2017年5月13日土曜日

[Azure AD] Azure AD B2C に OIDC/SAML 対応の外部 IdP が設定可能に

こんにちは、富士榮@ミュンヘンです。

最近何かと熱い分野でもある CIAM(Consumer Identity and Access Management)ですが、今週ドイツ・ミュンヘンで開催された European Identity & Cloud Conference 2017(EIC)でも他のテーマである GDPR、PSD2 などプライバシー系の法令対応の話や 昨年のニューオリンズで開催された Cloud Identity Summit(CIS)でも大きな話題となった Blockchain による信頼できる Identity 基盤と VRM(Vendor Relationship Management)、Respect Network の文脈での Self Sovrin Identity などと並行して大きく取り上げられていました。

そんな中、平行して US で開催されていた Build ではマイクロソフトの CIAM の実装である Azure Active Directory B2C の大きなエンハンスが発表されました。

ポイントは、カスタムの外部 IdP として

  • OpenID Connect の OP をサポート
  • SAML 2.0 の IdP をサポート
したことです。

これまでは Microsoft Account、Facebook、Google、LinkedIn、Amazon.com、などメジャーなコンシューマ ID プロバイダが正式サポート、twitter や Weibo、QQ、WeChat が Preview として対応、という状況でしたが、OpenID Connect および SAML に対応したことで、自分の好きな ID プロバイダをカスタムで追加することが出来るようになりました。

公式なドキュメントでは OpenID Connect 対応の IdP として Azure AD、SAML 対応の ID プロバイダとして salesforce.com を例として構成例が解説されています。

公式ドキュメント

ガリガリと XML を書いてアップロードする必要があるなど、まだまだ手順が面倒なのですが、公式アナウンスでも次の数週間でもう少し簡単な実装方法に対応させる、とありますのでそちらに期待しましょう。

管理画面の Identity Experience Framework - Preview というものが皆さんの Azure AD B2C にも来ているはずです。この中にカスタムポリシーを構成するための機能が詰まっています。



早速 Azure AD を Azure AD B2C のカスタム IdP として追加してみたのが以下の画面です。

色々とカスタマイズの余地もあるので、引き続き触っていきたいと思います。


2017年5月6日土曜日

[Azure AD]条件付きアクセスの信頼済みネットワークが拡張されてました

こんにちは、富士榮です。

永らく条件付きアクセスの信頼済みIPの上限数(50レンジ)に悩まされてきた管理者の皆さんに朗報です。(といってもしばらく前に拡張されていたので、既に気が付いた人は使っていると思いますが)

これまでは、旧MFAポータルで信頼済みIPを設定していたのですが、登録可能な数は50レンジまででした。



この上限で困るケースが社内からのネットワークの出口が事業所毎にあったり、クラウドベースのプロキシサービスを使っているようなケースです。

以前、マイクロソフト・コーポレーションの開発チームとのディスカッションの場でもこの制限に関しては私を含め複数の人から改善リクエストが出ており、名前付きネットワーク・オブジェクトとの統合のロードマップが示されていましたが、条件付きアクセスの設定が正式に新ポータルへ移行されたタイミングで信頼済みIPについても移行されました。

尚、現段階では以下の注意点があります。
・過去に作成したアプリケーションの条件付きアクセスの構成は新ポータルからは見えないので、構成し直す必要があります
・再構成しない場合、過去に作成したアプリケーションについては旧ポータルの信頼済みIPが使われます
・新しくアプリケーションを作成する場合、旧ポータルからアプリケーションを作成する場合でも、条件付きアクセスは旧ポータルからは構成できなくなっています。条件付きアクセスの構成は新ポータルから実施してください


早速ですが、構成を見てみます。

新ポータルの条件付きアクセスの構成にNamed Locationsという項目が存在するので、New locationをクリックしてネットワークの場所を定義していきます。

IPレンジをどんどん追加できます。(画面からの直接入力の場合は10個単位で保存をしないとダメですが、保存した後に再度ネットワーク構成を開いて追加していけばどんどん追加できます)また、テキストファイルにネットワークレンジの一覧を書いてUploadすることで一気に追加することが出来ます。


次はこれを使って条件付きアクセスのルールを構成してみます。

まずは対象のユーザ・グループを選択します。ここでは全員を対象としています。


次に対象とするアプリケーションを選択します。ここでは「pharaoh1234」という名前のアプリケーションを対象としています。

次に、条件を設定します。今回信頼済みIPに設定されていないネットワークからのアクセスの場合は多要素認証を要求しようと思うので、ここのLocationsにInclude:All locations、ExcludeにAll trusted IPsを指定します。



条件に一致した場合のアクションとして多要素認証を要求したいので、以下の通りRequire multi-factor authenticationにチェックを入れます。

後は、ルールをEnableにして保存すると完了です。


この状態で信頼済みIP以外のネットワークからアプリケーションにアクセスすると以下のように多要素認証が要求されます。