Your SlideShare is downloading. ×
0
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現

7,791

Published on

MSC 2013で使用した資料です

MSC 2013で使用した資料です

Published in: Technology
0 Comments
13 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
7,791
On Slideshare
0
From Embeds
0
Number of Embeds
7
Actions
Shares
0
Downloads
146
Comments
0
Likes
13
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. アーキテクチャー設計者必見 最新の ~ による とハイブリッドな認証基盤の実現 からパブリッククラウド連携まで ~ 日本マイクロソフト株式会社 デベロッパー&プラットフォーム統括本部 エバンジェリスト 安納 順一 1
  • 2. Agenda & Takeaway • Active Directory ドメイン 設計に要求される変化 • オンプレミス における AD DS と AD FS の役割 • AD DS/AD FS と Windows Azure Active Directory の連携 • パブリッククラウドにおける Windows Azure Active Directory の役割 デモンストレーションを交えながらお伝えします! 2
  • 3. マイクロソフトの IdP プラットフォーム全体像 Consumer Microsoft Account (Windows Live ID) Enterprise Windows Azure Active Directory Windows Server Active Directory FIM Windows 8 Microsoft 全製品 他社 IdP Microsoft 全 OS HR 3
  • 4. Windows Azure Active Directory definitely not ! Windows Server Active Directory (on premise / on Azure IaaS) 4
  • 5. 典型的な Active Directory の使い方 企業や組織に閉じた利用 Active Directory ドメイン AD CS AD RMS 証明書発行 データ暗号化 ファイルサーバ アクセス制御 Windows クライアント ID/Pass で Sign-in グループポリシーによる統制 アカウント管理 AD DS ア ク セ ス 制 御 メールサーバー WEB サーバー DB サーバー 5
  • 6. Active Directory にまつわる最新2大ニーズ • パブリッククラウドとの連携 • 個人デバイスの業務利用(BYOD) • マルチファクター認証/認可 ドメインを超えた利用 認証と認可の精度向上 最終的にはパブリッククラウド上でIDを管理したい=IDMaaS office365 Web Service Web Service Salesforce.com Web Service Web Service Web Service Web Service Facebook.com Web Service Google.com Outlook.com Active Directory ドメイン • 多要素認証/認可 6
  • 7. Azure AD と AD FS が次世代 Id 基盤のカギとなる ドメインを超えた利用(ハイブリッドな認証基盤) office365 Active Directory ドメイン Active Directory Web Service Salesforce.com Web Service Web Service Web Service AD DS Google.com AD FS 認証と認可の精度向上 個人デバイス (ドメイン非参加デバイス) Active Directory ドメイン 追加認証 メソッド AD DS Active Directory AD FS 7
  • 8. ハイブリッドな認証基盤 ~ クラウド & オンプレミス 8
  • 9. AD DS と AD FS が蜜月な件 AD DS :ユーザーとデバイスを「認証」 AD FS :認証されたユーザーとデバイスの“クレーム”を含んだ「トークンを発行」 認可② ユーザー権限 認可① アクセス可否 クレーム発行 クレームを受信 CONTOSO 認証したかどうか AD FS 認証: ユーザー特定 AD DS : Active Directory Domain Service AD FS : Active Directory Federation Service 9
