8. Microsoft Cloud
3rd Party SaaS Apps
On Premises Apps
Microsoft Azure
Prevent data leak
Disable print
Restrict download
Enforce MFA
Block sign-in
Allow sign-in
Access Control
Restrictions
OS Platform
Is Compliant / Domain joined
Is lost or stolen
Device Risk
Device
User identity
Group membership
Session Risk
User
Mobile or Cloud app
Per app policy
App
Location
IP range
ApplicationsPolicy ControlsPolicy Conditions
Windows
Defender
Azure AD
Identity
Protection
Service
24. • 症状の切り分け方法
• 1st Party の認証を済ませ Azure AD のセッショントークンを取得しておく
ID の同期
① 1st Party のアプリへアクセス
④ SP-Initiated SSO 試行
② SAML リクエスト認証
③ SAML レスポンス
アクセスパネル
⑤ SAML リクエスト
• User Not Assigned
• Wrong Identifier (multi-instances)
• Wrong Reply URL
• Wrong SAML request format
図の表現上複数アイコンがありますが、同じ端末を指しています。
25. • 症状の切り分け方法
• 1st Party の認証を済ませ Azure AD のセッショントークンを取得しておく
ID の同期
① 1st Party のアプリへアクセス
④ SP-Initiated SSO 試行
② SAML リクエスト認証
③ SAML レスポンス
アクセスパネル
⑤ SAML リクエスト
⑤ SAML レスポンス
• Wrong Reply URL
• Cert not matching
• NameID not matching
• Missing required claims
• User not provisioned
• Application not consuming the response correctly図の表現上複数アイコンがありますが、同じ端末を指しています。
26.
27. A. 必須ではないが、Azure AD Premium を保持している場合には出来ることの幅が広がる
• 認証連携可能 (=Access Panel に表示できる) な SaaS Application 個数制限がなくなる
(Free の SKU では SaaS App 10 個までしか連携できない)
• Azure AD 上の SaaS 認証設定において、グループを指定したアプリケーションのユーザーへの割り当てが可能
Azure AD Premium を保持しないユーザーに SaaS 割り当てを行う場合にはユーザーオブジェクトを追加する必要
がある
• Azure AD ギャラリーに存在しない SaaS アプリとの認証連携が出来る
• クレームマッピングの変更ができない
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-claims-mapping
上記クレームマッピング変更機能については現在 Public Preview であり、Azure AD Premium ライセンスを必要とする機能の
範囲については正式リリース時に発表される。現時点では制約がかかる可能性があるということを考慮する必要がある。
• Azure AD Premium の持つセキュリティ機能を使うことができる
条件付きアクセス、Azure MFA による多要素認証、不正アクセスの検知/レポーティング など