Blogs - フィールドSEあがりの安納です - Site Home - TechNet Blogs

フィールドSEあがりの安納です

Microsoft Evangelist -- Junichi Anno

Blogs

【IDM】Windows Server 2012 R2 の Web Application Proxy ってナニするためのもの? Device Registration Service との関係は?

  • Comments 1
  • Likes

Windows Server 2012 R2 に新しく実装された機能の1つに Web Application Proxy があります。

非常に地味~な名称のため、正直なところあまり目立たないのですけどね。

Web Application Proxy とは何かといえば、ぶっちゃけ、リバースプロキシーです。

リバースプロキシーなんて古くからあるテクノロジーですから、中には「何を今さら !?」と思われる方もいらっしゃるかもしれません。マイクロソフトもその昔 MS PROXY という製品を販売していましたし、その後継製品として現在は超高機能な Forefront UAG(Unified Access Gateway)を持っています。

なのに、なぜ今さら Web Application Proxy なのかといえば、これがマイクロソフトの「デバイス&サービス戦略」においてとても重要な位置を占めているからです。

Windows Server 2012 R2 に実装されている Web Application Proxy の最大の特徴とは何かといえば、

AD FS による事前認可機能

これにつきます。

スライド10

さまざまなリバースプロキシー製品が Active Directory ドメインサービスに「認証依頼」を飛ばすことができますが、Web Application Proxy は AD FS に「依頼」を飛ばすことができます。

Web Applicaiton Proxy と AD FS の連携による認可処理は、社内へのアクセスに先立って行われるため「事前認可」と呼んでいます。

この機能により、ユーザーがインターネットから社内リソースアクセスする前に、「ユーザー認証」するだけでなく AD FS から発行されたクレームを使用して「認可」することができるのです。

ここでちょっとだけ整理しておきましょう。

  • ユーザー認証でできること
    • ユーザーIDとパスワードの正当性チェック
    • ユーザーが所属しているセキュリティグループの正当性チェック
  • ユーザー認可でできること
    • ユーザーのさまざまな属性によるアクセス可否判定

「認可」では、ユーザーが持っている属性を使ってアクセス可否を判定することができるため、きめの細かな制御が可能です。

スライド12

ユーザー属性は通常 Active Directory に格納されていますが、AD FS は標準で SQL Server に格納された情報を検索できるため、例えば人事データベースが SQL Server で構築されていれば、それらの情報も判定基準として利用できるということです。

アクセス制御のための複雑なビジネスロジックを大量のセキュリティグループによって実現することは、とても大変ですし面倒です。

しかし、ユーザー属性をアクセス制御の判定基準に利用できれば、今まで以上に要望実現への距離を短縮することができます。

「え?それだけ?なんかピンとこないな。」

そう思われた方も多いでしょう。

当然、話はこれだけでは終わりません。

Windows Server 2012 R2 には新たに「DRS:Device Registration Service(デバイス登録サービス)」という機能が実装されました。

これはその名の通り、ユーザーのデバイス(PCやタブレット)を Active Directory に登録するためのサービスです。

これはドメイン参加とは違いますので気を付けてください。

ドメインに参加した PC は、AD ドメインによる「デバイス認証」がサポートされることに加え、「ドメインのポリシーを強制適用」したり「管理者がリモートから管理」することができます。

しかし、DRS によってドメインに登録されたデバイスは、ADドメインによって「デバイス認証」のみが行われます。

デバイスを登録したからといって、ドメインのポリシーが適用されたり、管理者がリモートから入り込むということはできません。

では、なんのためのデバイス登録なのか。。。

実は、DRS は AD FS と連携して動作しています。

ということは、デバイスが AD ドメインで認証の結果、デバイスのクレーム(デバイスの属性)が発行されます。

ちなみに、デバイスを登録する処理のことを、Windows 8.1 では Workplace Join と呼んでいます。

スライド16

「デバイスのクレームが発行される」と聞いて、先の Web Application Proxy の AD FS 連携と結び付けられた方はすばらしいです。

デバイスクレームが発行されるということは、Web Application Proxy を通過する際に ユーザーに対する認可に加えてデバイスに対する認可も行えるということです。

つまり、ユーザーが正しく認可されても、デバイスが認可されなければ社内にアクセスすることができません。

従来、これと同じことを行うためには、サードパーティ製品を導入する必要がありました。

しかも、個人デバイスは Active Directory に登録されていないため、別途管理DBを用意してメンテナンスしなければなりませんでした。

でも、今後新しく構築する際にはその必要はありません。

Workpalce Join を使用すれば、ユーザーは自分自身で社内 AD にデバイス登録が行えます。

しかも、何か特別なアプリケーションやドライバーをインストールする必要はなく、OS 標準機能で行えてしまうのです。

必要な証明書は、Workplace Join したときに自動的にインストールされます。

もちろん、誰でも彼でもデバイス登録ができてしまうことは危険ですので、DRS に登録要求ができるユーザーやユーザーグループを制限することもできます。

その辺のアクセス制御は AD FS を使用してきめ細かに行えます。

スライド17

スライド14

スライド18

いかがでしょう?

ちょっと評価してみたくなりましたよね?

ただ、構築のために求められるスキルは、かなり難易度が高いです。

なので、手順書を用意しました。

手順書を入手していただくには、まずは Windows Server 2012 R2 評価版ダウンロードを行ってください。

http://technet.microsoft.com/ja-jp/evalcenter/dn205286.aspx

評価版ダウンロードを開始してからすこしすると、「ダウンロードありがとう」的なメールが送られてきます。

※すでに評価版をお持ちの方はダウンロードを途中で止めてしまっても大丈夫です

そのメールの中に、手順書へのリンクが書かれています。

ぜひ Windows Server 2012 R2 評価版を使用して、手順を実施してみてください。

感動していただけるはずです。

一歩先の Active Directory の使い方によっていただければ幸いです。

Comments
  • こんにちは。

    手順書に従い、構築をしているのですが、
    教えて頂きたいことがあります。

    現在、サンプルのwebアプリケーションのインストールが完了し、
    IISの設定をするところまで進めました。
    そこでwebアプリケーションが動作するか確認しようと思い
    http://localhost/claimapp/にアクセスしたのですが
    アクセスが許可されず接続出来ませんでした。

    webアプリケーションにアクセスするには何か
    アクセス権等の設定が必要なのでしょうか?

    お手数ですが、回答頂けると助かります。

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment