Microsoft ADFS Vulnerability Lets Attackers Bypass MFA
The flaw lets an attacker use the same second factor to bypass multifactor authentication for any account on the same ADFS service. A newly discovered vulnerability in Microsoft's Active Directory Federation Services (ADFS) lets threat actors bypass multifactor authentication (MFA) as long as they have the username and password for another person on the same ADFS service. Microsoft patched the fla
要求プロバイダー信頼と証明書利用者信頼
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 ADFSを扱うにあたり、理解を難しくしている用語に「要求プロバイダー信頼」と「証明書利用者信頼」があります。今日は、要求プロバイダー信頼とは何か?証明書利用者信頼とは何か?について解説してみたいと思います。 その前に.. 信頼関係とは? Active Directoryの信頼関係について、おさらいしておきましょう。 Active Directoryにおける信頼関係とは1度のサインインによってアクセスできる範囲を自分のドメインだけでなく、他のドメインにもアクセスできるようにする、いわゆるアクセス範囲拡張機能です。 この
ADFS3.0の再インストールするときの注意点
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 突然ですけど、AAD Connectのインパクトってすごいですね。 AAD Connectの登場によって、DirSync + ADFSサーバーでOffice365のシングルサインオン環境を運用している企業でも、いずれDirSyncからAAD Connectに入れ替える時が来るのではないかと思います。 私自身も、DirSyncを使ってSSO環境を運用していたのですが、AAD Connectに入れ替えようと思ったら、案外AAD Connectのウィザードが便利なので、「SSO環境を全部壊して、
ADFSサーバー間の連携設定(1)
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 前回、ADFSサーバーの要求プロバイダー信頼と証明書利用者信頼について紹介をし、要求プロバイダー信頼と証明書利用者信頼にそれぞれ異なるADFSサーバーを登録して、連携させることができるという話をしました。 そこで、今回はADFSサーバー間の連携を行うための具体的な設定について紹介します。 今回行うこと 前回の投稿でもご覧いただいた図ですが、2つの異なる会社でADFSサーバーを保有していて、A社のユーザーがB社のADFSサーバーを経由して様々なサービス(Office365など)にアクセスするというシナリオで必要な設定を見
AD FS ラボ環境を設定する
このテスト環境をセットアップするには、次の手順を完了します。 手順 1: ドメイン コントローラー (DC1) を構成する 手順 2: デバイス登録サービスを使用してフェデレーション サーバー (ADFS1) を構成する 手順 3: Web サーバー (WebServ1) とサンプルの要求ベースのアプリケーションを構成する 手順 4: クライアント コンピューター (Client1) を構成する 手順 1: ドメイン コントローラー (DC1) を構成する このテスト環境では、ルート Active Directory ドメイン contoso.com を呼び出し、Administratorパスワードとして「pass@word1」を指定できます。 AD DS 役割サービスをインストールし、次に Active Directory Domain Services (AD DS) をインストールし
ADFS 3.0を使ってActive DirectoryのアカウントでAWSにログインする - サーバーワークスエンジニアブログ
技術2課の鎌田です。 Active Directoryは、別にサーバーを用意するとSaaSのサービスにもActive Direcroyのアカウントを使うことができるようになります。 今回は、Active DirectoryのアカウントでAWSにログインする方法をご紹介します。 目次はこちら。 Active Directoryアカウントを外部連携する時の構成とバージョン ADのアカウントでログインした時のIAMのポリシー 実際に構成してみる ADアカウントとセキュリティグループの準備 ADFSのインストール ADFSの構成 AWS側の設定 ADFS側の設定 要求規則の編集 いよいよADのアカウントでAWSにアクセスしてみる おわりに Active Directoryアカウントを外部連携する時の構成とバージョン Active Directory(以下、AD)のアカウントは、社内などの閉じたネッ
ユーザー証明書認証用に AD FS のサポートを構成する
この記事では、Active Directory フェデレーション サービス (AD FS) でユーザー証明書認証を有効にする方法について説明します。 また、この種類の認証に関する一般的な問題のトラブルシューティング情報も提供します。 ユーザー証明書認証には、主に 2 つの使用例があります。 ユーザーはスマート カードを使用して AD FS システムにサインインしています。 ユーザーはモバイル デバイスに対してプロビジョニングされた証明書を使用しています。 前提条件 「証明書認証のための代替ホスト名バインディングの AD FS サポート」で説明されているモードのいずれかを使用して、有効にする AD FS ユーザー証明書認証のモードを決定します。 ユーザー証明書の信頼チェーンがインストールされ、中間認証局を含むすべての AD FS および Web アプリケーション プロキシ (WAP) サーバ
Windows Server 2016 ADFSサーバーによる証明書認証
