pikesaku’s blog

個人的な勉強メモです。記載内容について一切の責任は持ちません。

O365 ユーザー管理(1)

Azure AD

・ユーザID管理・認証クラウドサービス
・オンプレADとは別物。認証プロトコルも異なる。
・テナント取得時にAzureADにテナントとディレクトインスタンスが作成される。
・O365で利用するユーザー、グループはAzureADで管理される。
・AzureAD上で操作可能だが、基本的にO365管理センター操作でOK
・O365に付随するAzureADエディションはFreeエディションだが、O365固有の機能がついてる

Microsoftアカウントと「組織または学校アカウント」の違い

・前者はOutlook.com、OneDrive(消費者向け)のアカウント
・後者はAzureAD管理アカウント

ID管理の選択肢

2種類あり

クラウド認証

AzureADがユーザー認証をする。3つの方針あり。

1) クラウドのみ

・AzureADのみでユーザー認証する

2) パスワードハッシュの同期

・オンプレのアカウント情報(パスワード以外も)をAzureADに同期する。
・Azure Active Directory Connectを利用する。
基本的に同期方向はオンプレAD→AzureADのみ(AzureAD上位ライセンス一部例外あり)
・ユーザー管理はオンプレADで行う。
・構成時にフル同期、以降は既定で30分間隔で同期。(パスワードのみ2分固定)
・パスワード情報はハッシュで送信される
・パスワードの複雑性ポリシーはオンプレADが優先される。
・パスワードの有効期限は、同期対象アカウントの有効期限はAzureAD上で"期限なし"に設定される為、オンプレで期限切れでも、AzureADでは利用可能になる。
・同期されるが、AzureADへサインインする場合は、ID/PWを要求される。これを回避する2つの方法あり。
 |*方法|*説明|
 |シームレスシングルサインオン|IDのみでOK。|
 |サイレントサインオンエクスペリエンス|ID/PW両方不要。OWA等、一部のブラウザ利用アプリが対象。|

3) パススルー認証

・ハッシュを送信せずに認証を実現する。
・パススルーエージェントを利用。実現フローは以下の通り。
 (1) パススルーエージェントを、ADもしくは別サーバにインストールし、鍵ペア生成
 (2) AzureADに公開鍵を設定
 (3) AzureADは認証要求あった時、ユーザー名+公開鍵でパスワードを暗号化しキューに格納
 (4) パススルーエージェントがキューから取り出し、秘密鍵で復号化し認証する。結果をAzureADに返す。
 (5) AzureADが認証結果をアプリに応答
 ★パススルーエージェントの通信は、AzureADに対しクライアントとなる為、グローバル公開不要★
・パスワードハッシュとの並行利用可能。しかし、切替操作が必要。
・パスワードハッシュと同様、シームレスシングルサインオンの利用可能。

②フェデレーション認証

・SSOを実現する。
・用途は、AzureAD未対応のオンプレアプリをフェデレーションさせたい場合等
・方法は2つあり。オンプレAD使う場合と、サードパーティID管理、認証プロバイダを使う場合。
・書籍にはオンプレAD利用ケースの実現方式等記載あり。詳細は書籍参照。