Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Microsoft Identity Technology / Kantara Initiative Seminar 2011

2,378 views

Published on

Published in: Technology, Business
  • Be the first to comment

Microsoft Identity Technology / Kantara Initiative Seminar 2011

  1. 1. 2011.06.03<br />NaohiroFujie<br />Microsoft MVP for Identity Lifecycle Manager<br />twitter : @phr_eidentity<br />Blog IdM実験室 : http://idmlab.eidentity.jp<br />マイクロソフト の アイデンティティ 関連技術概要<br />1<br />
  2. 2.  これまで学術的なイメージが強く、エンタープライズ分野では登場の機会が少なかったアイデンティティ・フェデレーションやプライバシへの取組みに関連する 技術がクラウドの台頭を一つのきっかけとして身近なものとなってきています。<br /> マイクロソフトも既にエンタープライズに広く浸透しているActive Directoryを中心としてそれらの技術を展開してきており、本資料ではその概要を知っていただくことを目的としています。<br />はじめに<br />2<br />
  3. 3. 根底に流れるもの<br />Vision, Principle / The Laws of Identity<br />Architecture / Identity Metasystem<br />Solutions, Products<br />ユースケース<br />社内ユーザが社外サービスを利用する<br />コンシューマ向けサービスを広く利用してもらう<br />高信頼性への取り組み<br />Contents<br />3<br />
  4. 4. 根底に流れるもの<br />4<br />
  5. 5. Vision, Principle / The Laws of Identity<br />http://www.identityblog.com/wp-content/images/2009/06/7_Laws.htm<br />5<br />
  6. 6. Vision, Principle / The Laws of Identity<br />6<br />
  7. 7. 相互運用を行うためのアーキテクチャ<br />Architecture / Identity Metasystem<br />http://www.identityblog.com/stories/2005/07/05/IdentityMetasystem.htm<br />7<br />
  8. 8. Security Token Service ( STS )<br />セキュリティ・トークン を処理(発行/変換)<br />On-Premise<br />AD FS 2.0 ( Active Directory Federation Service 2.0 )<br />Online / Cloud<br />ACS v2 (Windows Azure Platform AppFabric Access Control Service v2 )<br />MFG (Microsoft Federation <br /> Gateway )<br />Identity Provider / Claim Provider<br />8<br />
  9. 9. SAML 2.0 / ws-federation等のFederation Protocol対応<br />AuthN Authorityとして Active Directory を利用<br />Attribute Authority として Active Directory / SQL Server / LDAP を利用可能<br />AD FS 2.0<br />9<br />AD DS<br />AuthN<br />Token要求<br />認証<br />オーソリティ<br />システム<br />エンティティ<br />Claim取得<br />AD DS<br />SQL<br />LDAP<br />ユーザ<br />Webサーバ等<br />STS<br />AD FS 2.0<br />Security<br />Token<br />属性<br />オーソリティ<br />
  10. 10. ws-federation/ OAuth 2.0 / OpenID等のFederation Protocol対応<br />各種 Identity Provider から発行されたトークンを変換<br />ACS v2<br />10<br />Token要求<br />Token要求<br />システム<br />エンティティ<br />各種オンライン IdP<br />ユーザ<br />Webサーバ等<br />STS<br />ACS v2<br />オンプレミス IdP<br />( AD FS 2.0 )<br />Security<br />Token<br />Security<br />Token<br />カスタム IdP<br />( OpenID )<br />
