Windows Azure Active DirectoryMulti-Factor Auth Providers (Preview)

のPhone Callを使ってみた！

Japan Windows Azure User GroupKentaro Aoki

@kekekekenta2013年9月7日

はじめに

• まだプレビューで日本語化されていないところもあり、一部正式な名前と異なるところがあるかもしれませんのでご了承ください。

2

Windows Azureに関係するActive Directory

• Windows Server Active Directory– 仮想マシン

• Windows ServerとActive Directoryが動作する仮想マシンインスタンス

– 仮想ネットワーク• Active Directory サイトのネットワーク

• Windows Azure Active Directory (Windows Azure AD)– ディレクトリ

• Webアプリケーション向けのIDプロバイダーを提供

– Access Control 名前空間• Webアプリケーション向けのIDプロバイダーやWeb IDを統合して認証と承認を一元化するサービス

– 多要素認証プロバイダー（New）←今回はこれ• Webサーバや、Webアプリ、リモートVPNサーバなどの認証に、単純なユーザ名とパスワードだけでなく、電話による認証や、ワンタイムパスワードなどの様々な認証方式を提供する

3

Windows Azureの多要素認証について

4

↓今回はその中のこれ

ディレクトリとのリンク（プレビューのためか設定できない？問い合わせ中です）

では、多要素認証プロバイダMULTI-FACTOR AUTH PROVIDERS

5

多要素認証プロバイダと認証サーバ

• 特徴

– ユーザIDとパスワードだけでなく、簡単に電話を使った認証機能を組み込むことができる。通話、テキスト、OTPなど。

– セキュリティ観点だと、認証の強化や、他経路からの認証なりすましを検知することができる。

– アプリ開発者向けにはSDKもあるよ。

6

AccessServer

RemoteVPN

IIS/Apache

…

Firewall

Azure

OTP(One Time Password)用のスマフォアプリ

7

• Windows Phone, iPhone, Android向けにOTPができるアプリもあります。

• Windows Phone– http://www.windowsphone.com/en-

us/store/app/multi-factor-auth/0a9691de-c0a1-44ee-ab96-6807f8322bd1

• iPhone– https://itunes.apple.com/us/app/multi-

factor-authentication/id475844606?mt=8

• Android– https://play.google.com/store/apps/detail

s?id=com.phonefactor.phonefactor&hl=en

多要素認証プロバイダを利用するまでの流れ

8

利用するまでの流れ①（クラウド側）Windows Azure 管理ポータル

9

• WindowsAzure管理ポータルのActiveDirectoryから多要素認証プロバイダを作成（今回はディレクトリにリンクしない）

• 作成された多要素認証プロバイダの管理をクリック

利用するまでの流れ②（クラウド側）多要素認証プロバイダ管理画面

10

• 多要素認証プロバイダの管理画面からMulti-Factor Authentication Serverをダウンロードして、サーバをインストール（今回はWindowsServer 2012にインストール）

利用するまでの流れ③ （オンプレミス側）Multi-Factor Authentication Serverインストール

11

• 多要素認証プロバイダ管理サーバからアクティブ化に必要な情報を取得してインストール

利用するまでの流れ④ （オンプレミス側）Multi-Factor Authentication Serverの設定

12

• Multi-Factor Authentication Serverのアプリからユーザを追加します。（今回はWindows Serverに登録されているユーザを使用します）

利用するまでの流れ⑤ （クラウド側）クラウドとサーバの接続状態確認

13

• 多要素認証プロバイダの管理ポータルからオンプレミスにインストールしたサーバとの接続状態を確認します。

Demo

14

• 今回はIISのBasic認証でPhone Callを試してみます。

• ユーザIDとパスワード入力後に登録してある電話が呼ばれます。

• 電話に出て指示の通りにプッシュボタンを押します。

何かが足りない。。。そうだ！

15

「クラウディアさんに認証されたい！！！」

16

多要素認証プロバイダの管理画面より電話メッセージの変更

17

• 電話メッセージの音声を変更することができます。

• IISやRADIUSなどアプリケーションごとの音声を変更することが可能！

音声はこちらから↓http://msdn.microsoft.com/ja-jp/claudia00_03

変更可能な電話メッセージ

• Voice Messages

– 案内

– 認証成功

– 認証失敗

– など４２種類ぐらい

– 詳細はこちらのサイト

• https://pfweb.phonefactor.net/help/management_portal/Customize_Greeting.htm

18

Demo

19

• クラウディアさんが認証してくれた。

• JAZUG3周年おめでとー！

その他

20

料金や制限について

• 従量課金

– ユーザーごと：¥83.04/月(認証回数の制限なし)

– 認証ごと：¥83.04/認証回数 10 回

• 6 か月または 12 か月プラン

– ユーザーごと： ¥56.47 ～ ¥66.44/月(認証回数の制限なし)

– 認証ごと：¥56.47 ～ ¥66.44/認証回数 10 回

• ※キャンペーン中のため、50% のプレビュー割引が適用されてます。（2013年9月7日確認）

21

ありがとうございました！

22

• ブログ

– http://kentablog.cluscore.com/

• Twitter

– @kekekekenta