18. 認証の流れ 18
サービスへアクセス
認証要求を ID プロバイダ へリダイレクト
認証
Service
ユーザ認証
トークン発行
ACS
トークンを POST
トークンの
生成と署名 トークン署名
の検証
サービスへリダイレクト
サービスを利用
※ACS : Assertion Consumer Service
ユーザ IDプロバイダ SharePoint
19. SharePoint における属性管理
(プロファイル管理)
SharePoint を使う上で必要な各種属性の管理
基本的に外部データソースとの同期(プロビジョニング)で実現
ユーザ自身によるセルフサービスもあり
各種同期手法
SharePoint 標準機能
User Profile Service
Active Directory インポート
FIM 2010 R2 SP1
SharePoint Connector for FIM 2010(Preview)
19
20. プロファイル同期の方法
同期手段 同期元(データソース) 同期対象 特徴
User Profile Service
(FIM 2010ベース)
Active Directory ユーザ、グループ 無償
Active Directoryのログオンデータ ユーザ、グループ
Active Directoryリソース ユーザ、グループ
Business Data Connectivity ユーザ
IBM Tivoli Directory Server ユーザ
Novell eDirectory(増分同期不可) ユーザ
Sun Java System Directory Server ユーザ
Active Directory インポート Active Directory ユーザ、グループ 無償、高速
SharePoint Connector for
FIM 2010
任意(FIM 2010 に設定したデータソー
ス)
ユーザ、グループ 有償、柔軟
20
26. 参考)FIM Synchronization Service
各種アイデンティティ・ストアと情報を同期する
FIM Sync Service のレポジトリと各アイデンティティ・ストア用のステージング
領域を同期し、各管理エージェントを使って実際の各アイデンティティ・ストア
と情報をやり取りする
26
27. 参考)必須用語 27
用語 解説
Metaverse FIM Sync Service の中央レポジトリ
Connector Space(CS) 各 ID Store 用のステージング領域
Management Agent
(MA)
各 CS のデータを実際の ID Store と接続するためのエー
ジェント
Synchronization Metaverse と各 CS の間のデータを同期する(差分、フ
ル)
Import 各 ID Store から対応する CS にデータを取り込む(差分、
フル)
Export 各 CS から対応する ID Store にデータを出力する
Run Profile Import / Export / Synchronization の処理の定義
36. デモ内容
フォームベース認証
認証DB:Active Directory
SAML トークンベース認証
Windows Azure Access Control Service 経由
Facebook
Google
36
37. デモ環境 37
Windows Azure
Access Control
Service (ACS)
facebook
Google
SharePoint
Server
Active Directory
認証
フォーム
ユーザ
プロファイル同期
信頼(IdP)
信頼(IdP)
信頼(IdP)
認証
認証
認証
利用
38. 環境構築手順概要
Windows Azure Access Control
Identity Provider の設定
Facebook : facebook アプリを作成し、client_id / client_secret を取得して
ACS 上に登録
Google : 特に設定不要。有効化のみ
Claim 発行ルールの設定
Facebook / Google から発行された Claim をパススルー
Relying Party の設定
SharePoint Server との接続
ws-federation での接続。SAML トークンバージョンは 1.1
トークン署名用の証明書の作成とアップロード(makecertコマンド)
38