 + Visual Studio 2010（Expressも可）の場合 WindowsAzure Tools for Microsoft Visual Studio 1.4（2011年3月） VSCloudService.exe VSCloudService.VS100.ja-jp.msi （言語パック） ※Windows Azure SDK1.4 も一緒にインストールされます Windows Identity Foundation 3.5 ランタイム 日本語版（KB974495） Windows6.1-KB974405-x64j.msu Windows Identity Foundation 3.5 日本語版 WindowsIdentityFoundation-SDK-3.5.msi Windows Identity Foundation 4.0 英語版 WindowsIdentityFoundation-SDK-4.0.msi Microsoft CAPICOM 2.1.0.2 SDK※自己署名証明書を作成する場合に必要

233. WIF対応アプリケーション用テンプレートを複製 ① 開発環境の準備 %Program Files(x86)%indows Identity Foundation SDK4.0isual Studio Extensions0.0 ├ csClaimsAwareASPNETSite.zip ├ csClaimsAwareWCFSite.zip ├ csSTSASPNETSite.zip └ csSTSWCFSite.zip コピー <マイドキュメント>isual Studio 2010emplatesroject Templatesisual C# WIF を使用するための テンプレートが追加される

234. ② アプリケーションの作成 管理者として VSを実行 OR

235. ② アプリケーションの作成 テンプレートの選択

236. ② アプリケーションの作成 ロールの指定 ワーカーロールとWebロールの違いについての詳細は以下を参照 Windows Azure Platform の概要 http://technet.microsoft.com/ja-jp/cloud/gg236628.aspx

237. ② アプリケーションの作成 Windows Identity Foundation の参照追加 .NET から Microsoft.IdentityModel を追加する

238. ② アプリケーションの作成 Microsoft.IdentityModel モジュールの複製設定 Windows Azure で用意されている Windows Server には WIF がインストールされていない。そこで、Microsoft.IdentityModel をAzure 上でも使用できるよう、パッケージの中に組み込んでおく必要がある。 一緒にアップロード パッケージ Microsoft.IdentityModel

239. ② アプリケーションの作成 SSL の設定とは SSL を使用する場合には、サービス証明書へのポインター（Thumprint）を Visual Studio 側に設定しておく必要がある

240. ② アプリケーションの作成 SSLの設定 ①

241. ② アプリケーションの作成 SSLの設定 ② 識別名なので何でもよい このまま サービス証明書の Thumbprint HTTPS/443 を選択 証明書の識別名を 選択

242. ② アプリケーションの作成 STS 参照の追加 とは アプリケーションにSTS（セキュリティ トークン サービス）のメタデータを取り込むことで、信頼関係を確立する サービス提供 信頼 取り込む 認証機関 AD FS 2.0

243. ② アプリケーションの作成 STS 参照の追加 ① AzureアプリのURLを指定する

244. ② アプリケーションの作成 STS 参照の追加 ② 「既存のSTSを使う」に AD FS 2.0 のメタデータを指定する 指定するのはCNAMEを使用したホスト名 https://tfadfs.tf.com/～ 「https://tfadfs.tf.com/」まで入力してクリックすると自動的に補完

245. ② アプリケーションの作成 STS 参照の追加 ③ 今回は自己発行証明書なので「チェックしない」

246. ② アプリケーションの作成 STS 参照の追加 ④ IIS のSSL証明書が使われる

247. ② アプリケーションの作成 STS 参照の追加 ⑤ AD FS 2.0 のメタデータに記載されている、「必須な」「使用可能な」 クレームタイプの一覧が表示される AD FS 2.0 で用意された FederationMetadata.xml（抜粋） AD FS 側の都合で変更される可能性がある

248. ② アプリケーションの作成 STS 参照の追加 ⑥ AD FS 2.0 のメタデータを定期的に取り込むかどうかを指定する

249. ② アプリケーションの作成 STS 参照の追加 ⑦ STS参照追加後のプロジェクト アプリ自身のメタデータが生成される AD FS 2.0 側に取り込む必要がある ※AD FS 2.0 のメタデータではない 取り込んだ AD FS 2.0 用メタデータをもとに、 AD FS 2.0 と通信し認証/承認 するための定義が大量に追記されている