  11. 11. Microsoft Online Service 用の Federation Gateway<br />On-Premise の AD FS 2.0 との Federation 用<br />MFG<br />11<br />Microsoft Identity Platform<br />Federation<br />Federation Gateway<br />AD FS 2.0<br />AuthN Platform<br />同期<br />AD DS<br />Directory Store<br />
  12. 12. AD FS 2.0<br />SAML 2.0 / IDP Lite, SP Lite, eGov 1.5<br />Windows Live vNext/ IIW#12<br />OAuth 2.0<br />Interoperability<br />12<br />
  13. 13. Windows Identity Foundation<br />ws-federation / ws-trust 対応の token ハンドリング  ライブラリ<br />各種Extension( 現状 Community Technology Preview )<br />Extension for SAML 2.0 protocols<br />Extension for OAuth<br />Extension for U-Prove<br />Relying Party Library<br />13<br />
  14. 14. Windows Identity Foundation<br />14<br />ASP.NET<br />Web アプリケーション<br />各種 STS<br />AD FS 2.0<br />ACS v2<br />ASP.NET<br />クレーム取出し<br />クレーム評価<br />トークン<br />Windows Identity Foundation<br />各種処理<br />.NET Framework 4<br />ブラウザ<br />
  15. 15. User Centric Identity / Minimal Disclosure<br />CardSpace<br />U-Prove ( 現状 Community Technology Preview )<br />Identity Selector<br />15<br /><ul><li>ユーザ自身による提供する情報の選択・確認
  16. 16. より少ない情報の提供で高い信頼性を得る</li></ul>-> セキュリティ と プライバシの両立<br />
  17. 17. ユースケース<br />16<br />
  18. 18. 社内にある Active Directory で管理しているユーザでクラウド・サービスを利用する<br />IdP: AD FS 2.0<br />メール : Google Apps / GMail<br />情報共有 : Office365 / SharePoint チームサイト<br />SFA : salesforce.com CRM<br />17<br />社内ユーザが社外サービスを利用する<br />メール、カレンダー<br />Federation<br />情報共有<br />SAML 2.0<br />ws-federation<br />AD DS<br />AD FS 2.0<br />SFA<br />
  19. 19. PCにログオンし、メールチェックを行う<br />取引の状況を確認する<br />チームサイトでファイルを共有する<br />18<br />シナリオ<br />
  20. 20. PCにログオンし、メールをチェックする<br />ブラウザを起動し、GMailサイトへアクセス<br />19<br />① AD FS 2.0 へリダイレクト、認証に成功するとToken が発行される<br />※Windows 統合認証 環境では認証画面は出ない<br />② Google Apps へ Token が POSTされログイン できる<br />
  21. 21. 取引の状況を確認する<br />そのままブラウザで salesforce.com へアクセスする<br />20<br />※ salesforce.com は SAML  IdP Initiated POST binding<br />なので先に AD FS 2.0 で Token 発行が必要(ブラウザショートカットの工夫で対応可能)<br />
  22. 22. チームサイトでファイルを共有する<br />そのままブラウザで Office 365 へアクセスする<br />21<br />① Office 365 へのサインイン画面で社内のドメイン名を入力するとサインイン先( AD FS 2.0 )へのリンクが表示される<br />② AD FS 2.0 にリダイレクトされると既に認証されているのでそのまま Token が発行されて Office 365 へ POSTされログオンできる<br />
  23. 23. 他社オンラインIDでサービスを利用してもらう<br />アプリケーション( .NET / WIF on Windows Azure )<br />IdP: Facebook、Google、Yahoo! Japan<br />22<br />コンシューマ向けサービスを広く利用してもらう<br />Federation<br />Federation<br />SAML 2.0<br />OpenID<br />OAuth<br />ACS v2<br />.NET / WIF<br />アプリケーション<br />ログイン<br />利用<br />認証<br />アイデンティティ情報提供<br />
  24. 24. Facebookの アイデンティティ情報を利用してサービスを提供する<br />Google の アイデンティティ情報を利用してサービスを提供する<br />Yahoo! Japan のアイデンティティ情報を利用してサービスを提供する<br />23<br />シナリオ<br />
