ADFSまとめ

皆さんこんにちは。国井です。当ブログでのADFSサーバーに関連する情報を集めてみました。
このページは手動で更新しているので、新しいものはカバーされていない可能性が高いです。
そんなページですが、よろしければ参考になさってください。

ADFSの概要と計画

ADFSとは?フェデレーションとは?を知る方法
ADFSを語る上で欠かせない、ID連携について私の学生時代の思い出とともに語っています。

【101シリーズ】シングルサインオンとは何かを考える

ADFSが必要な理由 ~ 2017年版
ADFSが要らなくなったと思われていますが、まだまだ必要な分野ってあるんですね。ちなみに、この説明には抜けているけど、証明書認証もADFSが必要な理由のひとつですね。

Office 365にADFSが必要な理由
Office365のシングルサインオンとディレクトリ同期によって、ADとOffice365で同じユーザー名/パスワードを使うのはいったい何が違うの?という疑問に答えています。

ADFSとAzure ADの違いを比較してみよう
Azure ADなのか、ADFSなのか、検討するときの材料として。

要求プロバイダー信頼と証明書利用者信頼
ADFS管理ツールに登場する、わかりにくい用語を解説しています。

Windowsのアクセス許可、ADFSのアクセス許可
Windows Serverで設定するアクセス許可(ACL)と、ADFSで設定するアクセス許可(クレームベース認可)の違いとその特徴について解説しています。

フェデレーション信頼とActive Directoryの信頼関係
ADFSでID連携を実装する場合、フェデレーション信頼と呼ばれる信頼関係を設定します。
Active Directoryの信頼関係との違いで解説しています。

エキスパートが語るIdentity as a Service
英語の記事からの引用ですが、これからのID管理について紹介しています。

導入と実装

Windows Server 2016 × Azure Active Directory Connect によるADFSのインストール
Azure AD ConnectからADFSを実装する方法をステップバイステップで紹介するシリーズのWindows Server 2016版。大人気の記事です!

Azure AD Connectを利用したOffice 365 × ADFS設定
今や定番となった、Azure AD ConnectからADFSを実装する方法をステップバイステップで紹介しています。

ADFS 2.xをWindows Server 2016へ移行
Windows Server 2008のEOSに合わせて、Windows Server 2016へADFSを移行したいというニーズを聞くので、紹介しています。

AAD Connectによる代替ID設定
Alternate Login ID (代替ログインID)によるシングルサインオンの設定方法です。
↓こっちのやり方は古いのでご注意を。

Windows Server 2016 ADFSサーバーによる証明書認証
Windows Server 2016では証明書認証のみで認証できるので、その方法をご紹介。

【ADFS+Office365】 UPNを使わないでシングルサインオン
Alternate Login IDとも呼ばれている、ADFSでUPNを使わないでOffice365にサインインする方法について設定方法を紹介しています。

Office 365 ProPlusの先進認証
先進認証利用時のADFSによるアクセス制御について
先進認証と呼ばれる、Office365 ProPlusからでもブラウザーと同様のシングルサインオンができるようになる機能ですが、いくつかの注意点があります。

Windows Server 2016のADFSサーバーにアップグレード
ADFS3.xからアップグレードする方法について。これまでのバージョンに無く、あれこれやることがあります。

グループ管理サービスアカウント
ADFS3.xでは、グループ管理サービスアカウントがデフォルトで使われるADFSのサービスアカウントです。利用する方は事前にグループ管理サービスアカウントについて学習しておくことをお勧めします。

Microsoft Edgeを利用したOffice 365のシングルサインオン
IE以外のブラウザーを使ってシングルサインオンをするための設定です。

Windows Server 2012 R2を使ってiOSだけがOffice365にアクセスできるようにする(1)
ADFS3.xのデバイス認証機能を使うと、iOSデバイスだけがOffice365にアクセスできるようにする
なんて設定が可能になります。

AndroidでWorkplace Join(社内参加)
ADFS3.xのデバイス認証機能のAndroid版です。

条件付きアクセスにある「ドメイン参加」の条件–ADFS編
Azure ADの条件付きアクセスをADFSと組み合わせて利用するときの設定について解説しています。

ADFSのクレームにSQL Serverデータベースを使う方法
ADFSでクレームベースによるアクセス制御を行う場合、Active Directoryの属性情報だけでなく、
データベースサーバーに格納された情報も使ってアクセス制御したいもの。
そこで、SQL Serverからデータを引っ張ってきてADFSのアクセス制御に活用する方法を紹介しています。

ADFSサーバー間の連携設定(1)
2つの組織でADFSサーバーを利用する際の設定方法を解説しています。(全5回)
ADFSサーバー間のID連携を実装したい方、必見です!