250. ② アプリケーションの作成 Web.configの編集 ① <system.web> は複数存在するので、挿入場所に注意してください <configuration> <system.web> <customErrors mode=“off” /> <httpRuntimerequestValidiationMode=“2.0” />

251. ② アプリケーションの作成 Web.configの編集 ② Azure にアップロードした サービス証明書の Thumbprint を追記する <serviceCertificate> <certificateReference x509FindType="FindByThumbprint" findValue=“<THUMBPRINT>"/> </serviceCertificate>

252. ② アプリケーションの作成 コーディング …面倒なので作ってあります 以下からダウンロードできます… http://blogs.technet.com/b/junichia/archive/2011/03/08/3392241.aspx 証明書の設定、STS参照の追加 だけ行ってください

253. 13. アプリケーションをAzureに展開 [解説]アプリケーションの発行方法について サービスパッケージを作成 サービスパッケージをアップロード メタデータへの接続を確認

255. パッケージファイルを保存して、ポータルサイトからアップする直接発行 アップロードして展開 ここまでは 開発者の仕事 展開するのはITPROの仕事 サービスパッケージを作成 .cspkg .cscfg Windows Azure Portal

256. ② サービスパッケージを作成 サービスパッケージを作成 (1) IIS への発行とは少し異なります インフラ担当者は、今後パッケージの展開を依頼されることがあるはずです その場合にはこの方法を使用します。

257. ② サービスパッケージを作成 サービスパッケージを作成 (2) コンパイルが完了するとエクスプローラーが開かれる この2つのファイルを アップロードする

258. ③ サービスパッケージをアップロード サービスパッケージをアップロード (1)

259. ③ サービスパッケージをアップロード サービスパッケージをアップロード (2) ロールインスタンスが1つの場合に出るワーニング

260. ③ サービスパッケージをアップロード サービスパッケージをアップロード (3)

261. ③ サービスパッケージをアップロード サービスパッケージをアップロード (4) URLはHTTPであることに注意

262. メタデータへの接続を確認 アップロードが完了してステータスが「Ready」になったら、以下に接続して表示されることを確認してみましょう。 https://tf01.cloudapp.net/FederationMetadata/2007-06/FederationMetadata.xml

263. 14.AD FS 2.0 への登録 AD FS 2.0 への登録 動作確認

264. ① AD FS への登録 AD FS 2.0 への 登録 とは アプリケーションのメタデータをAD FS 2.0 に登録することで、セキュリティトークンの発行を許可する サービス提供 信頼 取り込む 認証機関 AD FS 2.0

265. AD FS 2.0 への登録 (1) ① AD FS への登録 今度は WindowsAzure に展開したアプリケーションを、AD FS 2.0 に登録します。 前ページのメタデータ のURLを指定する

266. ① AD FS への登録 AD FS 2.0 への登録 (2) 見分けがつきやすい表示名を指定する

267. ① AD FS への登録 AD FS 2.0 への登録 (3)

268. ② 動作確認 実行テスト https://tf01.cloudapp.net/

270. ② 動作確認 Passive Web SSO の流れ ブラウザを使用してアプリケーションにアクセス アプリケーションが信頼している CPにリダイレクト セキュリティトークン発行のために CP 側 で認証 認証が完了するとクレームが収集され、ルールにのっとってロールを決定後、セキュリティトークンが生成される セキュリティトークンはブラウザーが送られ、ブラウザからアプリケーションにリダイレクト セキュリティトークンがアプリケーション内で解析され、ユーザーのアクセス権が決定 アプリケーションの画面がブラウザに送信

