SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

Archive for the ‘Azure Active Directory’ Category

Azure AD 証明書ベースの認証 (CBA) の証明書をスタンドアロン CA で発行できるか検証してみる

leave a comment

先日公開した次の投稿では、CBA で使用する証明書は AD CS を使用していたのですが、発行機関としてはエンタープライズ CA として設定した環境を使用していました。

スタンドアロン CA から発行した証明書でも検証することができるかを試したところ、スタンドアロン CA でも要件が満たせたのでその際の作業内容を残しておきたいと思います。

今回は Windows Server 2022 を使用してスタンドアロン CA を作成しています。

Read the rest of this entry »

Written by Masayuki.Ozawa

9月 27th, 2022 at 9:13 am

Azure AD 証明書ベースの認証 (CBA) の CDP を構成する

leave a comment

先日投稿した、Azure AD の証明書ベースの認証 (CBA) をスマートカードで検証する環境を準備してみる では 証明書失効リストの配布ポイント (CDP) の構成は行っていなかったのですが、CDP を構成してみたので情報を残しておきたいと思います。

Read the rest of this entry »

Written by Masayuki.Ozawa

9月 11th, 2022 at 4:43 pm

Azure AD の証明書ベースの認証 (CBA) をスマートカードで検証する環境を準備してみる

leave a comment

投稿を書いている時点ではプレビュー機能となりますが、Azure AD では証明書ベースの認証 (CBA) を使用するkとができるようになりました。

CBA を使用したログインの基本的な流れについては Azure AD 証明書ベース認証を試してみた がとても参考になり、基本的な作業の流れはこの記事を確認しておけば問題ないのですが、物理デバイスと組み合わせた場合にはどのようになるのかを検証する必要があり、検証環境を作ってみました。

今回使用しているベースの環境は次のようになります。

  • 使用している Azure Active Directory
  • AAD Premium P2 が使用でき、普段使用している AAD を操作しなくて済むので検証に便利
  • Windows Server 2022 AD DS × 1 台
    • Azure AD Connect をインストールし、AD と AAD を同期
      image
    • AD CS の役割も合わせて導入
    • 証明機関の証明書を AAD の CBA の証明書として設定
  • カスタムドメインを設定できる状態にし、今回使用しているユーザーはカスタムドメインのドメイン名となっているユーザー
  • Windows 10 Pro
    • T440s が手元にあったので Windows 10 Pro をクリーンインストールして使用
    • CPU / TPM が古くて、残念ながら Windows 11 がインストールできない…
  • 上記の AD にドメイン参加し、ハイブリッド Azure AD 参加の環境にしている
    image
  • Azure AD 証明書ベース認証を試してみた で解説されている証明書を使用した認証については、AD CS を展開して「ユーザー」の証明書テンプレートを使用してドメインユーザーで証明書を作成することで、CBA の認証をすることができますので、その環境を構築してから検証を実施しています。

    今回は証明書の失効については検証していないので、証明書失効リスト (CRL) の配布ポイント (CDP) については構築せずに検証しています。(CDP については、Azure BLOB ストレージを匿名アクセス許可でファイルを公開することでもできるのかなと思いつつ検証していません)

    Read the rest of this entry »

    Written by Masayuki.Ozawa

    9月 7th, 2022 at 8:47 pm