  • 10. 他企業、他部門、他 CP からの認証を受け入れる 認可③ ユーザー権限 クレームを 受信 HTTPS クレーム変換 認可② アクセス可否 クレーム 発行 CONTOSO 認証したかどうか AD FS クレーム受信 HTTPS クレーム発行 AD FS NORTHWIND 認証したかどうか AD DS 認可① アクセス可否 10
  • 11. 他企業、他部門、他CP からの認証を受け入れる 認可③ ユーザー権限 クレームを 受信 HTTPS 認可② アクセス可否 クレーム 発行 CONTOSO 認証したかどうか AD FS クレーム受信 HTTPS HTTPS HTTPS HTTPS クレーム発行 AD FS NORTHWIND 認証したかどうか AD DS 認可① アクセス可否 11
  • 12. Firewall 外からのリクエストを受け入れるには Web Application Proxy(Windows Server 2012 R2)を使用する CONTOSO クレームを 受信 HTTPS HTTPS AD FS 認証したかどうか クレーム受信 AD FS PROXY HTTPS AD FS PROXY HTTPS HTTPS クレーム 発行 クレーム発行 AD FS NORTHWIND 認証したかどうか AD DS 12
  • 13. パブリッククラウド連携も同じ考え方 クレームを 受信 HTTPS クレーム 発行 クラウド上の クレームプロバイダー (アイデンティティプロバイダー HTTPS AD FS NORTHWIND AD DS 13
  • 14. パブリッククラウド側の IdP は WAAD ハイブリッドな認証基盤 クレームを 受信 など HTTPS クレーム 発行 Active Directory HTTPS AD FS NORTHWIND AD DS 14
  • 15. SAML トークンが連携のカギ ハイブリッドな認証基盤 クレームを 受信 など WS-Fed SAML 2.0 クレーム 発行 Active Directory WS-Fed AD FS NORTHWIND AD DS 15
  • 16. SAML トークンが連携のカギ SAML 2.0/WS-Federation により他社クラウドアプリとの連携も可能 GOOGLE APPS Salesforce.com クレームを 受信 など WS-Fed SAML 2.0 クレーム 発行 Active Directory WS-Fed AD FS NORTHWIND AD DS 16
  • 17. Windows Azure Active Directory IDMaaS としての機能を実装したマルチテナント型のディレクトリ サービス ディレクトリ • ユーザー管理 • Graph API • Auth. Library • 認証 • ID/Password • 多要素認証 • AD DS 同期 • Application Access • ユーザー同期 アクセスコントロール • ID 連携 Active Directory 多要素認証プロバイダー(有償) • 電話応答 iOS , Android , WP 用アプリ • ワンタイムパスワード ADDS Azure AD • トークン変換 17
  • 18. ディレクトリ アカウント情報 の管理 • ユーザー • グループ • デバイス Graph (REST API) ディレクトリ ID Store (AD LDS に相当) AD FS (WS-Fed) AD DS Federation Gateway (AD FSに相当) RP(SP) 側 SAML 2.0 (ECP Profile) CP(IdP) 側 WS-Fed WS-Fed SAML 2.0 自社開発アプリ 3rd Party SaaS OAuth 2.0 OR • Shibboleth(SAML 2.0) • Ping Federate( WS-Fed,SAML 2.0 ) http://technet.microsoft.com/en-us/library/jj679342.aspx その他 105 サービスに対応 ( 2013/8 時点)18
  • 19. “アプリケーション アクセス”(Preview) • 既存 SaaS の認証を “インスタント” に WAAD に関連づける • Google Apps, Salesforce.com はアカウント同期も可能 ア プ リ ケ ー シ ョ ン ア ク セ ス Active Directory ID 同期 ID フェデレーション パスワード連携 SAML対応RP その他 事前にID/Passを登録 その他 ② ① Access Panel 19
  • 20. Access Panel • Windows Azure AD と関連付けられた SaaS の一覧 • ユーザーは、サービスをクリックすればよい https://account.activedirectory.windowsazure.com/applications/ 20
