Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

ハイブリッド時代のID基盤構成の基礎

17,596 views

Published on

Japan SharePoint Group #20@Tokyoでの資料。
ID基盤をオンプレ、ハイブリッド、クラウドそれぞれのパターンでどのように構成するのか、どのように選択するのか、を解説しています。

Published in: Technology
  • Be the first to comment

ハイブリッド時代のID基盤構成の基礎

  1. 1. ハイブリッド時代の ID基盤構成の基礎 MVP for Directory Services Naohiro Fujie / @phr_eidentity / http://idmlab.eidentity.jp 1
  2. 2. 自己紹介 2  Blog  IdM実験室(Identityに関することを徒然と):http://idmlab.eidentity.p  Social  Facebook Page : eIdentity(Identityに関するFeed):https://www.facebook.com/eidentity  記事  Windowsで構築する、クラウド・サービスと社内システムのSSO環境 (http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html)  クラウド・サービス連携の基本と最新トレンド (http://www.atmarkit.co.jp/fwin2k/operation/idftrend01/idftrend01_01.html)  開発者にとってのWindows Azure Active Directoryの役割と今後の展開 (http://www.buildinsider.net/enterprise/interviewvittorio/01)  企業のID管理/シングルサインオンの新しい選択肢「IDaaS」の活用 (http://www.atmarkit.co.jp/ait/articles/1508/07/news034.html)  その他  日本ネットワークセキュリティ協会(JNSA)アイデンティティ管理WG(書籍:「クラウド環境におけるアイデンティティ管理ガイドライン」 etc)  OpenID Foundation Japan 教育・翻訳WG(OAuth/OpenID Connect仕様翻訳)、エンタープライズ・アイデンティティWG
  3. 3. Agenda  はじめに~認証/ID管理の構成要素  各構成要素の関係性・役割  オンプレ?ハイブリッド?クラウド?  IDをクラウドに配置?  各構成パターンの特徴と比較  簡単構成決定チャート  まとめ 3
  4. 4. はじめに~認証/ID管理の構成要素 4 管理者 源泉情報(人事DB等) ID管理システム 統合認証システム アプリケーション (クラウド/オンプレ) - IDライフサイクル管理機能 (人事業務/イベントに合わせた アカウント管理) - ID同期機能 (認証用IDの同期) SSO 利用者 IDメンテナンス - PWDリセット - ID作成/更新/削除 IDメンテナンス - PWDリセット、 - プロファイルメンテナンス 認証/ID管理に関連する機能 認証機能(統合認証システム) • ID/PWDなどでログオン制御を行う • アプリケーションの認証機能を外出し、共同で利用することでシングルサインオ ンを実現する • 一般に、認証に使うID情報(社員番号やパスワード)はID管理システムを使っ て管理される 認可機能(アプリケーション) • ログオン後、ユーザの権限(メニューを出す・出さない等)制御を行う • 一般に制御自体はアプリケーション側で行い、認可に必要な情報(役職や所属組 織)はID管理システムを使って管理される ID同期機能(ID管理システム) • ID管理システムから認証システムへ、認証に使うID情報(社員番号やパスワー ド)を同期する • ID管理システムからアプリケーションへ、認可に使うID情報(役職や所属組 織)を同期する - ID同期機能 (認可用IDの同期) IDライフサイクル管理機能(ID管理システム) • ID情報を源泉(人事等)から取り込み、人事イベントに応じて認証システムや 各アプリケーションへ必要なID情報を同期する • 管理者や利用者自身でIDのメンテナンスを行う(パスワード・リセット、プロ ファイルメンテナンス等) ID(アイデンティティ)基盤
