Your SlideShare is downloading. ×
0
クラウドサービスとしてのデジタル・アイディンティティ ~ Windows Azure Active Directory の役割 ~                             日本マイクロソフト株式会社               ...
Agenda & Takeawayパブリック クラウド上の Identity Provider(IdP)の役割とは?• IdP の乱立時代は続くのか?• IdP の乱立時代を回避する方法は用意されているのか?• パブリック クラウドは Digi...
サービス あるところ IdP あり サービス(Service Provider: SP)には、認証と認可がつきもの           Windows                         MicrosoftFacebook     ...
パブリッククラウドにもIdentity Provider の乱立時代が !?
オンプレミスでは”乱立”をどう回避したのか? 回避は........できませんでした... そのかわり...こんな方法で対応してきました 統合認証                     同期             認証サーバー       ...
クレーム ベース(認証と認可の分離) 最近ではこんな方法も浸透しつつありますIdP :ユーザー認証、デバイス認証を行いトークン(アサーション)を発行SP :トークンから本人を識別し、ロールを決定してアクセスを認可するクレーム ベースの認証と認可...
クレームベースのメリット • 以下の2要素が一致していれば、相互連携が可能    • プロトコル    • トークン(アサーション)のフォーマット • IdP の違い(認証方式の違い)がアプリケーションに影響しない               ...
パブリック クラウド上の IdP はどうなっているのか?• 孤立した IdP は少ない(ように思える)• 共通の「認可」プロトコルによる ID Federation が可能(な場合が多い)    • SAML 2.0    • WS-Feder...
SaaS としての認証 HUB•   IdP と SP を相互に連携させるための HUB•   マルチテナントに対応•   複数の認可プロトコルへの対応•   外部 IdP とのフェデレーション機能•   サービスに対して「統一フォーマットのト...
マイクロソフトの IdP プラットフォーム全体像                          Consumer Enterprise              Microsoft Account         Windows Azure...
(脱線)Active Directory の三形態                     Windows Server Windows Server      Active Directory   Windows Azure Active D...
Windows Azure Active Directory  クラウドサービスに最適化された Identity Provider  • 認証HUB  • IDストア                       External IdP    ...
Directory• マルチテナントに対応したディレクトリサービス• マイクロソフトの SaaS、Azure 上のアプリケーション、非マイクロソフトのク  ラウドサービスからも利用可能• オンプレミスの Active Directory 等との...
二要素認証                        Office                   Office                         365                      365   Azure ...
Access Control  • 外部 IdP との ID フェデレーション      • OAuth 2.0      • OpenID(※ OpenID Connect にも対応予定、時期未定)      • SAML 2.0(予定)  ...
コンシューマー向け IdP と企業向け IdP の違い (1)• “本人”であることの担保 厳格ではない(厳格にできない)     個人の特定、厳格な「認証」が命                      ユーザー情報の最新性      ...
コンシューマー向け IdP と企業向け IdP の違い (2)• 個人情報の利用ポリシー 利用者自身が決定          社内セキュリティポリシー API 認可            「業務システム」が何を使用するかを決める   認...
Graph API•   RESTful Graph API を使用した Directory へのアクセス    • JSON/XML で応答を受信    • Odata V3 にも対応    • API認可は OAuth 2.0 を使用   ...
オンプレミス Active Directory との連携 • Digital Identity 情報の自動同期 • Digital Identity のフェデレーションにより、オンプレミスとクラウドの SSO管理者     :自動同期によりオン...
まとめ• アイデンティティ フェデレーション を理解しましょう – IdP の役割を SP から分離• パブリック クラウドの IdP をうまく使うには – アプリをクレームベースに対応 – アプリとの互換性(プロトコル、トークンフォーマット)...
Upcoming SlideShare
Loading in...5
×

クラウドにおける Windows Azure Active Directory の役割

1,814

Published on

Published in: Technology
0 Comments
10 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,814
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
86
Comments
0
Likes
10
Embeds 0
No embeds

No notes for slide

Transcript of "クラウドにおける Windows Azure Active Directory の役割"

