Your SlideShare is downloading. ×
  • Like
SaaS としての IDM の役割
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

SaaS としての IDM の役割

  • 1,334 views
Published

 

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,334
On SlideShare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
58
Comments
0
Likes
9

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 1Microsoft Architect Forum 2013SaaS としての IdM の役割~マイクロソフトの IdMaaS 構想日本マイクロソフト株式会社エバンジェリスト安納 順一http://blogs.technet.com/junichia/Facebook :Junichi Anno
  • 2. Windows AzureActive DirectoryMicrosoft全製品Microsoft全 OSWindows 8Microsoft Account(Windows Live ID)Consumer EnterpriseMetadataSyncSync他社 IdPHRSyncWindows ServerActive Directory
  • 3. 3Identity Technology の課題• ROI(投資収益率) が見えずらい• アーキテクチャが複雑でエンジニアがいない• 導入コストと管理コストが結構大きい• “変化”が外部に与える影響が大きいldapKerberosnis Nis+Active DirectoryマルチマスターService for UNIX統合認証同期メタディレクトリACLACEACE2要素認証証明書IRMICカードSSOクレーム認証フェデレーションSAMLOpenIDOpenID ConnectWS-TrustWS-FederationCHAP802.1xradiusOAuthNDSForefront Identity ManagerSCIM信頼関係信頼関係ACS IdMパスワード認可セキュリティトークンアサーションPINOTPNTLMSMBADSIProvisioning
  • 4. 4Agenda & Takeaway2000 年以降、ID 管理(IdM)の手法に”大きな変化”はありませんでした。しかしパブリッククラウドの登場により、あらゆる面で“大きな変化”を強いられようとしています。それには ID 管理基盤自身のみならず、アプリケーション側の変革も含まれています。本セッションでは、• IdM に求められる役割の変化• ドメインベース管理では対応が難しいこと• Enterprise なパブリッククラウドにおける IdM as a Service の重要性を通して、パブリッククラウドへの移行初期から完成期に向けた IdM のあり方についてお話します。
  • 5. 53rd Party ServicesApps in AzureWindows Azure Active Directory ~2013年4月リリースAccess ControlDirectoryGraph APIAuth. LibraryWindows ServerActive DirectoryorShibbolethorPingFederateWindows AzureActive DirectorySync連携IdM as a Service• マルチテナント• 認証 HUB(トークンゲートウェイ)• ID ストア• REST APILIVEExternal IdP
  • 6. 6Windows Azure Active DirectoryWindows Server Active Directory(on premise / on Azure IaaS)definitely not !
  • 7. 7CoreIO(Core Infrastructure Optimization)• ID を中心に、すべてのリソースを結合• End to End のセキュリティポリシー• IdM により関係性が管理されているNetworkData ServicesDevicesIdMDigital IdentityIdM の役割• Digital Identity の Provisioning• Create• Retrieve(Read)• Update• Delete• 最新状態の維持IdM の目的• ただしく認証、ただしく認可• 適切なアクセス権管理• リソースの保護• セキュリティポリシーの管理Users, Devices, ServicesGroupsAttributes
  • 8. 8従来の ID 管理 ~ Domain-based Identity Managementドメイン境界(Firewall)• ドメイン境界内の保護• ID による企業統制• セキュリティポリシーの集中管理Active Directory ドメイン
  • 9. 9IdP の乱立問題をどう回避したのか?回避は........できませんでした...そのかわり...こんな方法で対応してきました同期Metadata業務 業務業務統合認証業務 業務認証サーバー
  • 10. 10組織間、企業間連携のニーズサービス(Service Provider: SP)には、認証と認可がつきものActive Directory ドメイン• ドメインの異なる組織、企業間でサービス連携を行いたい• Active Directory 以外のドメインとの連携Active Directory ドメイン連携
  • 11. 11パブリッククラウド連携へのニーズサービス(Service Provider: SP)には、認証と認可がつきものActive Directory ドメイン• 企業向け SaaS(Office 365, GAE, Saleceforce など)• SNS との連携Web ServiceWeb ServiceWeb ServiceWebServiceWebServiceWeb ServiceWebServiceSalesforce.comGoogle.comoffice365Facebook.com Outlook.com
  • 12. 12新たな課題IdP(Identity Provider)として• 企業ドメインの ”境界” を超えたリソース利用• パブリッククラウド上での Identity 管理SP(RP)として• 複数企業の受け入れ方法(コードを書き換える!?)• テナントごとのアクセス管理• 受け入れ企業の Digital Identity 管理、保守• 「パスワード管理なんてやってられっか!」
  • 13. 13Identity Federation ModelIdP(CP) SP(RP)• ドメインベースモデルの大いなる拡張!• ドメイン外サービスとの連携• 認証と認可の分離(IDとリソースが同一ドメイン内でなくてもよい)WHO AM I?PROVES WHO SHE ISCLAIMS認証 認可同一人物