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 だいぶ前の話になりますが、Azure ADの概念実証(PoC)に利用可能なプレイブックがマイクロソフトさんから公開されました。 ■Azure Active Directory の概念実証戦略: 概要 https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-playbook-building-blocks#generic-ldap-connector-configuration PoCの項目の中に「証明
AD FS の証明書更新手順 (SSLサーバー証明書)
皆様、こんにちは。Azure & Identity サポート担当の竹村です。 今回は、比較的多くのお客様からお問合せをいただく、AD FS の証明書更新手順をご紹介します。 本エントリでは SSLサーバー証明書 (サービス通信証明書) の手順をご紹介し、次回にトークン署名証明書、トークン暗号化証明書についてもご案内したいと思います。 - 対象リリース Windows Server 2012 R2 (AD FS 3.0) - 更新手順 以下の流れで更新作業を行います。 ------------------ 手順の概要 ------------------ 1. 証明書の取得 2. SSL サーバー証明書、ルート証明書、中間証明書のインストール 3. SSL サーバー証明書のアクセス権設定 4. AD FS のサービス通信証明書へ SSL サーバー証明書を設定 5. AD FS の SSL サ
AD FS を使用した SAML の構成
Active Directory Federation Services (AD FS) を SAML アイデンティティ プロバイダーとして構成し、サポートされているシングル サインオン アプリケーションに Tableau Cloud を追加できます。AD FS を SAML および Tableau Cloud と統合する場合、ユーザーは標準的なネットワーク認証資格情報を使用して Tableau Cloud にサインインできます。 注: 注: これらのステップはサード パーティーのアプリケーションを反映しており、通知なしに変更されることがあります。ここで説明する手順が IdP アカウントで表示される画面と一致しない場合、IdP のドキュメントとともにに一般的な SAML の構成手順およびを使用することができます。2022 年 2 月以降、SAML SSO アイデンティティ プロバイダー (
cybozu.com の SAML 認証のための AD FS 2.0 導入 - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは。社内インフラ担当の川上です。 今回はサイボウズ社内から cybozu.com の SAML 認証を利用するために、社内に AD FS 2.0 を導入した事例について紹介します。 SAML 認証とは Security Assertion Markup Language (SAML) とは、異なるセキュリティドメイン間で認証情報を連携するための、XML ベースの標準仕様です。 この定義だけではおそらく意味がよくわからないと思いますので、SAML 認証を説明する際によく使われる例を挙げます。 パスポートによる入国のシナリオ: アメリカ合衆国は、日本国を信頼している (前提条件)。 日本人の A さんは、日本国が発行したパスポートを持っている (= 日本国により本人確認済み)。 A さんが、アメリカ合衆国に対して入国許可を求める。 アメリカ合衆国は、A さんのパスポートを確認し、入国を
AD FS/AD FS Proxy を Azure の仮想マシン上に構築してみる at SE の雑記
Azure のサブスクリプションを起点として Windows Azure Active Directory のディレクトリ同期を設定 の続きになります。 Azure の仮想マシン (Azure VM) で AD FS / AD FS Proxy を構築してみたいと思います。 冒頭のリンクはオンプレミス上の環境に構築していたのですが、今回の投稿を書くために、仮想マシンのギャラリーから作成したものに再構築しています。 今回は以下の環境を作成しています。 nawagami-ad / nawagami-sync が VM 上に移行した AD とディレクトリ同期になります。 # ギャラリーの Windows Server 2012 R2 Preview のイメージを使用しています。 この状態から、AD FS/AD FS Proxy を構築していきたいと思います。 ■AD FS を構築 AD FS を
ADFSまとめ
皆さんこんにちは。国井です。当ブログでのADFSサーバーに関連する情報を集めてみました。 このページは手動で更新しているので、新しいものはカバーされていない可能性が高いです。 そんなページですが、よろしければ参考になさってください。 ADFSの概要と計画 ADFSとは?フェデレーションとは?を知る方法 ADFSを語る上で欠かせない、ID連携について私の学生時代の思い出とともに語っています。 【101シリーズ】シングルサインオンとは何かを考える ADFSが必要な理由 ~ 2017年版 ADFSが要らなくなったと思われていますが、まだまだ必要な分野ってあるんですね。ちなみに、この説明には抜けているけど、証明書認証もADFSが必要な理由のひとつですね。 Office 365にADFSが必要な理由 Office365のシングルサインオンとディレクトリ同期によって、ADとOffice365で同じユー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ADFS – How to enable Trace Debugging and advanced access logging
ADFS 2.0 からADFS 4.0 への移行を検証してみた | SIOS Tech. Lab
AD FS 2.0: How to Use Fiddler Web Debugger to Analyze a WS-Federation Passive Sign-In - TechNet Articles - United States (English) - TechNet Wiki
Windows Server 2012によるADFS構築