Your SlideShare is downloading. ×
Microsoft の ID 連携技術
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Microsoft の ID 連携技術

3,624

Published on

コードネーム ”Geneva" テクノロジーにより、ID のさまざまな連携が可能になります。この資料ではその全体像をまとめています。

コードネーム ”Geneva" テクノロジーにより、ID のさまざまな連携が可能になります。この資料ではその全体像をまとめています。

0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
3,624
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
3
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. マ゗クロソフト株式会社 デベロッパー&プラットフォーム統括本部 田辺 茂也 http://blogs.technet.com/stanabe
  • 2. 「クレーム」ベースの ID モデルと “Geneva” “Geneva” のシナリオ “Geneva” での変更点 開発のポ゗ント 既存の ID システムとの連携
  • 3. 企業向け Active Directory Active フェデレーション Identity Lifecycle Directory サービス Manager ID統合 ID連携 (“Geneva”) ID同期 " Windows Windows Live ID CardSpace 個人向け
  • 4. ゕプリケーションは、それぞれの場面で 異なる ID 技術を使う必要がある Windows ドメ゗ン下では Active Directory (Kerberos) ゗ンターネットでは、ユーザ名とパスワード 組織間連携では、WS-Federation や SAML (Security Assertion Markup Language) すべての場面で共通に使える手法はないのか クレームベースの ID により可能に 開発者、IT Pro 双方にメリット
  • 5. 「クレーム」とは、ユーザーについての 詳細情報 ゕプリケーション内で承認のために利用可能 クレームの種類 ゕ゗デンテゖテゖ ゕ゗デンテゖテゖ 電子メールゕドレス user@exmaple.com ユーザー プリンシパル名 (UPN) 共通名 (Common Name) カスタム グループ カスタム グループ 発注限度額: 100万円 Purchaser Administrator 役職: Platinum Purchasing Agent
  • 6. クレームは… 承認に利用可能な、詳細なデータを公開することがで きる Active Directory, ADAM から公開可能、簡単な ユーザー゗ンタフェ゗スで管理できる 変換モジュール経由で公開できる さまざまな経由地点で、適切に修正できる 集中的に監査できる WS-Federation Passive Requestor Profile に 準拠するパートナーとの間で、相互運用できる 認証と認可を分離できる 認可のみを実装
  • 7. トークンは、ID 情報を記述したもの いくつかのクレームで構成 それぞれのクレームは、 トークン内の要素の情報を含む トークン クレームの例 クレーム 1 名前 クレーム2 トークンの グループ クレーム3 生成元を示し、 年齢 改ざんを防ぐ ... クレームn デジタル署名
  • 8. ID プロバ゗ダー ゕプリケーション (IdP, STS) 連携 (RP) 1. クレームを 要求 2. トークン 3. トークン (クレーム) 取得 (クレーム) 送信 ユーザー ゕプリケーション: ユーザーを特定するためにクレームを利用 ID プロバ゗ダー: クレームを含むトークンを発行 連携: 信頼関係のもと、クレームが渡される
  • 9. ID プロバイダー 5) トークン内のクレームを利用 “Geneva” Server アプリケーション STS STS STS “Geneva” Framework 1) ゕプリケーションに ゕクセスし、トークンの トークン 条件を取得 4) トークンを 送信 3) 選択した トークン ID のトークンを ブラウザー 取得 クライアント CardSpace “Geneva” 2) 条件を満たす ID を選択 ユーザー
  • 10. 3つの ID テクノロジー “Geneva” Server Active Directory フェデレーション サービス (AD FS) の 次期バージョン STS Windows CardSpace “Geneva” Windows CardSpace の次期バージョン “Geneva” Framework “Geneva” の目標は、クレームベースの ID モデルを実用的にすること
  • 11. ID プロバ゗ダーは、 クレームを作成するオーソリテゖ 一般的な ID プロバ゗ダーの例 社内では、会社 (人事、IT 部門など) ゗ンターネットでは、自分自身の場合が多い ID プロバ゗ダーは、 STS: セキュリテゖ トークン サービスを運用 トークンを発行するサーバー トークンの発行リクエストは WS-Trust 経由で受付 さまざまなフォーマットが利用可能 SAML フォーマットがよく使われている
  • 12. 企業 Microsoft Services Identity Backbone 企業のネットワーク境 界は、消滅しつつある 社内 ゕプリケーション どうすれば、社内ゕプ Active Directory リケーションを社員以 外に提供し、利用を拡 大できるか ? パートナー Active Directory
  • 13. エンタープラ゗ズIdentity Backbone Microsoft Services ID バックボーン “Geneva” Framework クレーム対応ゕプリケー 社内 ションを作成するための ゕプリ .NET ベースのフレームワー “Geneva” ク Active Framework Directory “Geneva” “Geneva” Server Server Active Directory と 統合された STS Windows CardSpace に クレーム 対応 “Geneva” Windows CardSpace Server “Geneva” ユーザーのコントロール下 にある ID セレクター より小さく、速く Active Directory
