Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
クレームルール言語DeepDive 
株式会社ソフィアネットワーク 
国井傑(くにいすぐる) 
スライドは↓こちら↓からダウンロード 
http://www.slideshare.net/sugurukunii/
自己紹介 
2 Copyright 2014 Sophia Network Ltd. 
MicrosoftMVP for Directory Services (2006~2015) 
マイクロソフト認定トレーナー (1997~) 
ブログ 
...
評価ガイドあります 
3 Copyright 2014 Sophia Network Ltd. 
スライドは↓こちら↓からダウンロード 
http://www.slideshare.net/sugurukunii/
ADFSトレーニングコースがリニューアルしました 
4 Copyright 2014 Sophia Network Ltd. 
ニーズに合わせて、2つのコースをご提供! 
Office 365ユーザー認証ベストプラクティス(2日コース) 
...
はじめに 
5 Copyright 2014 Sophia Network Ltd.
ADFSとAzureActiveDirectory(AzureAD) 
ADFSによるID連携 
AzureADによるID連携 
6 Copyright 2014 Sophia Network Ltd.
7 Copyright 2014 Sophia Network Ltd.
クレームルールとは 
トークンに含まれるクレームの定義またはアクセス制御を行うためのルール 
8 Copyright 2014 Sophia Network Ltd.
クレームルールのお作法 
9 Copyright 2014 Sophia Network Ltd.
クレームルールのお作法 
10 Copyright 2014 Sophia Network Ltd.
クレームルールのお作法 
条件を指定しないで役割クレームにmanagerの値を発行 
役職が設定されていない場合、役職クレームに一般社員の値を発行 
役職が部長の場合、役職クレームを発行 
11 Copyright 2014 Sophia...
クレームルールのお作法 
役職が部長の場合、役割クレームにも役職クレームと同じ値を発行 
役職と名前を組み合わせた値を指定名クレームとして発行 
12 Copyright 2014 Sophia Network Ltd.
クレームルールのお作法 
SQLServerのWorkerIDTableテーブルからemailaddressをキーに してWorkerID列を取得し、WorkerIDクレームにセット 
【注意】SQLServer属性ストアの定義が事前に必要...
クレームルールのお作法 
発行承認規則で許可を発行 
発行承認規則で拒否を発行 
14 Copyright 2014 Sophia Network Ltd.
【参考】承認規則利用可能な主な要求記述 
15 Copyright 2014 Sophia Network Ltd.
クレームルールのお作法 
正規表現 
16 Copyright 2014 Sophia Network Ltd.
多要素認証利用のためのアクセス制御設定 
Set-ADFSAdditionalAuthenticationRuleコマンドレットで設定 
基本的な構文 
条件=>処理 
条件部分の書き方 
ここでの「処理」とは「多要素認証を行いなさい...
多要素認証利用のためのアクセス制御設定 
条件のシナリオ1:社内ネットワークからブラウザーでアクセスした場合 
条件のシナリオ2:Workplace Joinによるデバイス認証をしていない場合 
18 Copyright 2014 Soph...
多要素認証利用のためのアクセス制御設定 
条件のシナリオ1の場合における、アクセス制御設定の全文 
19 Copyright 2014 Sophia Network Ltd. 
‘exists([Type == "http://schemas...
デバイス認証利用のためのアクセス制御設定 
Microsoft Office365 Identity Platform証明書利用者信頼の 発行承認規則で設定 
クレームルールの書き方 
処理部の書き方 
条件部の書き方は次のスライドから...
デバイス認証利用のためのアクセス制御設定 
条件のシナリオ1:デバイスクレームがある場合 
条件のシナリオ2:iOSの場合 
21 Copyright 2014 Sophia Network Ltd. 
exists([Type == ”h...
デバイス認証利用のためのアクセス制御設定 
条件のシナリオ1の場合における、アクセス制御設定の全文 
22 Copyright 2014 Sophia Network Ltd. 
exists([Type == ”http://schemas...
ADFSトレーニングコース開催しています! http://www.crie-illuminate.jp/ 
23 Copyright 2014 Sophia Network Ltd. 
ActiveDirectory フェデレーションサービスト...
24 Microsoft Confidential 
We don’t even have to try, 
It’s alwaysa good time. 
from “good time” by owl city & carlyraejep...
Nächste SlideShare
Wird geladen in …5
×