  • 14. 14クレーム ベースの認証と認可IdP(認証) SP(認可)クレーム ベース の認証と認可IdP :ユーザー認証、デバイス認証を行いトークン(アサーション)を発行SP :トークンから本人を識別し、ロールを決定してアクセスを認可する業務トークン トークンユーザー情報利用者ロール管理簿トークンを解析• 本人識別• ロール決定信頼クレームを格納プロトコルが存在する属性ストア
  • 15. 15Tokenアクセス権はロールによって決定されるSP(認可)業務 ロール管理簿トークンを解析• 本人識別• ロール決定IdP(認証)ユーザー情報属性ストア• ロールを決定するための「クレーム」は SP が提示する• アプリケーションには「ロール」決定のためのロジックを実装Claimsmailnamecompanytitle署名値値値値提示
  • 16. アイデンティティフェデレーションのメリット• ドメイン(Firewall)を超えたリソースの利用• 以下の2要素が一致しており、相互に信頼関係が成立していれば連携が可能• プロトコル(SAML 2.0、WS-Federation、WS-Trust)& プロファイル• トークン(アサーション)のフォーマット(SAML 1.1、SAML 2.0)• IdP の違い(認証方式の違い)がアプリケーションに影響しないA 社 IdPB 社 IdPC 社 IdPロール管理簿Security Token Service(STS)SP 側は STS に IdP を登録。STSが IdP の違いを吸収する。必要なクレームは SP 側が IdP に提示する。CRM
  • 17. トークンのやり取りActive Directory ドメイン業務サービスクラウド上の業務サービスクラウド上の業務サービスDomain-Based Identity Management モデルの延長でしかない
  • 18. IdM as a ServiceNetworkData ServicesDevicesIdMDigital IdentityCoreIO
  • 19. 193rd Party ServicesApps in AzureWindows Azure Active DirectoryAccess ControlDirectoryGraph APIAuth. LibraryWindows ServerActive DirectoryorShibbolethorPingFederateWindows AzureActive DirectorySync連携IdM as a Service• マルチテナント• 認証 HUB(トークンゲートウェイ)• ID ストア• REST APILIVEExternal IdP
  • 20. 20WAAD ー Directory Service• ユーザー情報の格納庫• ユーザー認証• トークン発行Directory ServiceID StoreFederationGateway(STS)Graph(REST API)アカウント情報へのアクセス• ユーザー• グループ• デバイス ApplicationWeb ServiceSAML2.0WS-Fed• Windows Server Active Directory• Shibboleth• PingFederateSAML 2.0(限定的サポート)WS-FedIdPSTSOAuth 2.0
  • 21. 21マルチテナント対応アプリケーションの実現http://msdn.microsoft.com/en-us/library/windowsazure/dn151789.aspx
  • 22. 22• Windows Azure Active Directory の追加認証要素として実装• サービスプロバイダーから透過的• 携帯電話(スマートフォン)を使用することで認証チャネルを分離• 現時点では WAAD で認証を行うユーザーにのみ適用可能• ブラウザ利用のみ SPWAAD ー Directory Service 2要素認証(プレビュー)Directory ServiceApplicationWeb ServicePhoneFactorIE ID/PasswordTokenAccessToken#
  • 23. 23WAAD - Access Control Service• 外部 IdP から SP に対するトークンゲートウェイ• オンプレミス Active Directory との ID フェデレーションApplicationDirectoryServiceWAADAccess Control ServiceWS-FedOpenID Oauh 2.0IdPSTSSTSWS-Fedトークン変換OAuthWrapApplicationSPIdPWS-Fed をサポートしている IdP
  • 24. 24
  • 25. 25Graph API• API 認可(OAuth 2.0)による情報保護• RESTful Graph API を使用した Directory へのアクセス• JSON/XML で応答を受信• API エコノミーを支えるアセットGraph API EndpointLOBRequest w/ JWTWindows AzureActive DirectoryOAuth 2.0 EndpointToken RequestResponseJWTCheck対称キーや証明書を共有
  • 26. 26Top-Level Resources Query Results URI (for contoso.com)Top-level resourcesReturns URI list of the top-levelresources for directoryservices (also listed below)https://graph.windows.net/contoso.com/Company information Returns company informationhttps://graph.windows.net/contoso.com/TenantDetailsContacts Returns contact informationhttps://graph.windows.net/contoso.com/ContactsUsers Returns user information https://graph.windows.net/contoso.com/UsersGroups Returns group data https://graph.windows.net/contoso.com/GroupsRolesReturns all roles that haveusers or groups assigned tothemhttps://graph.windows.net/contoso.com/Roles
  • 27. 27まとめIdMaaS は• 企業ドメインの枠を超えて、あらゆる Digital Identity と あらゆる Service を結び付け、パブリッククラウド上の様々なサービス(API)とともに “API エコノミー” を構成します• 将来、企業のソーシャルグラフとなり、Enterprise SocialNetwork を実現します
  • 28. 28まとめ業務システムEmployeesCustomersPartners IdMaaSEnterprise Social NetworkIdMaaS は企業組織のソーシャルグラフである顧客サービスIdMDigital Identity