271. AD FS2.0 をもっと使いこなすために 15.AD FS2.0Deep Dive クレームパイプラインと要求規則（クレームルール） 要求規則の定義例 カスタムルールの定義例 AD FS 2.0 の監査

272. AD FS 2.0Deep Dive クレームパイプラインと要求規則（クレームルール）

273. 用語について 基本的に、日本語 UI に沿った用語を使用します。 が…ちょっとアレなところもあるので、以下の対応票を参考にしてください。

274. クレームパイプラインと要求規則（クレームルール） 要求規則 (Claim Rule) 入力された情報をルール (規則) に沿って処理し出力する 処理されたクレームは既定のパイプラインを通る 要求規則 入力方向の要求 他の要求 プロバイダー スルー LDAP 属性 変換 出力 AD DS AD LDS LDAP メンバーシップ フィルター SQL Server その他 カスタム クレーム

275. クレームパイプラインと要求規則（クレームルール） 要求規則セット (Claim Rule Set) のタイプ 受け付け変換規則 - Acceptance Transform Rule Set要求プロバイダー ー(AD DS, SQL Server, LDAP) から受け入れるクレーム セット 発行承認規則 - Issuance Authorization Rule Set証明書利用者 (RP) にアクセス可能なユーザーを明確にするためのルール。許可されたユーザーは「発行変換規則」からクレームを受け取れるため、証明書利用者へのアクセスが可能になる。 発行変換規則 - Issuance Transform Rule Set「受け付け要求規則」から発行されたクレーム セットを入力とし、証明書利用者 (RP) に発行するクレームを生成する 委任承認規則 - Delegation Authorization Rule Set他のユーザーの代理として証明書利用者 (RP) にアクセスできるかどうかを判断するためのルール 偽装承認規則 - Impersonate Authorization Rule Setユーザーが他のユーザーを偽装してアクセスできるかどうかを判断するためのルール。WindowsPowerShell で実装する。

276. クレームパイプラインと要求規則（クレームルール） AD FS 2.0 ～クレーム パイプライン 証明書利用者 (RP) クレームストア トークン ② 承認する ③ 発行する ① 受付ける 発行 変換 規則 output 受け 付け 変換 規則 input 発行 承認 規則 input output output input OK/ NG switch 要求プロバイダー信頼 (Claims Provider Trusts) 証明書利用者信頼 (Relying PartyTrust) 要求規則 (Claim Rule)

278. 「証明書利用者信頼」に渡すためのクレームをセットする大原則① ここで定義されたクレームのみが、パイプラインに沿って「証明書利用信頼」に渡される

280. 「発行変換規則」に移行させるかどうかを判断

281. クレームは発行しないこの設定では「受け付け変換規則」を通過したユーザー全てに、「発行変換規則」への進行を許可

283. 以下を最終決定する

284. ユーザーにセキュリティトークンを発行するかどうか

285. RP/SP にどんなクレームを送信するか規定では空（何も発行しない） ただし、「認証メソッド」と「認証日時」だけは送信される

287. 規定で用意されているルールを使用する場合

288. [LDAP 属性を要求として送信]

289. [グループ メンバーシップを要求として送信]

290. [入力方向の要求を変換]

291. [入力方向の要求をパススルーまたはフィルター処理]

292. [カスタム規則を使用して要求を送信]

293. [入力方向の要求に基づいてユーザーを許可または拒否]

294. [すべてのユーザーを許可]

295. カスタムルールを定義

296. 用意されていないルール（ロジック）を使用する場合

297. 用意されていない ldap属性を使用する場合

298. AD DS/ldap以外のクレームストアを使用する場合

299. SQL Server

300. その他（テキストファイル など）and くどいようですが… [要求記述]に記載されていないクレームタイプは使用できないので、事前に定義しておく必要がある

301. クレームパイプラインと要求規則（クレームルール） （参考）既定の LDAP 属性 これ以外の ldap 属性を使用する場合には「カスタム規則」を使用

302. AD FS 2.0Deep Dive 要求規則（クレームルール）の定義 例 要求記述の定義 発行承認規則の定義 発行変換規則の定義 クレームルールの定義にありがちなミス

304. セキュリティトークンには「氏名」「役職」「部署」「メール」を含める規定で用意されないため「要求記述」に定義する必要がある

305. 要求規則（クレームルール）の定義 例 作業概要 要求記述に「部署」を追加 「発行承認規則」で「エバンジェリスト」以外を抑止 「発行変換規則」で上記4つのクレームを定義する

