クラウドにおける Windows Azure Active Directory の役割
Upcoming SlideShare
Loading in...5
×
 

クラウドにおける Windows Azure Active Directory の役割

on

  • 1,727 views

 

Statistics

Views

Total Views
1,727
Views on SlideShare
1,727
Embed Views
0

Actions

Likes
7
Downloads
60
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

クラウドにおける Windows Azure Active Directory の役割 クラウドにおける Windows Azure Active Directory の役割 Presentation Transcript

  • クラウドサービスとしてのデジタル・アイディンティティ ~ Windows Azure Active Directory の役割 ~ 日本マイクロソフト株式会社 エバンジェリスト 安納 順一 http://blogs.technet.com/junichia/ Facebook :Junichi Anno
  • Agenda & Takeawayパブリック クラウド上の Identity Provider(IdP)の役割とは?• IdP の乱立時代は続くのか?• IdP の乱立時代を回避する方法は用意されているのか?• パブリック クラウドは Digital Identity の利用に何をもたらすのか?Windows Azure Active Directory とは?• マイクロソフト テクノロジーにおける位置づけ• 既存テクノロジーとの連携
  • サービス あるところ IdP あり サービス(Service Provider: SP)には、認証と認可がつきもの Windows MicrosoftFacebook google Salesforce 業務 業務 Live Office 365 業務 業務 業務 業務 業務 業務 業務 業務 業務
  • パブリッククラウドにもIdentity Provider の乱立時代が !?
  • オンプレミスでは”乱立”をどう回避したのか? 回避は........できませんでした... そのかわり...こんな方法で対応してきました 統合認証 同期 認証サーバー Metadata 業務 業務 業務 業務 業務
  • クレーム ベース(認証と認可の分離) 最近ではこんな方法も浸透しつつありますIdP :ユーザー認証、デバイス認証を行いトークン(アサーション)を発行SP :トークンから本人を識別し、ロールを決定してアクセスを認可するクレーム ベースの認証と認可 IdP(認証) 信頼 クレーム SP(認可) トークン トークン ユーザー 業務 ロール 情報 管理簿 トークンを解析 • 本人識別 利用者 • ロール決定
  • クレームベースのメリット • 以下の2要素が一致していれば、相互連携が可能 • プロトコル • トークン(アサーション)のフォーマット • IdP の違い(認証方式の違い)がアプリケーションに影響しない D 社 IdP C 社 IdP B 社 IdPA 社 IdP 業務 ロール 管理簿
  • パブリック クラウド上の IdP はどうなっているのか?• 孤立した IdP は少ない(ように思える)• 共通の「認可」プロトコルによる ID Federation が可能(な場合が多い) • SAML 2.0 • WS-Federation • OpenID Connect• “IdP の乱立”が問題になりずらくなりつつある 認証 HUB 的な役割 SAML 2.0 World Identity Federation サービス トークン トークンB社 IdP A 社 SaaS
  • SaaS としての認証 HUB• IdP と SP を相互に連携させるための HUB• マルチテナントに対応• 複数の認可プロトコルへの対応• 外部 IdP とのフェデレーション機能• サービスに対して「統一フォーマットのトークン」を生成 • アプリケーションは IdP を意識する必要がない サービス 認証HUB サービス
  • マイクロソフトの IdP プラットフォーム全体像 Consumer Enterprise Microsoft Account Windows Azure (Windows Live ID) Active Directory Windows Server Sync Active Directory 他社 IdP Windows 8 Microsoft Microsoft Metadata 全製品 Sync 全 OS Sync HR
  • (脱線)Active Directory の三形態 Windows Server Windows Server Active Directory Windows Azure Active Directory on Active Directory (On-premise) Windows Azure VM (SaaS) (IaaS)
  • Windows Azure Active Directory クラウドサービスに最適化された Identity Provider • 認証HUB • IDストア External IdP LIVE 連携 Access Control Sync Directory 3rd Party Services Windows Server Graph API Windows Azure Active Directory Auth. Library Active Directory or Shibboleth Apps in Azure or PingFederate
  • Directory• マルチテナントに対応したディレクトリサービス• マイクロソフトの SaaS、Azure 上のアプリケーション、非マイクロソフトのク ラウドサービスからも利用可能• オンプレミスの Active Directory 等との同期、ID フェデレーションが可能• ユーザー/デバイス管理のハブ機能を提供 - 登録/削除/管理• Office 365 との連携で二要素認証をサポート
  • 二要素認証 Office Office 365 365 Azure AD Azure AD ① ① ID / Password ID / Password
  • Access Control • 外部 IdP との ID フェデレーション • OAuth 2.0 • OpenID(※ OpenID Connect にも対応予定、時期未定) • SAML 2.0(予定) • WS-Federation • オンプレミス Active Directory との ID フェデレーションUser :どの IdP でログオンしてもアプリケーションが使えるDeveloper :Access Control 用のコードを1種類書けば自動的にすべての IdP に対応 LOB Access Control ADFS 2.0 WS AD WAAD
  • コンシューマー向け IdP と企業向け IdP の違い (1)• “本人”であることの担保 厳格ではない(厳格にできない)  個人の特定、厳格な「認証」が命  ユーザー情報の最新性 HR 一意性を担保 Metadata 最新性を担保 SNS SNS SNS 業務 業務 業務
  • コンシューマー向け IdP と企業向け IdP の違い (2)• 個人情報の利用ポリシー 利用者自身が決定  社内セキュリティポリシー API 認可  「業務システム」が何を使用するかを決める 認証 認証 API 認可 特 権 利用 信頼関係 利用ユーザー ユーザー サービス サービス
  • Graph API• RESTful Graph API を使用した Directory へのアクセス • JSON/XML で応答を受信 • Odata V3 にも対応 • API認可は OAuth 2.0 を使用 Token Request OAuth 2.0 Endpoint JWT Check Request w/ JWT Graph API Endpoint Response LOB Windows Azure Active Directory
  • オンプレミス Active Directory との連携 • Digital Identity 情報の自動同期 • Digital Identity のフェデレーションにより、オンプレミスとクラウドの SSO管理者 :自動同期によりオンプレミス AD のみの管理でOKユーザー :ID フェデレーションにより、オンプレミスとの SSO が可能 Windows Azure SSO World Active Directory その他 Web Portal 業務 Windows Intune Federation • Graph API • Windows PowerShell 同 期 • DirSync Tool • Forefront Identity Manager Windows Server Active Directory
  • まとめ• アイデンティティ フェデレーション を理解しましょう – IdP の役割を SP から分離• パブリック クラウドの IdP をうまく使うには – アプリをクレームベースに対応 – アプリとの互換性(プロトコル、トークンフォーマット)を確認 – 運用をイメージする • 自動化できる手法が用意されているか • オンプレミスとの連携が可能か • 常に ID 情報を最新の状態に保てるか