  1. 1. クラウドサービスとしてのデジタル・アイディンティティ ~ Windows Azure Active Directory の役割 ~ 日本マイクロソフト株式会社 エバンジェリスト 安納 順一 http://blogs.technet.com/junichia/ Facebook :Junichi Anno
  2. 2. Agenda & Takeawayパブリック クラウド上の Identity Provider(IdP)の役割とは?• IdP の乱立時代は続くのか?• IdP の乱立時代を回避する方法は用意されているのか?• パブリック クラウドは Digital Identity の利用に何をもたらすのか?Windows Azure Active Directory とは?• マイクロソフト テクノロジーにおける位置づけ• 既存テクノロジーとの連携
  3. 3. サービス あるところ IdP あり サービス(Service Provider: SP)には、認証と認可がつきもの Windows MicrosoftFacebook google Salesforce 業務 業務 Live Office 365 業務 業務 業務 業務 業務 業務 業務 業務 業務
  4. 4. パブリッククラウドにもIdentity Provider の乱立時代が !?
  5. 5. オンプレミスでは”乱立”をどう回避したのか? 回避は........できませんでした... そのかわり...こんな方法で対応してきました 統合認証 同期 認証サーバー Metadata 業務 業務 業務 業務 業務
  6. 6. クレーム ベース(認証と認可の分離) 最近ではこんな方法も浸透しつつありますIdP :ユーザー認証、デバイス認証を行いトークン(アサーション)を発行SP :トークンから本人を識別し、ロールを決定してアクセスを認可するクレーム ベースの認証と認可 IdP(認証) 信頼 クレーム SP(認可) トークン トークン ユーザー 業務 ロール 情報 管理簿 トークンを解析 • 本人識別 利用者 • ロール決定
  7. 7. クレームベースのメリット • 以下の2要素が一致していれば、相互連携が可能 • プロトコル • トークン(アサーション)のフォーマット • IdP の違い(認証方式の違い)がアプリケーションに影響しない D 社 IdP C 社 IdP B 社 IdPA 社 IdP 業務 ロール 管理簿
  8. 8. パブリック クラウド上の IdP はどうなっているのか?• 孤立した IdP は少ない(ように思える)• 共通の「認可」プロトコルによる ID Federation が可能(な場合が多い) • SAML 2.0 • WS-Federation • OpenID Connect• “IdP の乱立”が問題になりずらくなりつつある 認証 HUB 的な役割 SAML 2.0 World Identity Federation サービス トークン トークンB社 IdP A 社 SaaS
  9. 9. SaaS としての認証 HUB• IdP と SP を相互に連携させるための HUB• マルチテナントに対応• 複数の認可プロトコルへの対応• 外部 IdP とのフェデレーション機能• サービスに対して「統一フォーマットのトークン」を生成 • アプリケーションは IdP を意識する必要がない サービス 認証HUB サービス
  10. 10. マイクロソフトの IdP プラットフォーム全体像 Consumer Enterprise Microsoft Account Windows Azure (Windows Live ID) Active Directory Windows Server Sync Active Directory 他社 IdP Windows 8 Microsoft Microsoft Metadata 全製品 Sync 全 OS Sync HR
  11. 11. (脱線)Active Directory の三形態 Windows Server Windows Server Active Directory Windows Azure Active Directory on Active Directory (On-premise) Windows Azure VM (SaaS) (IaaS)
  12. 12. Windows Azure Active Directory クラウドサービスに最適化された Identity Provider • 認証HUB • IDストア External IdP LIVE 連携 Access Control Sync Directory 3rd Party Services Windows Server Graph API Windows Azure Active Directory Auth. Library Active Directory or Shibboleth Apps in Azure or PingFederate
  13. 13. Directory• マルチテナントに対応したディレクトリサービス• マイクロソフトの SaaS、Azure 上のアプリケーション、非マイクロソフトのク ラウドサービスからも利用可能• オンプレミスの Active Directory 等との同期、ID フェデレーションが可能• ユーザー/デバイス管理のハブ機能を提供 - 登録/削除/管理• Office 365 との連携で二要素認証をサポート
  14. 14. 二要素認証 Office Office 365 365 Azure AD Azure AD ① ① ID / Password ID / Password
  15. 15. Access Control • 外部 IdP との ID フェデレーション • OAuth 2.0 • OpenID(※ OpenID Connect にも対応予定、時期未定) • SAML 2.0(予定) • WS-Federation • オンプレミス Active Directory との ID フェデレーションUser :どの IdP でログオンしてもアプリケーションが使えるDeveloper :Access Control 用のコードを1種類書けば自動的にすべての IdP に対応 LOB Access Control ADFS 2.0 WS AD WAAD
  16. 16. コンシューマー向け IdP と企業向け IdP の違い (1)• “本人”であることの担保 厳格ではない(厳格にできない)  個人の特定、厳格な「認証」が命  ユーザー情報の最新性 HR 一意性を担保 Metadata 最新性を担保 SNS SNS SNS 業務 業務 業務
  17. 17. コンシューマー向け IdP と企業向け IdP の違い (2)• 個人情報の利用ポリシー 利用者自身が決定  社内セキュリティポリシー API 認可  「業務システム」が何を使用するかを決める 認証 認証 API 認可 特 権 利用 信頼関係 利用ユーザー ユーザー サービス サービス
  18. 18. Graph API• RESTful Graph API を使用した Directory へのアクセス • JSON/XML で応答を受信 • Odata V3 にも対応 • API認可は OAuth 2.0 を使用 Token Request OAuth 2.0 Endpoint JWT Check Request w/ JWT Graph API Endpoint Response LOB Windows Azure Active Directory
  19. 19. オンプレミス Active Directory との連携 • Digital Identity 情報の自動同期 • Digital Identity のフェデレーションにより、オンプレミスとクラウドの SSO管理者 :自動同期によりオンプレミス AD のみの管理でOKユーザー :ID フェデレーションにより、オンプレミスとの SSO が可能 Windows Azure SSO World Active Directory その他 Web Portal 業務 Windows Intune Federation • Graph API • Windows PowerShell 同 期 • DirSync Tool • Forefront Identity Manager Windows Server Active Directory
  20. 20. まとめ• アイデンティティ フェデレーション を理解しましょう – IdP の役割を SP から分離• パブリック クラウドの IdP をうまく使うには – アプリをクレームベースに対応 – アプリとの互換性(プロトコル、トークンフォーマット)を確認 – 運用をイメージする • 自動化できる手法が用意されているか • オンプレミスとの連携が可能か • 常に ID 情報を最新の状態に保てるか
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×