306. 要求規則（クレームルール）の定義 例 要求記述に「部署」を追加 クレームタイプ を URI で設定する。 世界で唯一にするため、自社ドメイン名を入れるとよい。

307. 要求規則（クレームルール）の定義 例 「発行承認規則」で「エバンジェリスト」以外を抑止 「すべてのユーザーにアクセスを許可」を削除

308. 要求規則（クレームルール）の定義 例 「LDAP属性を要求として送信」を選択 Active Directory の属性「title」を 「役割」に放り込む

309. 要求規則（クレームルール）の定義 例 「入力方向の要求に基づいてユーザーを許可または拒否」を選択 さらに規則を追加する

310. 要求規則（クレームルール）の定義 例 クレーム「役割」が「エバンジェリスト」ならば… 条件に合致したユーザーのみを「許可」

311. 要求規則（クレームルール）の定義 例 要求規則 の処理プロセスについて 前のルールの結果が次のルールに引き継がれる クレーム 要求規則セット 要求規則1 発行 条件 Input Claim Set 要求規則2 OutputClaim Set 要求規則 n トークン

312. 要求規則（クレームルール）の定義 例 「発行変換規則」で4つのクレームを定義

313. 要求規則（クレームルール）の定義 例 LDAP属性を要求して送信 複数の ldap属性を一度に定義可能

314. 要求規則（クレームルール）の定義 例 完成形

315. 実行結果例 要求規則（クレームルール）の定義 例 OK NG 役割が「エバンジェリスト」でなければアクセス拒否

319. AD FS 2.0Deep Dive カスタムルールについて

320. カスタムルールの定義 カスタムルールのサンプルを見るには

321. カスタムルールの定義 条件部 発行部

322. カスタムルールの定義 カスタムルールの構造 True 条件部 発行部 False 条件文 1 => 発行文 条件文 2 && 入力方向のクレーム/属性をチェックし、すべての条件が True の場合に「発行部」が実行される。条件部が無い場合には無条件で True とみなされる。 条件部 && オプション 発行部 発行するトークンタイプと、そこに格納する属性/値を指定する。 必須 「クレームが発行されない」≠ アクセスできない ※クレームを持っていないユーザーにアクセスを許可するかどうかは アプリケーションの判断

326. Type == “http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname“

327. Issuer == "AD AUTHORITY“

328. store = "Active Directory“

329. query = “;logonCount,{0}“

330. param= c.Value条件部 WindowsAccountNameというクレームが発行されている クレームを発行したのは “ADAUTHORITY” である 発行部 ”Active directory”というクレームストアから 属性を取ってくる 持ってくる属性は「logonCount」で、 ADを検索する条件は windowsaccountname = {0} {0} の値は条件部で渡された WindowsAccountNameの値

334. RegExReplace：文字列を置き換えるcount([type == “http://schemas.xmlsoap.org/claims/Reports“] ) > 0 => issue(= "http://schemas.xmlsoap.org/claims/ismanager", value = "true"); c:[type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"] => issue(type = c.type, value = regexreplace(c.value, "(?<domain>[^]+)(?<user>.+)", "FABRIKAM{user}"));

336. add ：input claim set に直接発行する-> クレーム発行のためのテンポラリー領域的な使い方add ステートメントは output クレームを発行しない クレーム 要求規則セット 要求規則1 => add(type = “title”, value = “部長"); input 領域にのみ発行 Input Claim Set OutputClaim Set 要求規則2 title = “部長” role=“Manager” [type == “title”, Value == “部長”] => issue(type = "Role", value = “Manager");

337. AD FS 2.0Deep Dive カスタムルールの定義例

339. ユーザーのアクティブ度（笑）をログオン回数から判定し、回数に応じた Status 与える（アプリケーション側では Status に応じて表示するメニューを変える）

340. 以下のクレームを送信する規定で用意されないため「要求記述」に定義する必要がある 規定で用意されないため「要求記述」に定義する必要がある 作業手順 要求記述に「ログオン回数」と「ステータス」を追加 「発行変換規則」で「ログオン回数」と「ステータス」を定義

