2015年5月9日土曜日

[AD FS]Windows Server Technical Preview 2のAD FSファーストレビュー(管理GUI編)

先日第2弾が公開された次期Windows ServerのTechnical PreviewのAD FSがどう変わったのか確認してみたいと思います。

第一印象ですが、かなり便利・かつ高機能になっている印象です。

私なりのポイントですが、以下の5点だと思います。(まだ触り切れていないのでどこまで使えるかは微妙ですが)

  1. PowerShellでしか出来なかった操作がかなりの範囲でGUIで操作できるようになった(OAuthのクライアント登録とかScope登録とか)
  2. OpenID Connect Discoveryに対応した(限定的ではありますが)
  3. Microsoft Azure MFAが最初から組み込まれた
  4. VPNアクセス用の証明機関としての機能が付いた(?)
  5. Web Application Proxyの管理GUIが統合された(?)

※?マークはそれっぽいメニューが存在するだけなので、どう動くのかはまだわかっていません。

また、結局Blogには投稿できませんでしたが、前回のPreviewから

  • OpenID Connectへの対応
  • OAuth2.0への対応の改善(Implicit、Client Credentialへの対応)

がなされています。
(検証結果をまとめている時間がなかっただけなので、まとめたら改めて公開したいと思います)


ということで今回は管理ツール周りを見ていきたいと思います。

◆メニュー構成
管理GUIの左ペインを見ると以下の5項目でメニューが構成されています。

  • Service
  • Access Control Policies
  • Relying Party Trusts
  • Claims Provider Trusts
  • Clients



Windows Server 2012R2では

  • サービス
  • 信頼関係
  • 認証ポリシー

の3項目でした。
サービスはそのまま、以前は信頼関係メニューの中にあったRelying Party Trust(証明書利用者信頼)とClaims Provider Trusts(要求プロバイダー信頼)がトップレベルに昇格、Access Control PoliciesとClientsが新規に追加され、認証ポリシーが消えた、という感じです。

では、それぞれ順番に見ていきます。


◆Serviceメニュー
以下の9項目のサブメニューで構成されています。

  • Attribute Store
  • Authentication Methods
  • Certificate Authority
  • Certificates
  • Claim Descriptions
  • Device Registration
  • Endpoints
  • Scope Descriptions
  • Web Application Proxy



それぞれ簡単に解説しておきます。
  • Attribute Store
  • 以前は信頼関係の配下にあったものが移動されています
  • Authentication Methods
  • 以前はトップメニューにあった認証ポリシーがServiceの配下に来ています
  • Certificate Authority 
  • 新規に追加された項目です。VPNアクセス用の証明書の発行をする機能のようです。




    • Certificates
      • 変化なしです。
    • Claim Descriptions
      • 変化なしです。
    • Device Registration
      • 新規に追加されています。Windows Server 2012R2ではPowerShellで設定していたものがGUIで出来るようになっています。(前回のPreviewより)
    • Endpoints
      • 変化なしです。
    • Scope Descriptions
      • 新規に追加されています。OAuth/OpenID ConnectのScope設定が出来ます。これも以前はPowerShellで設定していたものがGUIで出来るようになっています。

    • Web Application Proxy
      • 新規に追加されています。WAPを構成した場合にここで管理できるようになるのかも知れません。




    ◆Access Control Policiesメニュー
    新規に追加されたメニューです。
    これまでClaimルールで頑張って書いていたような認可ポリシーがある程度テンプレートとして用意されています。



    ◆Relying Party Trustsメニュー
    あらかじめ以下のRelying Partyが定義されています。

    • VPN Server(無効化状態)
    • UserInfo




    Windows Server 2012R2ではここにDevice Registration Serviceが登録されていましたが、初期状態では存在しません。
    また、ここにはSAMLやws-federationのRelying Partyだけではなく、OAuthの保護リソースも登録されるため、OpenID ConnectのUserInfoがここに最初から登録されています。


    ◆Claims Provider Trustsメニュー
    ここは何も変わりません。初期値ではActive Directoryだけが登録されています。



    ◆Clientsメニュー
    新しく出来た項目です。
    ここで、OAuthのクライアント管理を行うことが出来ます。
    ちなみに、Windows Server 2012R2ではPublic Clientしか登録することが出来ませんでしたが、次期バージョンからはConfidentialも登録できるようになっています。(つまり、client_secretの発行が出来、Client Credentialなどのフローで使えます)



    初回なので、今回はここまでにしておきますが、次回以降でもう少し細かい部分や動きを確認していきたいと思います。

    【参考】
     Windows Server Technical Preview 2のISOファイルやVHDファイルは以下よりダウンロードできます。
      https://technet.microsoft.com/ja-jp/evalcenter/dn781243.aspx
     ※もしくはMicrosoft Azure上で仮想マシンとしての提供されていますので、そちらを使うことも可能です。
      今回は手元にISOファイルから新規インストールしました。

     尚、最初に公開されたバージョンのTechnical PreviewのAD FSについては以下のポストで紹介しています。
     [AD FS]Windows Server Technical Previewで追加された機能~PowerShell編
      http://idmlab.eidentity.jp/2015/03/ad-fswindows-server-technical.html
     [AD FS] Windows Server Technical PreviewのAD FSを試す
      http://idmlab.eidentity.jp/2014/10/ad-fs-windows-server-technical.html

    0 件のコメント:

    コメントを投稿