Japan SharePoint Group #20@Tokyoでの資料。 ID基盤をオンプレ、ハイブリッド、クラウドそれぞれのパターンでどのように構成するのか、どのように選択するのか、を解説しています。

1. ハイブリッド時代の
ID基盤構成の基礎
MVP for Directory Services
Naohiro Fujie / @phr_eidentity / http://idmlab.eidentity.jp
1

2. 自己紹介
2
 Blog
 IdM実験室（Identityに関することを徒然と）：http://idmlab.eidentity.p
 Social
 Facebook Page : eIdentity（Identityに関するFeed）：https://www.facebook.com/eidentity
 記事
 Windowsで構築する、クラウド・サービスと社内システムのSSO環境
（http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html）
 クラウド・サービス連携の基本と最新トレンド
（http://www.atmarkit.co.jp/fwin2k/operation/idftrend01/idftrend01_01.html）
 開発者にとってのWindows Azure Active Directoryの役割と今後の展開
（http://www.buildinsider.net/enterprise/interviewvittorio/01）
 企業のID管理／シングルサインオンの新しい選択肢「IDaaS」の活用
（http://www.atmarkit.co.jp/ait/articles/1508/07/news034.html）
 その他
 日本ネットワークセキュリティ協会（JNSA）アイデンティティ管理WG（書籍：「クラウド環境におけるアイデンティティ管理ガイドライン」
etc）
 OpenID Foundation Japan 教育・翻訳WG（OAuth/OpenID Connect仕様翻訳）、エンタープライズ・アイデンティティWG

3. Agenda
 はじめに～認証/ID管理の構成要素
 各構成要素の関係性・役割
 オンプレ？ハイブリッド？クラウド？
 IDをクラウドに配置？
 各構成パターンの特徴と比較
 簡単構成決定チャート
 まとめ
3

4. はじめに～認証/ID管理の構成要素
4
管理者
源泉情報（人事DB等）
ID管理システム
統合認証システム
アプリケーション
（クラウド/オンプレ）
- IDライフサイクル管理機能
（人事業務/イベントに合わせた
アカウント管理）
- ID同期機能
（認証用IDの同期）
SSO
利用者
IDメンテナンス
- PWDリセット
- ID作成/更新/削除
IDメンテナンス
- PWDリセット、
- プロファイルメンテナンス
認証/ID管理に関連する機能
認証機能（統合認証システム）
• ID/PWDなどでログオン制御を行う
• アプリケーションの認証機能を外出し、共同で利用することでシングルサインオ
ンを実現する
• 一般に、認証に使うID情報（社員番号やパスワード）はID管理システムを使っ
て管理される
認可機能（アプリケーション）
• ログオン後、ユーザの権限（メニューを出す・出さない等）制御を行う
• 一般に制御自体はアプリケーション側で行い、認可に必要な情報（役職や所属組
織）はID管理システムを使って管理される
ID同期機能（ID管理システム）
• ID管理システムから認証システムへ、認証に使うID情報（社員番号やパスワー
ド）を同期する
• ID管理システムからアプリケーションへ、認可に使うID情報（役職や所属組
織）を同期する
- ID同期機能
（認可用IDの同期）
IDライフサイクル管理機能（ID管理システム）
• ID情報を源泉（人事等）から取り込み、人事イベントに応じて認証システムや
各アプリケーションへ必要なID情報を同期する
• 管理者や利用者自身でIDのメンテナンスを行う（パスワード・リセット、プロ
ファイルメンテナンス等）
ID（アイデンティティ）基盤

5. 各構成要素の関係性・役割
5
信頼 信頼
信頼
認証用属性
の提供
共通属性
の提供
認証結果の提供
ID管理
システム
統合認証
システム Applications
ID管理システムの役割
- 他のシステムへ信頼性の高いID情報を提供する
手段の例）人事システムから情報取り込み
統合認証システムの役割
- ユーザの正当性を検証する
手段の例）パスワード、SMSでの通知
アプリケーションの役割
- 適切な権限を認可する
手段の例）組織や役職属性によって表示す
る業務メニューを制御する
ｱﾌﾟﾘｹｰｼｮﾝ
※複数のアプリケーションが同一
の認証システムを信頼することに
よりシングルサインオンが可能と
なる
アプリ管理者
アプリ
専用属性