  5. 5. 各構成要素の関係性・役割 5 信頼 信頼 信頼 認証用属性 の提供 共通属性 の提供 認証結果の提供 ID管理 システム 統合認証 システム Applications ID管理システムの役割 - 他のシステムへ信頼性の高いID情報を提供する 手段の例)人事システムから情報取り込み 統合認証システムの役割 - ユーザの正当性を検証する 手段の例)パスワード、SMSでの通知 アプリケーションの役割 - 適切な権限を認可する 手段の例)組織や役職属性によって表示す る業務メニューを制御する アプリケーション ※複数のアプリケーションが同一 の認証システムを信頼することに よりシングルサインオンが可能と なる アプリ管理者 アプリ 専用属性
  6. 6. オンプレ?ハイブリッド?クラウド? # パターン アプリ ID基盤 構成例 1 オンプレミス① オンプレ オンプレ オンプレSharePointをオンプレAD DSで認証 2 オンプレミス② オンプレ オンプレ オンプレSharePointをオンプレAD FS(Proxy)/AD DSで認証 3 ハイブリッド① クラウド オンプレ Office365をオンプレAD FS/AD DSで認証 4 ハイブリッド② オンプレ クラウド オンプレSharePointをAzure ADで認証 5 ハイブリッド③ オンプレ クラウド ⇒オンプレ オンプレSharePointをAzure ADと連携したAD FS/AD DSで認証 ※ハイブリッド②+オンプレ② 6 クラウド クラウド クラウド Office365をAzure ADで認証 6 構成パターンは色々・・・
  7. 7. その前に)IDをクラウドに配置? 7 利用者 アプリケーション (オンプレミス) 外出先利用者 認証基盤 アプリケーション (クラウド) 社内はID/PWDの統一 シングルサインオン VPN経由で認証 システムへアクセス リバースプロキシ 経由で認証VPNルータ リバプロ SSO 外出先/モバイルからのアクセスとの両立方法 <VPN経由でのアクセス> • 結局インターネットからVPNルータへのログインが必要 <リバースプロキシ経由で認証サーバをDMZ公開> • 結局DMZの認証サーバへID/PWDでログインが必要 ⇒結局DMZを経由してインターネットからログインする状態 DMZは本当に安全なのか? DMZ クラウド インターネットからの アクセス 可能 可能 運用管理レベル 企業ポリシーによる 専任の運用体制 PCI-DSS/ISO準拠等の 各種認定 継続性(災害対策) 企業ポリシーによる 高可用性を維持するた めには高コストが必要 グローバルで地域間レ プリケーションされて おり、高可用性を維持 DMZ vs クラウド ⇒「たんす預金 vs 銀行の貸金庫」レベルの差がある
  8. 8. 1.オンプレミス①(オンプレAPL+AD) - 統合Windows認証  デバイス(ドメイン参加PC)とAPL間SSOが可能  C/Sアプリ、Webアプリに対応 8 PCログオン⇒アプリへのアクセス時のSSO 出展:日経ITPro http://itpro.nikkeibp.co.jp/article/COLUMN/20060518/238303/ AD DS Client AS TGS APL Client AS TGS APL Logon Request Verify Access HTTP 401 Request ST with TGT Return ST Access with ST Contents Return TGT
  9. 9. 2.オンプレミス②(オンプレAPL+WAP) - ws-federation/統合Windows認証 9 https://technet.microsoft.com/ja-jp/library/dn383650.aspx ws-federation 統合Windows認証  デバイス(ドメイン参加PC)とAPL間 SSOが可能  社外アクセス、非ドメイン参加PC、スマ ホでAPL間SSOが可能(デバイスとAPL 間SSOは不可)  Webアプリにのみ対応
  10. 10. AD DS Client AS TGS ADFS Client AS TGS APL Logon Request Verify Access HTTP 401 Request ST with TGT Return TGT Access with ST Return HTML to POST SAML Token APL APL Access HTTP 302 Redirect to ADFS Auto POST SAML Token Contents Verify Return TGT 3.ハイブリッド①(クラウドAPL+ADFS) - ws-federation+統合Windows認証 10 クラウドオンプレ ws-federation 統合Windows認証  デバイス(ドメイン参加PC)とAPL間SSOが可能  社外アクセス、非ドメイン参加PC、スマホでAPL 間SSOが可能(デバイスとAPL間SSOは不可)  Webアプリにのみ対応 https://support.office.com/en-gb/article/Understanding-Office-365-identity- and-Azure-Active-Directory-06a189e7-5ec6-4af2-94bf-a22ea225a7a9