  • 14. エンタープラ゗ズ ID バックボーン Microsoft Services Identity Backbone WS-Federation, WS-Trust, 社内 SAML 2.0 プロトコル ゕプリ のサポート “Geneva” Active Framework Directory 上記プロトコル対応のフェ “Geneva” デレーションソフトウェ Server ゕ・サービスと相互運用可 能 “Geneva” Third Party Server STS User Active Database Directory
  • 15. Microsoft Services ID バックボーン Microsoft Services Identity Backbone Microsoft Federation Gateway は、 クラウド マ゗クロソフトの ID バック ゕプリ ボーンの重要なサービス ・ Microsoft サービス Federation Azure クラウドゕプリケー Gateway ションや開発者サービスへ の橋渡しを行う 一つのフェデレーションで、 さまざまなサービスにゕク セス可能 “Geneva” Third Party Server STS WS-Federation, WS-Trust 準拠 User Active Database Directory
  • 16. Microsoft Services ID バックボーン Microsoft Services Identity Backbone Windows Live ID の クラウド ゕカウントでも Windows ゕプリ Federation Gateway 経 Live ID ・ 由で、クラウドゕプリ Microsoft サービス にゕクセス可能 Federation カスタム コンシューマー Gateway ドメ゗ン Windows Live ゕドミン センターにより ID 管 理のゕウトソースも可 能 “Geneva” Third Party 自動管理用の API Server STS カスタマ゗ズ可能な UX User Active Database Directory
  • 17. Microsoft Services ID バックボーン Microsoft Services Identity Backbone Active Directory と クラウド Microsoft Federation Windows ゕプリ Gateway とのフェデ Live ID ・ レーション Microsoft サービス Federation コンシューマー カスタム ドメ゗ン Gateway 無償ダウンロード、 簡単なセットゕップ 1:1 の信頼ではなく、 M.O.S ゲートウェ゗との Third Party Fed Util “Geneva” STS 信頼 Server + “G” Svr Windows CardSpace を Active Active User Database サポート Directory Directory
  • 18. Microsoft Services ID バックボーン Microsoft Services Identity Backbone クレームベースの ゕプリ ゕクセスにより、 Windows ケーション さまざまな ID を Live ID “Geneva” サポートする Microsoft Framework ゕプリケーションを コンシューマー カスタム Federation Gateway 作成可能 ドメ゗ン Microsoft “Geneva” Third Party Services Server STS Connector User Active Active Database Directory Directory
  • 19. Microsoft Services ID バックボーン Microsoft Services Identity Backbone クレーム対応の ゕプリケーションは Windows 一度作成すれば Live ID どこにでも Microsoft ホスト可能 Federation カスタム コンシューマー Gateway ドメ゗ン ID プロバ゗ダーは 設定による選択で、 ゕプリケーションの ロジックには Microsoft 埋め込まれていない Services ゕプリ Connector ケーション Active “Geneva” クラウドへの移行、 Directory Framework オンプレミスへの Active Directory 移行も容易
  • 20. Microsoft Services ID バックボーン Microsoft Services Identity Backbone クレームの用途は ログ゗ンだけではない Windows Microsoft Live ID Access Microsoft Access Control: Microsoft Control STS がゕクセスコントロー Federation ルのための コンシューマー カスタム Gateway トークンを発行 ドメ゗ン ゕクセスコントロールのロ ジックを ルールセットに分解 M.O.S. “Geneva” ルールセットの管理 Fed Util Server ゕプリ ポータルや API を提供 + “G” Svr ケーション “Geneva” Framework Active Active Directory Directory
  • 21. Microsoft Services ID バックボーン さまざまなサービス、 Microsoft Services Identity Backbone Microsoft Federation Gateway ID プロバ゗ダーから、 目的に適合するものを ゕプリ 選択 Microsoft ケーション HealthVault Access Third Party Framework (OpenID) Control シンプルな管理の ためにゲートウェ゗を 活用 Third Party “Geneva” STS Server ゕプリ ケーション User “Geneva” OpenID Framework Database プロバ゗ダ Active Directory
  • 22. Microsoft Services ID バックボーン Microsoft Services Identity Backbone ラ゗トウェ゗トな SSO も利用可能 Windows Live ID Live Framework: Microsoft WebAuth コンシューマー カスタム Federation OpenID ドメ゗ン Gateway Any STS Web ゕプリ Web ゕプリ OpenID 対応 “Geneva” Live Web ゕプリ Active Framework Framework Directory
