ADFSの名前は一つ!!


ADFSって何?って聞かれそうですが・・・

本来、社内ネットワークに設置される、コンピューターの認証基盤Active Directoryを社外のサーバーでも利用するための仕組みってとこですか?

Office365 とかクラウドサービスを社内のID、パスワードを全く一緒にして利用しようという仕組みです。これがなかったら、同じIDを設定していても、パスワードは別。ユーザーは同じIDを使っていながら、接続相手によって違うパスワードを入力する必要がある状態になります。(別のIDを使うなら大した問題ではありませんが・・・)

どうやってパスワードを使うかというと、認証時にADFS経由でActive Directory認証を行うんですよ。

ってことで、このADFSを使うということは、AD DSは当然ですが、ADFSサーバが停止するとOffice365が利用できないのです。

だから冗長構成を必ず取る必要があるんですね。そして、セキュリティーを高めるために、ADFS Proxyを設置して、これも冗長化。
とにかく、止めない。止まらない構成を構築する必要があるんです。なにせクラウドサービスは基本無停止だから。

でね、このADFSサーバー群なんですけど、もちろん個々のサーバーはそれぞれ別の名前があるんですけど、ADFSサービスとしては一つの名前で動作するんです。当たり前?いやいや、普通じゃないかもしれないけど、内部サーバーと外部公開サーバーは違う名前使うよね。え?一緒?
参照するDNSによって違うゾーンのサーバーを名前解決されるのって気持ち悪くない?ADFS Proxyは自分と同じ名前の内部ネットワークのADFSサーバーと通信するとき困るじゃん!!と思ってしまいましたが、全部同じ名前なんです。

社内のADFSも社外のADFS Proxyも同じ「https://adfs.contoso.com」でアクセスするんです。

もちろん社外のADFS Proxyがユーザーの代理アクセスする社内のADFSに対しても「https://adfs.contoso.com」でアクセスするんだよ。

これって面白いよね。

ちなみにADFS Proxyサーバはhostsファイルに社内のADFSのIPアドレスを記述している。

hostsファイルなんて、使わずにDNSで解決すべき!!なんて思っているのですが、「あぁ、こういう使い方もありなんだ~」と。

今日言いたいのは、「Active Directory Federation Servicesは、たくさんサーバーが必要だけど、FQDNは一つ!!」ってことです。


0 件のコメント:

コメントを投稿

Viva ラーニングのSharePointコンテンツで既定の言語がまじめに動き出した?

相変わらず挙動が安定しないVivaラーニングさん。 既定の言語設定がまじめに仕事を始めたのかもしれません。 ちょっと確認したいことがあってラーニングを開くとコンテンツが一つだけになってしまいました。すべてのコンテンツが表示された状態から何も操作していないのに表示コンテンツ数が変わ...