  11. 11. 4.ハイブリッド②(オンプレAPL+AAD/WAP) - ws-federation+統合Windows認証 11 https://msdn.microsoft.com/ja-jp/library/azure/dn879065.aspx オンプレクラウド OpenID Connect 統合Windows認証  社外アクセス、非ドメイン参加PC、スマ ホでAPL間SSOが可能(デバイスとAPL 間SSOは不可) ※社内ドメイン参加PCとAPL間は統合Windows認証でSSO 可能(オンプレ①もしくはハイブリッド①と同様) ※Azure AD JoinしたWindows 10端末ならアプリ限定で デバイスとAPL間SSOが可能  Webアプリにのみ対応
  12. 12. 5.ハイブリッド③ (オンプレAPL+AAD/WAP+WAP) - OpenID Connect+ws-federation+統合Windows認証 12 オンプレクラウド OpenID Connect 統合Windows認証 ws-federation AD FS /WAP AD FS  社外アクセス、非ドメイン参加PC、スマ ホでAPL間SSOが可能(デバイスとAPL 間SSOは不可) ※社内ドメイン参加PCとAPL間は統合Windows認証でSSO 可能(オンプレ①もしくはハイブリッド①と同様) ※Azure AD JoinしたWindows 10端末ならアプリ限定で デバイスとAPL間SSOが可能  Webアプリにのみ対応
  13. 13. 6.クラウド(クラウドAPL+AAD) - OpenID Connect 13  APL間SSOが可能(デバイスとAPL間SSOは不可) ※Azure AD JoinしたWindows 10端末ならアプリ限定で デバイスとAPL間SSOが可能  Webアプリにのみ対応 Authentication ID/PWD etc Return HTML to POST id_token Access HTTP 302 Redirect to AAD Auto POST id_token APLAADClient APLAADClient Contents Verify
  14. 14. 各構成パターンの特徴と比較 14 特徴 構成パターン オンプレ① オンプレ② ハイブリッド ① ハイブリッド ② ハイブリッド ③ クラウド システム構成 ○ △ ○ △ ✖ ○ 認証情報(パスワード等)の場所 オンプレ オンプレ オンプレ クラウド オンプレ クラウド 社外からのアクセス ✖ ○ ✖ ○ ○ ○ デバイス ⇒APL間SSO 社内ドメイン参加PC ○ △ (社内のみ) ○ △ (社内のみ) △ (社内のみ) ✖ 社内ドメイン非参加 PC、スマホ ✖ ✖ ✖ △ (Win10のみ) △ (Win10のみ) △ (Win10のみ) APL間SSO 社内ドメイン参加PC ○ ○ ○ ○ ○ ○ 社内ドメイン非参加 PC、スマホ ✖ ○ ○ ○ ○ ○ APL種別 C/Sアプリ ○ ✖ ✖ ✖ ✖ ✖ Webアプリ ○ ○ ○ ○ ○ ○ • APL間SSOはAPLが同一認証システムを信頼している場合のみ • C/Sアプリは旧来の統合Windows認証アプリを指す(Microsoft Passport対応のUWPやWebViewを持つアプリケーションなどではSSOが可能な場合も存在
  15. 15. 簡単構成決定チャート 15 APL種別は C/Sのみ オンプレ① Y 社内から のみ利用 パスワード 社外保管NG ハイブリッド① Y N N ハイブリッド② ハイブリッド③ オンプレ② クラウド Y Windows10 AAD Join可 N Nオンプレ APL利用 Y Y 注意) 実際はアプリの配置、デバイスの混在、 ID管理の構成、Windows10のAAD JoinやMicrosoft Passportの対応、 Windows Server 2016のリリースなど により結果は変化します。 N
  16. 16. まとめ 16
  17. 17. まとめ  アプリケーションのクラウド化が進む中で、ID基盤の配置についても様々なパターン の選択ができるが、要件および今後の拡張性を見据えた配置を考えることが大切  うまく外部のIDサービスを利用することでコスト・安全性の担保ができるので、うま く外部を使っていくことも検討 17

×