ADFSでデバイス認証を実装
ADFS3.xではユーザーの認証・認可だけでなく、デバイスの認証・認可も行うことができるようになっており、これによって、会社で認められたデバイスだけアクセスを許可するといった設定が可能になります。この具体的な設定について、全2回のシリーズで紹介しています。

ADFSによる多要素認証の設定
ADFS3.xからサポートされるようになった多要素認証について、その設定方法を紹介しています。

カスタム多要素認証プロバイダーの作成(概要のみ)
ADFSの多要素認証はデフォルトで証明書しか使えませんが、機能拡張でほかの方法も利用できるようになります。ここではVisual Studioを使った多要素認証の機能拡張方法について紹介しています。

Windows Azure Multi-Factor Authenticationを利用したADFSの多要素認証の設定(1)
ADFSの多要素認証はデフォルトで証明書しか使えませんが、機能拡張でほかの方法も利用できるようになります。ここでは、Microsoft Azureで提供する機能との組み合わせで、電話やモバイルアプリなどを使った多要素認証について実装方法を紹介しています。

Windows Server 2016 ADFS × Azure MFAで多要素認証
上記の設定をWindows Server 2016で実装する方法です。

【ADFS】Salesforce CRMにおけるシングルサインオン
ADFSはOffice365との組み合わせで使うイメージが強いですが、SAMLプロトコル等を使うほかのサービスともID連携が可能です。ここでは一例として、Salesforce CRMとの組み合わせによるシングルサインオンの設定方法を紹介しています。

ADFSを利用してAWSにシングルサインオンする方法
AWSって、ID連携ではなく、クレームベースセキュリティと呼ばれる方法でシングルサインオンを実現する、稀有な存在です。そうなるとADFSでの実装方法も他のクラウドサービスとの連携方法と異なってくるので、その一部始終をどうぞ。

Azure ADアカウントを利用したADFSのクレームベース認可
Azure ADで認証したユーザーがADFSで認可だけ行うという、いつものADで認証→ADFSで認可とは異なる実装を紹介しています。
こんなマニアックな実装、使う人いるのかな??

ADFS × Azure 仮想マシンのプローブ設定
Azure VMでADFSを動かす人、必見です!

ADFS 2.0におけるサインアウト
ADFSにはシングルサインアウト機能が実装されているのですが、その機能を利用するには手動での設定が必要です。ADFS3.xでも可能です!

ADFS2.0が正しくインストールされていることを確認する方法
ADFS3.xでも可能です!

ADFS2.0 サービスアカウントを変更する

UAGのセットアップ – ADFS2.0実装編(1)

運用管理

ADFS Rapid Restore ツールでADFSサーバーのバックアップ
ADFSサーバーのバックアップツールの紹介です。

永続的なシングル サインオン
ADFSサーバーによるSSOはブラウザー画面を開いているときだけ有効ですが、
この期間をもっと長くしたいというときの話

ADFSからActive Directoryユーザーのパスワード変更
ADFSを使っているとADのパスワードも外出先から変更できるんですよ。

ADFS環境でパスワードリセットを利用する方法
こっちはADFSからADのパスワードをリセットする方法です。パスワードを外出先で忘れちゃった、なんてときにどうぞ。

ADFSプロキシ経由のアクセスをロックアウト
Active Directoryではなく、ADFSを使ったロックアウト設定があることは以外と知られていない事実。
ロックアウトによるDoS攻撃を防ぐためにも

Office 365のシングルサインオン用にUPNをPowerShellから変更
シングルサインオン用にUPNを変更するって、結構面倒な作業ですよね。それをまとめてPowerShellから変更するスクリプトを置いています。

様々な証明書を利用したADFSによる多要素認証
多要素認証で証明書認証を利用する際、スタンドアロンCAを使う方法について解説しています。

ADFS+Office365でブラウザーアクセスのみ多要素認証を設定
【Q&Aコーナー】ADFSサーバーによる多要素認証での条件設定
ADFSで多要素認証を利用するメリットは多要素認証の条件を細かく設定できること!
組織に合わせた、具体的な設定方法をいくつか紹介しています。
ただ、どちらの設定もWindows Server 2016では証明書利用者信頼のアクセス制御ポリシーでGUIから設定できるようになったので、今後使われなくなっていくでしょうね。

AAD Connect Healthを利用したADFSサーバーの監視
Azure AD Premium P1のライセンスが必要なので注意

トラブルシューティング

【Q&Aコーナー】ポート443でADFSの証明書認証ができない
Windows Server 2016 で証明書認証を行う際、ポート443で証明書認証できるようになりましたが、ここには落とし穴があります。落とし穴対策の話を載せています。

ADFSで証明書を入れ替えるときの注意点(1)
ADFSにおける証明書の入れ替えに関するトラブルは後を絶ちません。
ここにある情報が証明書入れ替えのトラブルシューティングのすべてではないけれど、
役立つものがあれば、うれしいです。

Webアプリケーションプロキシのトラブルシューティング (1)
Webアプリケーションプロキシのトラブルシューティングあるあるです。
続編も2あるので合わせてご覧ください。

ADFS3.0の再インストールするときの注意点
データベースにゴミが残るので、それを削除しましょうという話

AAD Connect のトラブルシューティング
色々書いたけど、私的な結論は「トラブったら再インストールしろ」です。

ADFS実装で起こるエラー ~ アプリケーション イベントID 1310のケース

【ADFS+SharePoint】イベントID8311が出たときの私の対処法

ADFS2.0におけるSAMLトークンのリプレイを防止する方法