341. カスタムルールの定義例 要求記述に「ログオン回数」を定義 クレームタイプ を URI で設定する。

342. カスタムルールの定義例 要求記述に「ステータス」を定義 クレームタイプ を URI で設定する。

343. カスタムルールの定義例 カスタムルールに「ログオン回数」と「ステータス」を定義

344. カスタムルールの定義例 AD の logonCount属性を「ログオン回数」にセット Active Directory から logonCount 属性を取り出し、クレームタイプ logoncount に入れている

345. カスタムルールの定義例 logoncountをもとにステータスを判定するには logonCount < 10 ならば ステータスは シルバー c:[Type == “http://schemas.tf.com/identity/claims/logoncount”, Value =~ “^[0-9]{1}] => add (Type = "http://schemas.tf.com/identity/claims/userstatus", Value = "SILVER"); logonCount => 10and logonCount < 100 ならば ステータスは ゴールド c:[Type == “http://schemas.tf.com/identity/claims/logoncount”, Value =~ “^[0-9]{2}] => add(Type = "http://schemas.tf.com/identity/claims/userstatus", Value = “GOLD"); logonCount => 10and logonCount < 100 ならば ステータスは ゴールド c:[Type == “http://schemas.tf.com/identity/claims/logoncount”, Value =~ “^[0-9]{3}] => add(Type = "http://schemas.tf.com/identity/claims/userstatus", Value = “PLATINUM"); userstatusクレームを発行する => Issue(Type = "http://schemas.tf.com/identity/claims/userstatus“ ) ;

346. カスタムルールの定義例 完成形 ルールは上から実行される 6 userstatusクレームを発行する <要求規則の表示>

347. AD FS 2.0Deep DiveAD FS 2.0 の監査とトレース

348. トレースログを表示するには [イベント ビューアー] - [アプリケーション と サービスログ] -[AD FS 2.0] を右クリックして [表示]-[分析およびデバッグログの表示] をチェック

349. トレースログを有効にする

350. Windows AzureAppFabricAccess Control ServiceV2

351. 16.AppFabric ACS V2 の役割

353. AppFabric ACS V2 の役割 必要なのはクラウド上の STS AppFabricACSV2 が複数のIdPを吸収する AppFabric ACSV2 Web アプリケーション 信頼 信頼 アプリケーションは クレーム対応しておけばよい 信頼 信頼 信頼 AD FS 2.0 AD FS 2.0

355. WS-Federation

356. WS-Trust

357. OAuth 2.0 (Draft 13)

361. AppFabric ACS V2 の役割 Access ControlServiceV1の用途 アプリケーションに認証機能を実装することなく、アクセス制御を実現 Relying Party （例）道路の混雑状況を提供するサービス 信頼 AppFabric STS Access Control Service REST ③ トークン ②トークン ① 認証 ④ 結果 セキュリティ キー or SAML 1.1/2.0トークン or SWT ユーザー アプリ

362. AppFabric ACS V2 の役割 ACSV1 を 企業内 AD との SSO に使用する ※ACS では Passive SSO がサポートされていないことに注意 9 信頼 ACS WRAP REST Service 5 WS-Trust クラウド 信頼 8 オンプレミス 6 4 10 AD DS AD FS2.0 1 7 2 3 クライアント アプリケーション

363. AppFabric ACS V2 の役割 処理の流れ クライアント アプリケーションが AD FS 2.0 にトークン発行を依頼 AD DS からクレームを収集 AD FS 2.0 から SAML 1.1 トークン発行 トークンを ACS に送信 ACS は受け取った SAML 1.1 トークンをルールに沿って検証 SWT を生成し、クライアントに発行 クライアント アプリケーションは受け取った SWT を分解し、正しい ACS から発行されたものか等を検証 問題なければ HTTPAuthorization ヘッダーに SWT を埋め込み、REST サービスにPOST REST サービスは受け取った SWT を分解してロールを検証 ロールが正しければサービスを実行

