AD FS Proxyのアクセス制御

AD FS Proxyの役割で書きましたが、AD FS Proxyは外部のクライアントからのアクセスの他に、Office365(Exchange Online)からのアクセスもあります。

デフォルトだと特に何も制限無くanyで開いているので、AD FS ProxyでIP制限を掛けてみたいと思います。

1.IIS 7はデフォルトでIPアドレス制限がインストールされていないので、【役割サービスの追加】【IPおよびドメインの制限】を追加します。

 

  

2.このIIS上にはADFSしか入ってないので別に影響は無い気もしますが、念のためDefault Web Siteの直下の/adfsのアプリケーションで【IPおよびドメインの制限】を開きます。

3.Exchange OnlineのIP帯を追加します。

Technet : Outgoing IP Addresses を参照に。本当は全部載せるべきなんでしょうが、今回はテストですし、面倒なので昨年のMSのセミナーとかで出てたスライドの

プライマリ APAC SG1 (RED003)  207.46.62.0/24
セカンダリ APAC HK1 (RED003) 111.221.68.0/24

って情報を参照に、上記周辺のIPだけでテストしてみます。IPを許可リストに追加して、
 

忘れずその他のクライアントを拒否のルールを作ります。

4.これで、社内のブラウザ(AD FS Proxyは経由しない)ならびにOutlook(Exchange OnlineのIPからのアクセスなので)は通すが、外部からのブラウザアクセスはできなくなりました。

ログイン画面

社内からの場合

社外からの場合

ちなみに、社内に配置してあるPCでも、ドメインに参加していなくてDNSを外部DNSを引いて直接アクセスするような設定になっている物は、AD FSではなくAD FS Proxy経由でのアクセスになります。

AD FSに行くかAD FS Proxyに行くかは、Office365から通知されるAD FSのサービス名(例えば、sts.example.com)のアドレスをどのIPアドレスに解決するかによって制御されてます。通常は以下の様な感じですかね。

  • 内部DNSを参照しているPC…AD FSのプライベートIP
  • 外部DNSを参照しているPC…AD FS ProxyのグローバルIP
広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中