  • 21. アクセス コントロール • 外部認証サービスから RP 側へのトークン ゲートウェイ • ACS自身は認証プロバイダーではない WS-Fed AD FS WS-Fed をサポートしている CP Oauh 2.0 2.0 CP(IdP)側 トークン 変換 Application RP(SP)側 Federaton Gateway. WAAD - Directory OpenID WS-Fed OAuth Wrap Application Access Control Service 21
  • 22. ハイブリッドな認証基盤 ~ 社内デバイス & 個人デバイス 22
  • 23. 従来の AD DS/AD FS では… 認可② ユーザー権限 クレームを 受信 HTTPS 認可① アクセス可否 クレーム 発行 CONTOSO 認証したかどうか AD FS UserID/Password ・ユーザーの信頼性をチェック ・デバイスの信頼性は未チェック ドメインの UserID で 直接アクセスする 23
  • 24. デバイスの信頼性をチェックするには 個人デバイスを登録し、認証できる仕組みが必要 ④デバイスクレームからア ③デバイスクレームを発 行しアクセス可否を判断 クセス権限を判定 クレームを 受信 HTTPS クレーム 発行 AD FS ②デバイス 認証 ①デバイス CONTOSO 登録 認証したかどうか デバイス情報 UserID/Password ドメインの UserID で 直接アクセスする 24
  • 25. デバイス レジストレーション サービス(DRS) • 個人デバイスを Active Directory ドメインに登録する機能 (ドメイン参加ではない) • デバイス認証が可能になり、個人デバイスの社内リソースへのアクセスを、デバイ スクレームを使用して制御できるようになる • DRS を使用してデバイス登録するプロセスを AD DS 「Workplace Join」と呼ぶ • iOS/Windows 8.1/Windows RT 8.1 ②ユーザー に対応 認証 Start ④デバイス登録 個人デバイス ①「社内ネットワークに参加」 Domain UserID/Password Start HTTPS AD FS クレーム処理 エンジン デバイス登録 サービス (DRS) ⑤ 証明書インストール ③デバイスクレーム 25
  • 26. インターネットからの受け入れをどうするか Web Application Proxy による事前認証/認可が可能 CONTOSO クレームを 受信 HTTPS クレーム 発行 AD FS 認証したかどうか Web Application Proxy 26
  • 27. 社外からの事前認証(Web Application Proxy) • デバイス クレームとユーザークレームを使用したきめの細かいアクセス制御 • クレーム規則言語を使用 • AD FS に対応していないアプリケーションの事前認証も可能!! AD FS Web Application アクセス Proxy クレーム処理エンジン デバイス認証 https Start 事前認証 事前認証 プロセス AD DS Start デバイス クレーム ユーザー認証 ユーザー クレーム 追加認証 アクセス可否を判定 27
  • 28. 認証と認可の精度向上 ~マルチファクター認証/認可 28
  • 29. 「追加要素」をどこに実装するか 要素数が多いほど信頼性は高くなるが、インフラやアプリに負担を強いることになる GOOGLE APPS Salesforce.com Active Directory WEB アプリ など ? ? ? NORTHWIND AD FS AD DS Start 追加認証プロバイダー ? クライアント 29
  • 30. WAAD 多要素認証プロバイダー スマートフォンまたは携帯電話を使用した追加認証メソッド Identity Provider Windows Azure Active Directory クラウドサービス # AD DS + AD FS ⑧ Windows Azure Portal サードパーティ製 WEB サービス オンプレミス Web Application IE ⑥ 多要素認証プロバイダー ID/Password ① ③ ⑤ ④ • ワンタイムパスワード スマフォ 専用アプ • 通知 リ • 電話 • テキストメッセージ 30
  • 31. BYOD にも Phone Factor が利用できる AD FS を通過する認証/認可プロセス すべてに適用可能 AD FS Web Application アクセス Proxy クレーム処理エンジン デバイス認証 https Start 事前認証 事前認証 プロセス AD DS Start デバイス クレーム ユーザー認証 ユーザー クレーム Phone Factor アクセス可否を判定 31
  • 32. AD FS を介した MFA の流れ MFA のターゲットを限定することが可能 無効 無効 有効 デバイス認証 Active Directory にデバイ スが登録されているかどう かを確認する 有効 プライマリ認証 (ユーザー認証) • • • Form 認証 Windows 統合 証明書 YES マルチファクター認証 <条件> • ユーザー/グループ • 登録/非登録デバイス • 外部/内部ネットワーク NG OK NG NO 認証 完了 OK <認証方式> • Smart Card • Phone Factor • その他 OK NG 32