364. AppFabric ACS V2 の役割 AppFabric ACSV2の構造 独自プログラム ManagementPortal AppFabric ACSManagementService Windows AzureAppFabric ACS 本体 リライング パーティ クレーム プロバイダー Protocol クレーム変換 エンジン Protocol WS-Federation WS-Federation AD FS 2.0 ブラウザーベースアプリ （Passive） SAML/SWT WS-Fed対応STS クレームルール google WEBサイト Yahoo! SAML/SWT OAuth 2.0 Facebook SAML/SWT OpenID 2.0 OpenID SAML/SWT Live ID Windows LiveID ｻｰﾋﾞｽ/ﾘｯﾁｸﾗｲｱﾝﾄ （Active） SOAPWeb サービス WS-Trust WS-Trustアプリ WS-Trust SAML/SWT SWT REST Web サービス OAuth/ WRAP 2.0 SWT OAuth/ WRAP 2.0 SWT対応アプリ

365. AppFabric ACS V2 の準備 AD FS 連携時のクレームの流れ Windows Azure アプリ AppFabric ACS V2 Token Token 変換 属性 属性 属性 属性 属性 属性 属性 属性 属性 属性 属性 属性 Token 変換 Token 属性 属性 属性 属性 属性 属性 属性 属性 属性 属性 属性 属性 AD FS 2.0 AD DS

366. AppFabric ACS V2 の役割 AD FS 2.0 との SSOの流れ 信頼 7 9 WIF 信頼 クラウド オンプレミス 1 AD DS AD FS2.0 8 4 5 3 ２ 6 WIF：Windows Identity Foundation

367. セキュリティトークンの署名と暗号化について AppFabric ACS V2 IdP RP 信頼 信頼 metadata metadata metadata metadata トークンフォーマット 署名 署名 複合化 暗号化 暗号化 複合化 SAML 2.0 SAML 2.0 X.509 Private Key X.509 Public Key X.509 Public Key X.509 .cer X.509 (.cer) SAML 2.0 X.509 Private Key SAML 1.1 SAML 1.1 X.509 (.cer) SAML 1.1 X.509 .cer X.509 Private Key X.509 Public Key X.509 Public Key X.509 Private Key SWT SWT SWT 256-bit symmetric signing key 256-bit symmetric signing key

369. Namespace の作成 ① AppFabric ACS V2 の準備 Windows Azure ポータルに移動し、Service Bus、Access Control Service& Caching をクリック

370. AppFabric ACS V2 の準備 Namespace の作成 ②

371. Namespace の作成 ③ AppFabric ACS V2 の準備 Namespace を指定する。ここで指定した名前が AppFabric ACS の WEBサイト名になる。 https://<Namespace>.accesscontrol.appfabriclabs.com/ 「Active」になったら使用可能

372. AppFabric ACS V2 の準備 AppFabric ACS 管理画面への移動

373. AppFabric ACS V2 の準備 AppFabricACS 管理サイトの機能 Azureアプリケーションの登録 主に使用するメニュー Identity Provider の登録 クレームルールの登録 セキュリティトークンの署名、暗号化のための証明書の登録 ACS から Active にセキュリティトークンを発行する場合に使用するユーザーIDを管理 管理ポータルにアクセスすることができるユーザーIDを設定 独自プログラムからの AppFabricACS 管理サービスへのアクセスを 許可するユーザーIDを登録する カスタムログオン画面やエンドポイントのURLを確認する画面

374. 18.AD FS 2.0 と ACSV2 の連携

376. セキュリティトークンの変換AppFabric ACSV2 Web アプリケーション 信頼 信頼 信頼 信頼 企業Ａ 企業B 企業 C

378. アプリケーション側の実装をシンプルにできるTitle：Manager Title：部長 Title：Manager Title：经理 Title：Διευθυντής Title：Менеджер Title：Yöneticisi Title：مدير Title：부장

379. AD FS 2.0 との連携 AD FS 2.0 との連携イメージ AD FS 2.0 Windows Azure アプリ AppFabric ACS V2 クレーム発行 クレーム変換 AD FS 2.0 クレーム送付 クレーム発行 属性 Redirect Active Directory 企業ネットワーク