  25. 25. Facebook へログインしてアプリケーションを利用<br />24<br />① .NET アプリケーションにアクセスすると ACS v2のホームレルムディスカバリ(利用する IdP選択)画面へリダイレクトされる<br />② Facebook を選択する<br />③ Facebook のログイン画面へリダイレクトされるのでログインする<br />
  26. 26. 25<br />④ Facebook の情報へのアクセスを許可<br />⑤ アプリケーションへ情報が渡される<br />
  27. 27. Google へログインしてアプリケーションを利用<br />26<br />① .NET アプリケーションにアクセスすると ACS v2のホームレルムディスカバリ(利用する IdP選択)画面へリダイレクトされる<br />② Google を選択する<br />③ Google アカウントのログイン画面へリダイレクトされるのでログインする<br />
  28. 28. 27<br />④ Google アカウントの情報へのアクセスを許可<br />⑤ アプリケーションへ情報が渡される<br />
  29. 29. Yahoo! Japan へログインしてアプリケーションを利用<br />28<br />① .NET アプリケーションにアクセスすると ACS v2の ホームレルムディスカバリ(利用する IdP選択)画面へ リダイレクトされる<br />② Yahoo Japan OpenIDを選択する(カスタム設定が必要)<br />③ Yahoo! Japan のログイン画面へリダイレクトされるのでログインする<br />
  30. 30. 29<br />④ Yahoo! Japanアカウントの情報へのアクセスを許可<br />⑤ アプリケーションへ情報が渡される<br />
  31. 31. より少ないアイデンティティ情報だけで高い信頼を得るための取組み( U-Prove 暗号化技術 )<br />アプリケーション( .NET / WIF Extension for U-Prove )<br />Token の正当性の確認( U-Prove Agent )<br />Claim Provider ( U-Prove Token Issuer )<br />30<br />高信頼性への取組み<br />U-Prove Token<br />Proof Token<br />U-Prove Agent<br />.NET / WIFExtension<br />アプリケーション<br />Claim Provider<br />ログイン<br />確認<br />利用<br />
  32. 32. 失業手当を申請する<br />オンライン・オークションで車を売る<br />31<br />シナリオ<br />
  33. 33. 確かな身元情報を確認する<br />失業手当を申請する<br />32<br />① 申請サイトにアクセスする<br />② 身元保証を行うサイトを選択する(必要な情報を提供可能なサイトから選択する)<br />
  34. 34. 33<br />③ 情報提供元サイトへログオンする<br />確認済み<br />マーク<br />⑤ 確認済み情報として情報が提供される<br />④ 提供される情報を確認する<br />
  35. 35. オークション詐欺を防止するために身元を保証する<br />オンライン オークションで車を売る<br />34<br />① サイトにアクセスする<br />② 身元保証サイトへアクセスする(手動で情報を入力する場合はより詳細な情報が必要となる)<br />
  36. 36. 35<br />③ 身元保証を行うサイトを選択する(必要な情報を提供可能なサイトから選択する)<br />④ 情報提供元サイトへログオンする<br />⑤ 提供される情報を確認する<br />
  37. 37. 36<br />⑥ 確認済み情報として情報が提供される<br />
  38. 38. エンタープライズの社内インフラのイメージが大きかったマイクロソフトのアイデンティティ関連技術ですが、標準技術への対応により各種サービスとの連携が出来るようになってきています<br />コンシューマ向けオンラインサービスや高い信頼性が要求される電子商取引などに対応する取組みも進んできています<br />まとめ<br />37<br />
  39. 39. Kim Cameron氏 blog<br />http://www.identityblog.com/<br />日本マイクロソフト エバンジェリスト 安納氏 blog<br />http://blogs.technet.com/b/junichia/<br />@IT記事:Windows で構築する、クラウド・サービスと社内システムの SSO 環境(以前書いた記事)<br />http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html<br />私のblog:IdM実験室<br />http://idmlab.eidentity.jp/<br />参考情報<br />38<br />
  40. 40. 4/21 インプレスR&Dより「クラウド環境におけるアイデンティティ管理ガイドライン」が出てます。(日本ネットワークセキュリティ協会 アイデンティティ管理WG著)<br />39<br />ちょこっと宣伝<br />https://store.libura-pro.com/purchase/index/id/1j05hhywem8h/pageNo/1<br />

×