[AD FS]Windows Server 2012 R2 Preview の AD FS ①

6月は TechEd 2013 North America があったり、 build があったりとイベントがてんこ盛りで全然ついていけてないのですが、ようやく Windows Server 2012 R2 の Preview が使えるようになったので、予告されていた AD FS の新機能を順番に確認していこうと思います。

尚、AD FS 以外にも多くの機能が Active Directory に追加されているので全体を把握したい人はこちらをご覧ください。
（これはこれで、日本語版のまとめを作る必要がありそうな気がしますが、おそらく Directory Service の MVP の人たちが何とかしてくれるんじゃないかな、と思ってます）

　What's New in Active Directory in Windows Server 2012 R2
　- http://technet.microsoft.com/en-us/library/dn268294.aspx


実はまだ AD FS に関しても細かく見れているわけではないので、とりあえず今回は
・役割の追加と構成
・管理コンソールの中で気になる変化
・ログオン画面の変化
を紹介していきます。

◆役割の追加と構成

とりあえずスクリーンショットを張り付けておきます。尚、今回は Windows Azure の仮想マシンの Windows Server 2012 R2 Preview に日本語言語パックを入れて使っています。また、AD DS を同じマシンにインストール済みです。

途中で KDS ルートキーの設定を求められたので Add-KdsRootKey コマンドレットを使って設定をしたのと、何故か Windows ファイアウォールの規則の生成でエラーが出たのですが放置した、というあたりが特記事項です。

まずは役割の追加です。

次は構成ウィザードの実行です。

こんな警告が出てます。

PowerShell で KDS ルートキーを設定します。

何故か Windows ファイアウォールに嫌われます。

尚、実はこれが今回の AD FS の最大の変化点なんじゃないかな？と思うのが、IIS がいらなくなったという点です。実際 AD FS をインストールしても IIS がインストールされません。
おかげで IIS 管理コンソールを使ってオレオレ証明書を作れなくなったので、別で証明書を作る必要があります。今回は面倒なので Azure の証明書を使ってしまいましたが、マネしないでください。

フォルダ構成を見ても、当然 inetpub/adfs とかは存在せず、C:\Windows の下に ADFS という名前のフォルダがあり、必要なモジュール群はそこにインストールされています。

◆管理コンソールの中で気になる変化

コンソールを立ち上げると、一見見慣れた画面が出てきます。
が、ツリーに存在する「認証ポリシー」という見慣れないメニューが目につきます。

こちらが古い AD FS（Windows Server 2008 R2 時代）

次にこちらが新しいコンソール。「認証ポリシー」というメニューがある。

早速「認証ポリシー」を開いてみると「プライマリ認証」と「他要素認証」というサブメニューが存在します。

それぞれについて編集画面を開くと以下のような設定が出来ます。
・プライマリ認証
　要するにアクセス元によって認証方法を画面から選択できるようになった、ということです。これまでは web.config をいじったりしていた部分です。
　後は、デバイス認証に関する記述があります。これは別途解説が必要なデバイス・レジストレーション・サービス（DRS）という新機能に関連したメニュー（のはず）です。今回のバージョンから iOS なども組織内の Active Directory 上に登録が出来るようになっているので、BYOD を推進するための機能がかなり強化されています。

・多要素認証
　今回の AD FS から他要素認証がデフォルトでサポートされています。まずは他要素認証を適用する条件として、
　・ユーザ/グループ（特定のユーザ/グループなら多要素認証が必要、など）
　・デバイス（未登録デバイスなら多要素認証が必要、など）
　・場所（エクストラネットからのアクセスなら多要素認証が必要、など）
が選択できます。
また、デフォルトでは追加の認証方式として証明書認証だけしか選択できませんが、Windows Azure Active Directory と連携して PhoneFactor を使った SMS や電話、Active Authentication モジュールを使った追加認証もできるようです。

その他、管理コンソールを見ていて気になる点としてはエンドポイントの追加です。
・/adfs/oauth2
・/adfs/portal/updatepassword
とか結構気になるエンドポイントが定義されています。

特に OAuth2.0 のサポートについてはファイルサーバなどのリソースやアプリケーションを Active Directory 上に登録して OAuth2.0 を使って認可する、というシナリオも紹介されていたので、その時に使うものだと思われます。こちらは追って確認してみたいと思います。

◆ログオン画面の変化

試しに手持ちの Google Apps ドメインとの SSO 設定をしてみました。
基本的に設定方法は以前の AD FS2.0 とほぼ変わらないので（他要素認証を証明書利用者信頼ごとに設定が出来るので構成ウィザードで使うかどうか聞かれるくらい）ほぼ問題なく設定は出来ます。

　参考）@IT / Google Appsとのアイデンティティ基盤連携を実現する
　- http://www.atmarkit.co.jp/ait/articles/1301/16/news122.html


で、実際にログオンをしてみるとフォーム認証の画面が一瞬 Office365 や Microsoft アカウントのログイン画面と見間違うようなものに変わっています。

また、多要素認証の設定を入れるとこんな画面になります。（ちなみにクライアント証明書でのログイン設定をしていないのでこの画面で止まりますが）

今回はさわりの部分だけをさらっと見てみましたが、色々と気になる点があるので、引き続き解説していきたいと思います。