380. 19.AD FS 2.0 と ACS V2 の連携構築 クレーム対応アプリケーションの作成とWindows Azure への登録 ACS V2 の Identity Provider に AD FS 2.0 を登録する アプリケーションを AppFabric ACS V2 に登録する AD FS 2.0 に AppFabric ACS V2 を登録する

381. AD FS 2.0 と ACS V2 の連携 AppFabric ACS V2 と AD FS2.0 の連携手順 アプリケーションの作成とWindowsAzure への登録 AppFabric ACS V2 のメタデータを登録（STS参照の追加） ※ あとはAD FS 2.0 の場合と同じ AD FS 2.0 側 Active Directory を構築 AD FS 2.0 を構築 RP（証明書利用者）として AppFabricACS を登録（メタデータの登録） クレームルールを登録 AppFabricACS V2 側 AD FS 2.0 のエンドポイントを Identity Provider として登録（メタデータの登録） クレームルールを登録

382. AD FS 2.0 と ACS V2 の連携 これからやる作業 AD FS への登録 STS参照の追加 信頼 信頼 AppFabric ACSV2 Web アプリケーション AD FS 2.0

383. Windows Azure アプリ AppFabric ACS V2 信頼 信頼 STS参照先を変更 AD FS 2.0 ここの設定 クレーム対応アプリケーションの作成とWindows Azure への登録

384. クレーム対応アプリケーションの作成 AD FS 2.0 用アプリとの違い STS 参照 の設定 のみ AppFabricACSV2 のメタデータを指定

385. クレーム対応アプリケーションの作成 ACS V2 のメタデータ 管理ポータルから確認する この情報を控えておく

386. クレーム対応アプリケーションの作成 Windows Azure への登録 パッケージを作成 証明書を準備 Windows AzurePortal にサービスを作成 サービス証明書を Windows Azure Portal から登録 パッケージをアップロード

387. Windows Azure アプリ AppFabric ACS V2 ここの設定 信頼 信頼 済 済 AD FS 2.0 ACS V2 の Identity ProviderにAD FS 2.0 を登録する

388. ACS V2 の Identity Providerに AD FS 2.0 を登録する AD FS 2.0 のメタデータをテキストファイルに保存しておく https://<ADFSServer>/federationmetadata/2007-06/federationmetadata.xml ソースファイルを表示して、テキストファイルで保存

389. ACS V2 の Identity Providerに AD FS 2.0 を登録する ACS V2 の Identity Provider に AD FS 2.0 を登録する ①

390. ACS V2 の Identity Providerに AD FS 2.0 を登録する ACS V2 の Identity Provider に AD FS 2.0 を登録する ② Identity Provider の識別名。ADFS2.0は複数登録することが可能なので、識別しやすい名前を指定する AD FS 2.0 のメタデータを指定する。URL の場合には AppFabricがアクセス可能なサーバーである必要がある。 Identity Provider の選択画面に表示される識別名 Identity Provider の選択画面に表示されるロゴ画像 利用者に対して、ログオン時にEmailアドレスを強制的に入力させたい場合には、ここのメアドのサフィックス（microsoft.com）を指定する。セミコロンで複数指定可能。 このIdentity Provider を使用する アプリケーションを指定する

391. ACS V2 の Identity Providerに AD FS 2.0 を登録する ACS V2 の Identity Provider に AD FS 2.0 を登録する ③

392. ACS V2 の Identity Providerに AD FS 2.0 を登録する ACS V2 の Identity Provider に AD FS 2.0 を登録する ④ クレームルールを生成する まだルールは無い

393. ACS V2 の Identity Providerに AD FS 2.0 を登録する ACS V2 の Identity Provider に AD FS 2.0 を登録する ⑤ メタデータを元に自動生成されたクレーム クレームとして emailaddressが発行されることが記載されている

394. ACS V2 の Identity Providerに AD FS 2.0 を登録する AppFabric ACSV2 の Rule IF（Rule Condition） Claim Issuer Input Claim Type Input Claim Value Then（Rule Actions） Output Claim Type Output Claim Value もし ○○から発行された ○○というクレームタイプに ○○という値が入っていたら そのときは ○○というクレームタイプに ○○という値を入れて発行する