  • 23. ID プロバ゗ダー ゕプリケーション (クラウドまたはオンプレミス) Services Microsoft Microsoft Third Live クレームを Federation Access Party 要求 ID “Geneva” Framework Gateway Control Services Microsoft Live Framework クレームを Software “Geneva” Server Services Third 送信 Connector Party Third Party Servers Frameworks Active Directory クレームを送信 信頼 クレーム取得 必要なクレーム ID セレクター(必要に応じて) Windows CardSpace サードパーテゖの “Geneva” ID セレクター
  • 24. 現行の Active Directory Federation Service は パッシブクラ゗ゕント (ブラウザー) のみサポート STS は未提供 WS-Federation のみサポート “Geneva” Server では ゕクテゖブ・パッシブクラ゗ゕントを サポート STS を提供 WS-Federation と SAML 2.0 プロトコルを サポート 信頼関係の管理性を向上 一部の設定を自動化
  • 25. Windows CardSpace “Geneva” は ID 選択の標準的な UI を提供 カードのメタフゔー カードを選ぶことで ID (トークン) を選択
  • 26. カードの実体は、゗ンフォメーションカード ID プロバ゗ダーとの関連を示す XML フゔ゗ル 特定の ID のトークン発行を要求するために 必要な情報が含まれる ゗ンフォメーションカードに含まれない情報 クレーム情報 STS の認証のための情報
  • 27. Information Card Foundation を設立 マルチベンダーの業界団体 ボードメンバーに Google, Microsoft, Novell, Oracle, and PayPal Web サ゗トでは、標準ゕ゗コンにより ゗ンフォメーションカードでのログ゗ンを 示す
  • 28. Windows CardSpace “Geneva” は .NET Framework とは別に単独提供 小さい゗ンストーラー、速い゗ンストール Windows CardSpace “Geneva” では 利用に応じた最適化が可能 前回ログ゗ンに利用したカードを 提示できる 専用のデスクトップは使用しない
  • 29. クレーム対応ゕプリケーションを 簡単に作成するためのフレームワーク 正式名称: Windows Identity Framework “Geneva” Framework でできること トークンの署名の確認とクレームの抽出 クレームを扱うクラス 独自 STS の作成 …
  • 30. 必要なクレームを決める 識別子、属性など クレームを扱うプログラムの作成 “Geneva” Framework の活用 クレームの取得元を選択 ソフトウェゕ: “Geneva” Server, サードパーテゖ サービス: Microsoft Federation Gateway, Windows Live ID, Microsoft Access Control, サードパーテゖ 独自に STS を作成 ユーザーが利用可能な STS がない場合 Geneva claims provider の利用
  • 31. Active Directory “Geneva” 5) ゕプリ X、ゕプリ Y、 Domain Services Server ユーザーに対する ポリシーを確認 STS X用 X用 Y用 トークン トークン トークン 1) ゕプリ X 用 4) ゕプリ Y 用 6) ポリシーに従って 8) トークン内の トークン取得 トークン要求 ゕプリ Y 用トークンを発行 クレーム利用 7) トークン送信 ブラウザー Y用 クライアント アプリ X トークン アプリ Y X用 トークン “Geneva” 3) ゕプリケーション “Geneva” にゕクセスし、 2) トークン送信 Framework トークンの要件取得 Framework ユーザー
  • 32. クラウド エンター プラ゗ズ ISV ゕプリ Windows Microsoft ゕプリ Live Online Microsoft Live Live Microsoft Dynamics Azure Services Platform Mesh Identity Federation CRM Online Service Gateway “Geneva” エンタープライズ Server ブラウザー オンプレミス Active Office Directory Employee ゕプリ Exchange ISV ゕプリ SharePoint
  • 33. ユーザーがリンクをクリック Federation Gateway は - “Geneva” Server で認証 トークンを確認し “Geneva” Server は クレームを変換 Active Directory で認証 Federation Gateway は “Geneva” Server は サービストークンを発行し ログ゗ントークンを発行し Federation Gateway にリダ゗レクト サービスにリダ゗レクト ユーザーがサービスにゕクセス ブラウザー Office デスクトップ ゕプリ Microsoft クラウド エンター “Geneva” Federation プラ゗ズ Server ゕプリ Gateway Active サービス Directory
  • 34. Active Directory / “Geneva” Server と Federation Gateway、 クラウドゕプリ・サービスを接続するウゖザードツール 一度のフェデレーション設定で、 自動プロビジョニング 特定の CA 発行の SSL 証明書によりドメ゗ンの所有者を証明 ドメ゗ン、サ゗ン゗ンのエンドポ゗ント署名鍵を登録 継続的なフェデレーションの管理タスクは自動化 M.O.S. Microsoft クラウド エンター Fed Util Federation プラ゗ズ ゕプリ + “G” Svr Gateway サービス Active Directory
  • 35. フェデレーションのメリット ゕプリ・サービスを、複数の組織に提供可能 ID をコピーしないため シンプルな管理 セキュゕ ユーザーはシングルサ゗ンオン Federation Gateway / “Geneva” Server のメリット 既存の ID ゗ンフラに変更を加えずに クラウドサービスを活用・移行できる Point-to-Point ではなく、Hub & Spoke のため 設定と管理がシンプル セキュリテゖレベルの維持 クラウド用のゕカウント、パスワード不要
  • 36. クラウドでは、クレームベースの ID モデルの活用を! “Geneva” は、クレームと ID のフェデレーションをサポートする、 各種技術を提供します 既存の ID システムを最大限に活用し、 便利なシステムとシンプルな管理を 両立させましょう!
