アトランタで開催中のIgniteのタイミングに合わせてWindows Server 2016が正式にリリースされました。
公式ブログでのアナウンス
https://blogs.technet.microsoft.com/hybridcloud/2016/09/26/announcing-the-launch-of-windows-server-2016/
9月28日現在、評価版のダウンロードが先行して可能になっていますが、正式版の提供は10月に入ってからの様ですね。
と、いうことでとりあえず評価版をダウンロードしてセットアップし、ハイブリッドID基盤の構成を確認してみました。
以前Windows Server 2012R2のドメインコントローラとAzure AD、Windows 10を使って構成した構成ですね。
[Windows 10/Azure AD]ハイブリッド環境におけるドメイン参加とシングルサインオン①
http://idmlab.eidentity.jp/2016/01/windows-10azure-ad.html
結論から言うと特に変化点はありません。
以下のシナリオでいわゆるDesktop SSO(PCへのサインイン~ブラウザアプリケーションへのサインインがシームレスに行える)が実現できます。
- Windows 10へのサインインはPINで行われる
- ファイル共有へは従来通りKerberosで認証が行われる
- AD FSに関連づけられたアプリケーションへもKerberosで認証が行われる
- Azure ADに関連づけられたアプリケーションへはMicrosoft Passportで認証が行われる
軽く動画を撮ってみました。
ちなみに、このシナリオの中で1点Technical Preview 5のころのAD FSと異なるところは、ブラウザにEdgeを使ってもAD FSへのWindows統合認証ができるようになっているところです。
単純にWIASupportedUserAgentsにEdgeなどがデフォルトで追加されているだけですけどね。
PS C:\Users\Administrator> $a = (Get-AdfsProperties).WIASupportedUserAgents
PS C:\Users\Administrator> $a
MSAuthHost/1.0/In-Domain
MSIE 6.0
MSIE 7.0
MSIE 8.0
MSIE 9.0
MSIE 10.0
Trident/7.0
MSIPC
Windows Rights Management Client
MS_WorkFoldersClient
=~Windows\s*NT.*Edge
そして、Technical Previewから変わらずに残念だったのが、AD FSの認証方式にMicrosoft Passportが選択できるにも関わらず、ブラウザアプリケーションでのSSOシナリオでは相変わらず使えないところです。
ここは別途、もう少し詳しく状況を解説したいと思いますので、とりあえずPINでログインしてもAD FSに関連づけられたアプリケーションへはMicrosoft Passport認証ではなく、Windows統合認証でSSOするしか現状は無い、ということだけ覚えておいてください。
設定関係も簡単に動画に撮っています。
そのうちもう少し細かく解説を加えて、Channel 9の別館の方にもアップしたいと思います。
投稿
0 件のコメント:
コメントを投稿