ADFS クレームルール言語 Deep Dive

10.855 Aufrufe

Veröffentlicht am

2014年11月29日CLR/H勉強会の発表資料です。

Veröffentlicht in: Internet
  • Als Erste(r) kommentieren

ADFS クレームルール言語 Deep Dive

  1. 1. クレームルール言語DeepDive 株式会社ソフィアネットワーク 国井傑(くにいすぐる) スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
  2. 2. 自己紹介 2 Copyright 2014 Sophia Network Ltd. MicrosoftMVP for Directory Services (2006~2015) マイクロソフト認定トレーナー (1997~) ブログ Always on the clock @sophiakunii 株式会社ソフィアネットワーク所属 連載~基礎から分かる ActiveDirectory再入門 スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
  3. 3. 評価ガイドあります 3 Copyright 2014 Sophia Network Ltd. スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
  4. 4. ADFSトレーニングコースがリニューアルしました 4 Copyright 2014 Sophia Network Ltd. ニーズに合わせて、2つのコースをご提供! Office 365ユーザー認証ベストプラクティス(2日コース) MicrosoftAzureを活用したADFS構築(1日コース) こんな人におすすめです。 テスト環境を用意するだけでも大変なので、手っ取り早く学習したい。 今はとりあえずADFSが動いているけど、トラブルが起きたらどうしよう。 ADFSでデバイス制御を行いたい。 詳しくはクリエ・イルミネートWebサイトでご確認ください。 http://www.crie-illuminate.jp
  5. 5. はじめに 5 Copyright 2014 Sophia Network Ltd.
  6. 6. ADFSとAzureActiveDirectory(AzureAD) ADFSによるID連携 AzureADによるID連携 6 Copyright 2014 Sophia Network Ltd.
  7. 7. 7 Copyright 2014 Sophia Network Ltd.
  8. 8. クレームルールとは トークンに含まれるクレームの定義またはアクセス制御を行うためのルール 8 Copyright 2014 Sophia Network Ltd.
  9. 9. クレームルールのお作法 9 Copyright 2014 Sophia Network Ltd.
  10. 10. クレームルールのお作法 10 Copyright 2014 Sophia Network Ltd.
  11. 11. クレームルールのお作法 条件を指定しないで役割クレームにmanagerの値を発行 役職が設定されていない場合、役職クレームに一般社員の値を発行 役職が部長の場合、役職クレームを発行 11 Copyright 2014 Sophia Network Ltd.
  12. 12. クレームルールのお作法 役職が部長の場合、役割クレームにも役職クレームと同じ値を発行 役職と名前を組み合わせた値を指定名クレームとして発行 12 Copyright 2014 Sophia Network Ltd.
  13. 13. クレームルールのお作法 SQLServerのWorkerIDTableテーブルからemailaddressをキーに してWorkerID列を取得し、WorkerIDクレームにセット 【注意】SQLServer属性ストアの定義が事前に必要 ADFSのクレームにSQLServerデータベースを使う方法 http://tinyurl.com/lm4gkyz 13 Copyright 2014 Sophia Network Ltd.
  14. 14. クレームルールのお作法 発行承認規則で許可を発行 発行承認規則で拒否を発行 14 Copyright 2014 Sophia Network Ltd.
  15. 15. 【参考】承認規則利用可能な主な要求記述 15 Copyright 2014 Sophia Network Ltd.
  16. 16. クレームルールのお作法 正規表現 16 Copyright 2014 Sophia Network Ltd.
  17. 17. 多要素認証利用のためのアクセス制御設定 Set-ADFSAdditionalAuthenticationRuleコマンドレットで設定 基本的な構文 条件=>処理 条件部分の書き方 ここでの「処理」とは「多要素認証を行いなさい」ということ 17 Copyright 2014 Sophia Network Ltd. issue(Type = “http://schemas.microsoft.com/ws/2008/06/identity/ claims/authenticationmethod”, Value = “http://schemas.microsoft.com/claims/multipleauthn”); Exists([Type==○○, Value==××]) c:[Type==○○, Value==××]
  18. 18. 多要素認証利用のためのアクセス制御設定 条件のシナリオ1:社内ネットワークからブラウザーでアクセスした場合 条件のシナリオ2:Workplace Joinによるデバイス認証をしていない場合 18 Copyright 2014 Sophia Network Ltd. exists([Type == "http://schemas.microsoft.com/2012/01/ requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"]) c:[Type == "http://schemas.microsoft.com/2012/01/ devicecontext/claims/isregistereduser", Value == "false"] NOT EXISTS([Type == "http://schemas.microsoft.com/2012/01/ devicecontext/claims/isregistereduser"])
  19. 19. 多要素認証利用のためのアクセス制御設定 条件のシナリオ1の場合における、アクセス制御設定の全文 19 Copyright 2014 Sophia Network Ltd. ‘exists([Type == "http://schemas.microsoft.com/2012/01/ requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"]) => issue(Type = “http://schemas.microsoft.com/ws/2008/06/ identity/claims/authenticationmethod”, Value = “http://schemas.microsoft.com/claims/multipleauthn”);’
  20. 20. デバイス認証利用のためのアクセス制御設定 Microsoft Office365 Identity Platform証明書利用者信頼の 発行承認規則で設定 クレームルールの書き方 処理部の書き方 条件部の書き方は次のスライドから 20 Copyright 2014 Sophia Network Ltd. issue (Type = “http://schemas.microsoft.com/authorization/claims/permit”,value= “true”);
  21. 21. デバイス認証利用のためのアクセス制御設定 条件のシナリオ1:デバイスクレームがある場合 条件のシナリオ2:iOSの場合 21 Copyright 2014 Sophia Network Ltd. exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/ identifier”]) exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/ ostype”, Value == “iOS”])
  22. 22. デバイス認証利用のためのアクセス制御設定 条件のシナリオ1の場合における、アクセス制御設定の全文 22 Copyright 2014 Sophia Network Ltd. exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/ identifier”]) => issue (Type = “http://schemas.microsoft.com/authorization/claims/permit”,value= “true”);
  23. 23. ADFSトレーニングコース開催しています! http://www.crie-illuminate.jp/ 23 Copyright 2014 Sophia Network Ltd. ActiveDirectory フェデレーションサービストレーニング Office 365ユーザー認証ベストプラクティス(2日コース) MicrosoftAzureを活用したADFS構築(1日コース)
  24. 24. 24 Microsoft Confidential We don’t even have to try, It’s alwaysa good time. from “good time” by owl city & carlyraejepsen

×