  • 37. “Geneva Server” ID 連携のためのサービス (サーバーソフトウェゕ) 正式名称: Active Directory Federation Services ダウンロードセンターより製品候補版提供中 Active Directory Federation Services 2.0 Release Candidate http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=118c3588-9070-426a-b655-6cec0a92c10b 現時点で Windows Server 2008, 2008R2 対応 “Geneva Framework” クレームベースのゕプリケーション開発用フレームワーク 正式名称: Windows Identity Foundation 開発完了、ダウンロードセンターより提供中 Windows Identity Foundation http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=eb9c345f-e830-40b8-a5fe-ae7a864c4d76 Windows Server 2003 SP2 用: http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=be4db6a0-b76d-446d-810c-ea3c25b3969a Windows Identity Foundation SDK http://www.microsoft.com/downloads/details.aspx?familyid=C148B2DF-C7AF-46BB-9162-2C9422208504&displaylang=en Windows 7, Vista SP2, Windows Server 2003 SP2, 2008 SP2, 2008R2 対応 Windows CardSpace “Geneva” カードを選ぶ形式でクレデンシャルを送信 ユーザーセントリックな ID 管理 正式名称: Windows CardSpace 2.0 ダウンロードセンターより Beta 2 提供中 Windows CardSpace 2.0 Beta 2 http://www.microsoft.com/downloads/details.aspx?familyid=8F9389B2-ECE0-4485-98AD-B093F18838FE&displaylang=en Windows 7, Vista SP2, Windows Server 2008 SP2, 2008 R2
  • 38. “Geneva” (Forefront: Identity Access Management) http://www.microsoft.com/geneva Microsoft Federation Gateway http://msdn.microsoft.com/en-us/library/ cc287610.aspx “Geneva” Team Blog http://blogs.msdn.com/card/ ホワ゗トペーパー・デモキットなど https://connect.microsoft.com/site642
  • 39. Windows CardSpace を利用するもの Internet Explorer 6/7/8 Firefox Identity Selector http://www.codeplex.com/IdentitySelector カードの一元管理が可能、Windows のみ対応
  • 40. 独自のセレクターを利用するもの Higgins http://www.eclipse.org/higgins/ Firefox, GTK, Cocoa, Eclipse RCP Digital Me (Bandit Project) http://www.bandit-project.org/index.php/DigitalMe Firefox, SuSE Linux, Mac OSX OpenInfoCard http://code.google.com/p/openinfocard/ FireFox の組み込みセレクター Xmldap.org のプロジェクト Infocard Selector For Safari http://www.hccp.org/safari-plug-in.html Mac OSX Azigo http://www.azigo.com AIR ベースのセレクター カードはクラウドに保存
  • 41. HTML, ASP.NET 2.0: http://self-issued.info/?p=18 “Geneva” Framework (旧称 “Zermatt”) クレームを扱う共通フレームワーク https://connect.microsoft.com/site/sitehome.aspx?SiteID=642 PHP (Zend): http://www.codeplex.com/informationcardphp Java: http://www.codeplex.com/informationcardjava Ruby: http://www.codeplex.com/informationcardruby C: http://www.codeplex.com/InformationCard Python: http://code.google.com/p/py-self-issued-rp/ Higgins Project Bandit Project ……
  • 42. © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

×