395. ACS V2 の Identity Providerに AD FS 2.0 を登録する AppFabric ACS に登録されているクレームルールの例 AppFabricに対するクレームの発行者 つまりIdentity Provider AppFabric に対して入力方向のクレームタイプ AppFabric に対して入力方向のクレームタイプに格納されているべき値 入力条件を満たしたときに発行されるクレームタイプ（出力方向のクレーム） 出力方向のクレームに格納される値

396. Windows Azure アプリ AppFabric ACS V2 信頼 信頼 済 済 済 AD FS 2.0 ここの設定 アプリケーションをAppFabricACSV2 に登録する

397. アプリケーションをAppFabricACSV2 に登録する WEBアプリケーションの登録 ① Azure上に展開したWEBアプリケーションを AppFabric ACS に登録する

398. アプリケーションをAppFabricACSV2 に登録する WEBアプリケーションの登録 ② AppFabric ACS 内でのAzureアプリケーションの識別名 アプリケーション情報の登録方法 手動で設定するか、メタデータをアップロードするかを選択する。今回は「手動」。 セキュリティトークンの要求元を指定する セキュリティトークンをどこにPostするのかを指定する エラーが発生した場合に表示するページ

399. アプリケーションをAppFabricACSV2 に登録する WEBアプリケーションの登録 ③ セキュリティトークンのフォーマット（SAML2.0/SAML1.1/SWT） セキュリティトークンを暗号化するかどうか セキュリティトークンの有効期間（秒） Azure アプリケーションと関連付ける Identity Provider。 「Identity Providers」メニューで登録した IdP が表示される。規定では「Windows LiveID」のみ。 適用するクレーム変換ルール。複数のアプリケーションで1つのルールを共有することも可能。 AD FS 2.0 の登録時に作成ｈしたルールを選択する。 トークンの署名に使用する証明書ファイル 規定は「規定の証明書」

400. Windows Azure アプリ AppFabric ACS V2 ここの設定 信頼 信頼 済 済 済 AD FS 2.0 AD FS 2.0に証明書利用者としてACSV2を登録する

401. AD FS 2.0に証明書利用者としてACSV2 を登録する ACS V2 メタデータのURI メタデータのURIを控えておく

402. AD FS 2.0に証明書利用者としてACSV2 を登録する AD FS 2.0 に 証明書利用者として ACS を登録する ① AD FS 2.0 管理コンソールを開く

403. AD FS 2.0に証明書利用者としてACSV2 を登録する AD FS 2.0 に 証明書利用者として ACS を登録する ② ここにAppFabric ACS メタデータのURIを指定

404. AD FS 2.0に証明書利用者としてACSV2 を登録する AD FS 2.0 に 証明書利用者として ACS を登録する ③ 規定で「すべてのユーザーにクレームの発行を許可するか否か」を設定する（発行承認規則）。許可した場合には、クレームルール（要求規則）の設定を使用してクレームの発行条件を設定する必要がある。

405. AD FS 2.0に証明書利用者としてACSV2 を登録する AD FS 2.0 に 証明書利用者として ACS を登録する ④ 完了

406. 動作確認 https://tf01.cloudapp.net/ 複数のIdentity Provider が登録されている場合にはセレクターが表示される。 1つしかなければそのまま ADFS に転送される ADにログオンした状態であれば、SSOされる ADFSで定義したメアド

407. SSOの流れ 信頼 7 9 WIF 信頼 クラウド オンプレミス 1 AD DS AD FS2.0 8 4 5 3 ２ 6 WIF：Windows Identity Foundation

408. 20.Google と ACS V2 の連携構築 AppFabric ACS V2 側 Identity Provider の登録 Rule の登録

409. Identity Provider との連携 ～ Google との連携AppFabric ACS V2 と Google の連携手順 Google 側 なにもなし!（ユーザーがアカウントを持っていればよい） AppFabricACS V2 側 Identity Provider の登録 Rule の登録

410. Googlel と ACS V2 の連携 これからやる作業 済 済