6. オンプレ？ハイブリッド？クラウド？
# パターン アプリ ID基盤 構成例
1 オンプレミス① オンプレ オンプレ オンプレSharePointをオンプレAD DSで認証
2 オンプレミス② オンプレ オンプレ オンプレSharePointをオンプレAD FS（Proxy）/AD DSで認証
3 ハイブリッド① クラウド オンプレ Office365をオンプレAD FS/AD DSで認証
4 ハイブリッド② オンプレ クラウド オンプレSharePointをAzure ADで認証
5 ハイブリッド③ オンプレ クラウド
⇒オンプレ
オンプレSharePointをAzure ADと連携したAD FS/AD DSで認証
※ハイブリッド②＋オンプレ②
6 クラウド クラウド クラウド Office365をAzure ADで認証
6
構成パターンは色々・・・

7. その前に）IDをクラウドに配置？
7
利用者
アプリケーション
（オンプレミス）
外出先利用者
認証基盤
アプリケーション
（クラウド）
社内はID/PWDの統一
シングルサインオン
VPN経由で認証
システムへアクセス
リバースプロキシ
経由で認証VPNルータ
リバプロ
SSO
外出先/モバイルからのアクセスとの両立方法
＜VPN経由でのアクセス＞
• 結局インターネットからVPNルータへのログインが必要
＜リバースプロキシ経由で認証サーバをDMZ公開＞
• 結局DMZの認証サーバへID/PWDでログインが必要
⇒結局DMZを経由してインターネットからログインする状態
DMZは本当に安全なのか？
DMZ クラウド
インターネットからの
アクセス
可能 可能
運用管理レベル 企業ポリシーによる 専任の運用体制
PCI-DSS/ISO準拠等の
各種認定
継続性（災害対策） 企業ポリシーによる
高可用性を維持するた
めには高コストが必要
グローバルで地域間レ
プリケーションされて
おり、高可用性を維持
DMZ vs クラウド
⇒「たんす預金 vs 銀行の貸金庫」レベルの差がある

8. １．オンプレミス①（オンプレAPL+AD）
- 統合Windows認証
 デバイス（ドメイン参加PC）とAPL間SSOが可能
 C/Sアプリ、Webアプリに対応
8
PCログオン⇒アプリへのアクセス時のSSO
出展：日経ITPro
http://itpro.nikkeibp.co.jp/article/COLUMN/20060518/238303/
AD DS
Client AS TGS APL
Client AS TGS APL
Logon Request
Verify
Access
HTTP 401
Request ST with TGT
Return ST
Access with ST
Contents
Return TGT

9. ２．オンプレミス②（オンプレAPL+WAP）
- ws-federation/統合Windows認証
9
https://technet.microsoft.com/ja-jp/library/dn383650.aspx
ws-federation
統合Windows認証
 デバイス（ドメイン参加PC）とAPL間
SSOが可能
 社外アクセス、非ドメイン参加PC、スマ
ホでAPL間SSOが可能（デバイスとAPL
間SSOは不可）
 Webアプリにのみ対応

10. AD DS
Client AS TGS ADFS
Client AS TGS APL
Logon Request
Verify
Access
HTTP 401
Request ST with TGT
Return TGT
Access with ST
Return HTML to POST SAML Token
APL
APL
Access
HTTP 302 Redirect to ADFS
Auto POST SAML Token
Contents
Verify
Return TGT
３．ハイブリッド①（クラウドAPL+ADFS）
- ws-federation＋統合Windows認証
10
クラウドオンプレ
ws-federation
統合Windows認証
 デバイス（ドメイン参加PC）とAPL間SSOが可能
 社外アクセス、非ドメイン参加PC、スマホでAPL
間SSOが可能（デバイスとAPL間SSOは不可）
 Webアプリにのみ対応
https://support.office.com/en-gb/article/Understanding-Office-365-identity-
and-Azure-Active-Directory-06a189e7-5ec6-4af2-94bf-a22ea225a7a9

