BIG-IPとADFS

「F5 DevCentral」は、191ヶ国、160,000人の技術エキスパートのコミュニティサイトであり、日々最新情報がアップデートされています。今回は、F5ネットワークスジャパンのビジネスディベロップメントマネージャーである兼松大地の最新ブログ投稿をお届けします。

Office 365をはじめとしたクラウドベースのサービスを導入する企業が増えている状況において、社外にあるリソースへのシームレスな、あるいは少なくとも比較的シームレスなアクセスの提供は可能なのでしょうか？ 本ブログでは、ADFS（Active Directory Federation Services）とF5 BIG-IPを活用したシームレスなアクセス方法を、「BIG-IPとADFS」と題してパート1からパート3にわたり解説しています。

ブログのハイライト
パート1：BIG-IPとADFS - ADFSファームの負荷分散
パート2：BIG-IPとADFS - Proxyに代わる選択肢
パート3：BIG-IPとADFS - ADFS、APM、およびOffice 365シッククライアント

以下にパート1ブログ「BIG-IPとADFS - ADFSファームの負荷分散」の冒頭より一部をお伝え致します。全文は、Dev Centralにおいて、こちら（パート1：https://devcentral.f5.com/articles/big-ipadfs1-adfs、パート2：https://devcentral.f5.com/articles/big-ipadfs2-apm-adfs-proxy、パート3：https://devcentral.f5.com/articles/big-ipadfs3-adfsapmoffice-365）よりお読みいただけます。

企業がクラウドへの移行を進める様子は、かつて開拓者たちが次々に幌馬車を仕立てて西への道を辿ったことを思い起こさせます。今クラウドに移行している企業はもはや開拓者とは呼べないかも知れませんが。クラウドへの集団移民が起こっているとまでは言えないものの、Office 365をはじめとしたクラウドベースのサービスを導入する企業が増えてきていることは事実です。

このような状況において、社外にあるリソースへのシームレスな、あるいは少なくとも比較的シームレスなアクセスを提供できるでしょうか？この回答のひとつにフェデレーションがあり、マイクロソフトを使っている企業ならADFS（Active Directory Federation Services）をその最新のソリューションとして利用することが可能です。この場合、ADFSサーバはセキュリティトークン サービスとして機能し、ディレクトリによって承認されるクライアントのシングルサインオン（SSO）を社外のリソースにも拡大します。クラウドベースのアプリケーションやフェデレーションの普及と歩調を合わせ、ADFSの役割も重要になってきています。以下にADFSサーバファームとADFS Proxyサーバファーム（社内に置いたADFSファームに外部からアクセスする場合に推奨）の典型的な展開シナリオを示しています。

警告：ADFSサーバファームを利用できない場合、フェデレーションによるリソースへのアクセスには制約が加わります。ハイアベイラビリティ、パフォーマンス、および拡張性を確保するためには、F5 Big-IP（https://f5.com/jp/products/big-ip/）をLTM（Local Traffic Manager）と共に展開し、ADFSとADFS Proxyサーバファームの負荷分散を行います。F5のBig-IPは負荷分散とアプリケーション配信のための非常に優れた手段のひとつです。

それでは次に技術面を説明します。このブログのパート1では、ADFSとADFS Proxyサーバファームの負荷分散を目的とした、Big-IPのLTMモジュール（英語）の展開とコンフィグレーション設定について説明します。パート2ではBig-IPのAPM（英語）（Access Policy Manager）を利用することにより、この展開作業をはるかに簡素化し、改善できることを示します。

社内ADFSサーバファームの負荷分散
前提事項および製品展開のための資料 - この展開シナリオではADFSサーバファームがインストールされ、該当するクレームプロバイダやリライングパーティとの間の信頼関係を含むコンフィグレーション設定が展開ガイド（英語）（https://technet.microsoft.com/en-us/library/adfs2）に基づいて行われていることを前提としています。また読者にはBIG-IP LTMモジュールの管理に関する一般的な知識があることを想定しています。詳細やアドバイスが必要な場合はF5のサポートサイトASKF5（英語）（https://support.f5.com/kb/en-us.html）を参照してください。下図はADFSサーバファームの負荷をBig-IPによって分散する場合の典型的な（ただし簡略化された）プロセスフローを示しています。
 

ADFSサーバファームの負荷をBIG-IPによって分散するプロセスフロー

1.クライアントがADFS対応の外部リソースへのアクセスを試みます。
2.クライアントはそのリソースのフェデレーションサービスにリダイレクトされます。
3.クライアントは社内のフェデレーションサービスにリダイレクトされます（リソースのフェデレーションサービスが信頼できるパートナーとして設定されていることが前提）。
4.ADFSサーバがアクティブディレクトリに対してクライアントを認証します。
5.ADFSサーバは、署名済みのセキュリティトークンとリソースパートナーへのクレームセットを含む認証クッキーをクライアントに提供します。
6.クライアントはリソースパートナーのフェデレーションサービスに接続し、そこでトークンとクレームが検証されます。該当する場合にはリソースパートナーが新しいセキュリティトークンをクライアントに提供します。
7.クライアントは新しい認証クッキーをそれに含まれるセキュリティトークンと共にリソースに提示してアクセスを行います。

こちらより先はDev Central（パート1：https://devcentral.f5.com/articles/big-ipadfs1-adfs、パート2：https://devcentral.f5.com/articles/big-ipadfs2-apm-adfs-proxy、パート3：https://devcentral.f5.com/articles/big-ipadfs3-adfsapmoffice-365）において全文をご覧ください。