  • 33. まとめ 33
  • 34. 社内 AD DS を最大限に生かすのは AD FS である パブリッククラウド とのID連携 Active Directory AD FS により社内リソースの集 中的なアクセス制御が可能 マルチファクター認証 パートナー企業 との ID 連携 Firewall BYODデバイス登録と デバイス認証 業務 アプリケーション ネットワークロケーション や IP アドレス、ユーザー属 性、デバイス属性などによ る、多要素認証/認可 34 34
  • 35. Windows Azure Active Directory は IDMaaS である IdM as a Service(IDMaaS) IdMaaS Web Service Web Service Active Directory Web Service 35
  • 36. Windows Azure Active Directory は 企業のソーシャル グラフになる Enterprise Social Network ドメインの枠を超えてリソース同士を結合できる Partners IdMaaS IdM 業務 システム Customers Employees Digital Identity 顧客 サービス 36
  • 37. 本日のデモ環境を作るための手順書 http://technet.microsoft.com/ja-jp/windowsserver/jj649374.aspx 37
  • 38. © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. 38
  • 39. Appendix 復習:クレームベースの認証とは 39
  • 40. クレーム ベース という考え方 • リソース側に渡す認可情報のフォーマットを統一(トークン、アサーション) • 認可情報の受け渡しプロセスの統一(プロトコル) ク レ ー ム を 発 行 ク レ ー ム を 提 示 ク レ ー ム を 判 定 CP:Claims Provider (要求プロバイダー) = AD FS RP:Relying Party (証明書利用者) 40
  • 41. クレーム ベースの認証と認可 CP:ユーザー認証、デバイス認証を行いトークン(アサーション)を発行 RP:トークンから本人を識別し、ロールを決定してアクセスを認可する 信頼しているCPから発行されたトークンを持ってきたので「認証済み」と判定 CP ユーザー 情報 属性ストア 信頼 クレームを格納 トークン トークン RP 業務 ロール 管理簿 トークンを解析 • 本人識別 • ロール決定 利用者 SAML 2.0 / WS-Fed. 41
  • 42. セキュリティトークン • ロールを決定するための「クレーム」は RP が提示する • アプリケーションには「ロール」決定のためのロジックを実装 CP Claims mail 値 ユーザー 情報 値 name 値 属性ストア RP company 値 title 提 示 業務 ロール 管理簿 トークンを解析 • 本人識別 • ロール決定 署名 42
  • 43. クレーム ベースによるアイデンティティ フェデレーション • ドメイン(Firewall)を超えたリソースの利用 • 以下の2要素が一致しており、相互に信頼関係が成立していれば連携が可能 • プロトコル(SAML 2.0、WS-Federation、WS-Trust)& プロファイル • トークン(アサーション)のフォーマット(SAML 1.1、SAML 2.0) • 認証方式の違いがアプリケーションに影響しない • アプリケーションは複数の CP を同時に受け入れられる(マルチテナント) 関連会社 A A ADFS B ADFS 関連会社 B ADFS C SAML 2.0 SAML 2.0 SAML 2.0 WS-Fed WS-Fed ( = ) 側は に を登録。 が の違いを吸収する。 必要なクレームは 側が に提示する。 A B C WS-Fed ロール 管理簿 STS:Security Token Service 43
  • 44. ここまでのまとめ SAML/ WS-Fed 他社クラウ ド CP 属性ストア 認証 Offce 365 利用者 SQL Server AD DS Windows Azure AD FS 社内 WEB Apps 44
  • 45. パブリック クラウドにおける AD FS の役割 • Active Directory ドメイン 認証をパブリック クラウドに拡張するための ゲートウェイ SAML/ Active Directory ドメイン WS-Fed. AD DS on IaaS Azure 仮想ネットワーク 他社クラウド Office 365 Windows Azure 業務サービス AD DS 45

×