11. ４．ハイブリッド②（オンプレAPL＋AAD/WAP）
- ws-federation＋統合Windows認証
11
https://msdn.microsoft.com/ja-jp/library/azure/dn879065.aspx
オンプレクラウド
OpenID
Connect
統合Windows認証
 社外アクセス、非ドメイン参加PC、スマ
ホでAPL間SSOが可能（デバイスとAPL
間SSOは不可）
※社内ドメイン参加PCとAPL間は統合Windows認証でSSO
可能（オンプレ①もしくはハイブリッド①と同様）
※Azure AD JoinしたWindows 10端末ならアプリ限定で
デバイスとAPL間SSOが可能
 Webアプリにのみ対応

12. ５．ハイブリッド③
（オンプレAPL＋AAD/WAP+WAP）
- OpenID Connect+ws-federation＋統合Windows認証
12
オンプレクラウド
OpenID
Connect
統合Windows認証
ws-federation
AD FS
/WAP
AD FS
 社外アクセス、非ドメイン参加PC、スマ
ホでAPL間SSOが可能（デバイスとAPL
間SSOは不可）
※社内ドメイン参加PCとAPL間は統合Windows認証でSSO
可能（オンプレ①もしくはハイブリッド①と同様）
※Azure AD JoinしたWindows 10端末ならアプリ限定で
デバイスとAPL間SSOが可能
 Webアプリにのみ対応

13. ６．クラウド（クラウドAPL＋AAD）
- OpenID Connect
13
 APL間SSOが可能（デバイスとAPL間SSOは不可）
※Azure AD JoinしたWindows 10端末ならアプリ限定で
デバイスとAPL間SSOが可能
 Webアプリにのみ対応
Authentication ID/PWD etc
Return HTML to POST id_token
Access
HTTP 302 Redirect to AAD
Auto POST id_token
APLAADClient
APLAADClient
Contents
Verify

14. 各構成パターンの特徴と比較
14
特徴 構成パターン
オンプレ① オンプレ② ハイブリッド
①
ハイブリッド
②
ハイブリッド
③
クラウド
システム構成 ○ △ ○ △ ✖ ○
認証情報（パスワード等）の場所 オンプレ オンプレ オンプレ クラウド オンプレ クラウド
社外からのアクセス ✖ ○ ✖ ○ ○ ○
デバイス
⇒APL間SSO
社内ドメイン参加PC ○ △
(社内のみ)
○ △
(社内のみ)
△
(社内のみ)
✖
社内ドメイン非参加
PC、スマホ
✖ ✖ ✖ △
(Win10のみ)
△
(Win10のみ)
△
(Win10のみ)
APL間SSO 社内ドメイン参加PC ○ ○ ○ ○ ○ ○
社内ドメイン非参加
PC、スマホ
✖ ○ ○ ○ ○ ○
APL種別 C/Sアプリ ○ ✖ ✖ ✖ ✖ ✖
Webアプリ ○ ○ ○ ○ ○ ○
• APL間SSOはAPLが同一認証システムを信頼している場合のみ
• C/Sアプリは旧来の統合Windows認証アプリを指す（Microsoft Passport対応のUWPやWebViewを持つアプリケーションなどではSSOが可能な場合も存在

15. 簡単構成決定チャート
15
APL種別は
C/Sのみ
オンプレ①
Y
社内から
のみ利用
パスワード
社外保管NG
ﾊｲﾌﾞﾘｯﾄﾞ①
Y
N N
ﾊｲﾌﾞﾘｯﾄﾞ②
ﾊｲﾌﾞﾘｯﾄﾞ③
オンプレ②
クラウド
Y Windows10
AAD Join可
N
Nオンプレ
APL利用
Y
Y
注意）
実際はアプリの配置、デバイスの混在、
ID管理の構成、Windows10のAAD
JoinやMicrosoft Passportの対応、
Windows Server 2016のリリースなど
により結果は変化します。
N

16. まとめ
16

17. まとめ
 アプリケーションのクラウド化が進む中で、ID基盤の配置についても様々なパターン
の選択ができるが、要件および今後の拡張性を見据えた配置を考えることが大切
 うまく外部のIDサービスを利用することでコスト・安全性の担保ができるので、うま
く外部を使っていくことも検討
17