リソースソリューション ガイド

Office 365 の ID の保護

概要

Microsoft Office 365 は、電子メールやその他の生産性向上ツールなどの一般的なapplicationsを実行するための管理とインフラストラクチャのコストをアウトソーシングする場合に人気のある選択肢です。 Office 365 では、パスワード ハッシュを含むユーザーの ID を完全に制御できるフェデレーション ID モデルを使用できます。

BIG-IP Access Policy Manager (APM) を使用すると、Active Directory Federation Services (ADFS) サーバーやプロキシ サーバーの追加レイヤーの複雑さを伴わずに、既存の Active Directory から Office 365 への安全なフェデレーション ID 管理を提供できます。 地理的制限や多要素認証など、強化された APM セキュリティ機能の多くを使用して、Office 365 へのアクセスをさらに保護できます。

考慮事項

ユーザーを Office 365 に移行することを決定したら、サインイン モデルを決定する必要があります。 多くの大規模組織では、パスワード ハッシュの完全な内部制御を維持できるように、フェデレーション ID モデルを選択しています。

フェデレーション ID モデルでは、Office 365 はセキュリティ アクセス マークアップ言語 (SAML) を使用して、既存の Active Directory サービス (ID プロバイダーまたは IdP) を使用してユーザーを認証します。 フェデレーション サインインを選択するには、Office 365 が Active Directory サーバーにアクセスし、SAML 認証要求を変換できるようにする必要があります。

これを実現する 1 つの方法は、Microsoft Active Directory Federation Services (ADFS) サーバーと ADFS プロキシ サーバーを使用して安全なアクセスを管理し、SAML IdP として機能することです。

しかし、もっと簡単な方法があります。

BIG-IP Local Traffic Manager (LTM) と Access Policy Manager (APM) を使用すると、ADFS プロキシ サーバーのみ、または ADFS プロキシ サーバーADFS サーバー自体を排除できます。 どちらの場合でも、BIG-IP が提供する高度なセキュリティ保護ポリシー (ファイアウォール機能、地理、レピュテーション制限、事前認証など) を使用して、主要なディレクトリ インフラストラクチャを保護できます。

ADFS プロキシ サーバーを置き換えると、安全なファイアウォール認定プラットフォームによって提供される、ADFS サーバーの高可用性と事前認証サービスが実現します。

ADFS プロキシ サーバーと ADFS サーバー自体の両方を置き換えると、同じセキュリティと事前認証の利点が得られ、さらにインフラストラクチャが簡素化されます。

クライアントは、2 要素認証、クライアント証明書などの高度なチェックによって事前認証できます。 場所や評判などのエンドポイント チェックを展開することもできます。

F5 ADFS iApp テンプレートを使用すると、ADFS サーバーの保護または置き換えを目的とした BIG-IP の導入を大幅に効率化できます。iApp テンプレートは、高度な構成の作成を、テストおよび検証済みの構成を作成するためのシンプルなウィザード ベースのプロセスに変換します。

機能する SAML IdP があれば、この ID フェデレーションを他の多くの SAML 対応applicationsやサービスに拡張して、他の多くの Web ベースの SaaSapplicationsでシングル サインオンを実現できます。

手順

まず、どの導入モデルを選択するかを決定します。 オプションについては、ADFS に関するF5 の記事シリーズで詳しく説明されています。

1. 要件を満たす導入モデルを決定したら、 ADFS導入ガイドを読み、 iApp テンプレートをダウンロードします。

2. Active Directory サーバーの設定を変更するための資格情報と権限があることを確認してください。

3. BIG-IP システムを導入し、高可用性、ネットワーク接続などをテストします。

4. iApp テンプレートを実行し、必要な情報を入力します。 これで、基本的なインストールが完了しました。

BIG-IP システムの図
結果

Office 365 へのユーザー向けの合理化され、安全で、管理されたアクセス。

高度な認証について詳しく知りたい場合は、 BIG-IP Access Policy Manager の Policy Manager をお読みください。 認証とシングルサインオン