投稿

3月, 2013の投稿を表示しています

ADFSの名前は一つ!!

イメージ
ADFSって何?って聞かれそうですが・・・

本来、社内ネットワークに設置される、コンピューターの認証基盤Active Directoryを社外のサーバーでも利用するための仕組みってとこですか?

Office365 とかクラウドサービスを社内のID、パスワードを全く一緒にして利用しようという仕組みです。これがなかったら、同じIDを設定していても、パスワードは別。ユーザーは同じIDを使っていながら、接続相手によって違うパスワードを入力する必要がある状態になります。(別のIDを使うなら大した問題ではありませんが・・・)

どうやってパスワードを使うかというと、認証時にADFS経由でActive Directory認証を行うんですよ。

ってことで、このADFSを使うということは、AD DSは当然ですが、ADFSサーバが停止するとOffice365が利用できないのです。

だから冗長構成を必ず取る必要があるんですね。そして、セキュリティーを高めるために、ADFS Proxyを設置して、これも冗長化。
とにかく、止めない。止まらない構成を構築する必要があるんです。なにせクラウドサービスは基本無停止だから。

でね、このADFSサーバー群なんですけど、もちろん個々のサーバーはそれぞれ別の名前があるんですけど、ADFSサービスとしては一つの名前で動作するんです。当たり前?いやいや、普通じゃないかもしれないけど、内部サーバーと外部公開サーバーは違う名前使うよね。え?一緒?
参照するDNSによって違うゾーンのサーバーを名前解決されるのって気持ち悪くない?ADFS Proxyは自分と同じ名前の内部ネットワークのADFSサーバーと通信するとき困るじゃん!!と思ってしまいましたが、全部同じ名前なんです。

社内のADFSも社外のADFS Proxyも同じ「https://adfs.contoso.com」でアクセスするんです。

もちろん社外のADFS Proxyがユーザーの代理アクセスする社内のADFSに対しても「https://adfs.contoso.com」でアクセスするんだよ。

これって面白いよね。

ちなみにADFS Proxyサーバはhostsファイルに社内のADFSのIPアドレスを記述している。

hostsファイルなんて、使わずにDNSで解決すべき!!なんて思っているのですが、「あぁ、こ…

クラウドを使うためには・・・

最近Office365導入に向けた検証を本格的にやり、Active Directory Federation Services や Active Directory同期、Exchange Serverのハイブリッド構成の構築を行っていて感じること。
オンプレミス状態では考えられないほど、インターネット公開すること。
Proxyやエッジサーバーを用意する前提とはいえ、インターネット上からActive Directory認証が可能になるってことでアカウントのパスワード管理強化がセキュリティーの要だよなぁ~と感じる。
不要なポートは閉じ、セキュリティーホールを一生懸命閉じたとしても、ログイン画面は絶賛公開中。
アカウント名なんて、有効なメールアドレスを探すのと大差ないくらい簡単だろうし、パスワードルールが甘い企業だと、簡単に突破できるんじゃないかと思います。
パスワード変更期限の設定、複雑なパスワード、文字数制限は必須。できればスマートカードのようなユーザーすらパスワードを知らない仕組みを用意するとか、クライアント証明書などを組み合わせた認証が必要なんじゃないかと思います。
そういうことをやっても、公開するって結構きついよなぁ~
まぁ、それ以上のメリットを感じているし、求めるとクラウドって答えになるんだけど、機密情報はオンプレミスだから大丈夫!!なんて言ってられない世の中になっている。
ネットワークの内外関係なく、ちゃんと情報を管理し、保護する必要があるんだよね。