コードネーム ”Geneva" テクノロジーにより、ID のさまざまな連携が可能になります。この資料ではその全体像をまとめています。

1. マ゗クロソフト株式会社
デベロッパー＆プラットフォーム統括本部
田辺 茂也
http://blogs.technet.com/stanabe

2. 「クレーム」ベースの ID モデルと
“Geneva”
“Geneva” のシナリオ
“Geneva” での変更点
開発のポ゗ント
既存の ID システムとの連携

3. 企業向け
Active Directory
Active フェデレーション Identity Lifecycle
Directory サービス Manager
ID統合 ID連携 (“Geneva”) ID同期
"
Windows
Windows Live ID
CardSpace
個人向け

5. ゕプリケーションは、それぞれの場面で
異なる ID 技術を使う必要がある
Windows ドメ゗ン下では
Active Directory (Kerberos)
゗ンターネットでは、ユーザ名とパスワード
組織間連携では、WS-Federation や
SAML (Security Assertion Markup Language)
すべての場面で共通に使える手法はないのか
クレームベースの ID により可能に
開発者、IT Pro 双方にメリット

6. 「クレーム」とは、ユーザーについての
詳細情報
ゕプリケーション内で承認のために利用可能
クレームの種類
ゕ゗デンテゖテゖ
ゕ゗デンテゖテゖ
電子メールゕドレス user@exmaple.com
ユーザー プリンシパル名 (UPN)
共通名 (Common Name) カスタム
グループ
カスタム グループ 発注限度額:
100万円
Purchaser
Administrator 役職:
Platinum Purchasing Agent

7. クレームは…
承認に利用可能な、詳細なデータを公開することがで
きる
Active Directory, ADAM から公開可能、簡単な
ユーザー゗ンタフェ゗スで管理できる
変換モジュール経由で公開できる
さまざまな経由地点で、適切に修正できる
集中的に監査できる
WS-Federation Passive Requestor Profile に
準拠するパートナーとの間で、相互運用できる
認証と認可を分離できる
認可のみを実装

8. トークンは、ID 情報を記述したもの
いくつかのクレームで構成
それぞれのクレームは、
トークン内の要素の情報を含む
トークン クレームの例
クレーム 1
名前
クレーム2
トークンの グループ
クレーム3
生成元を示し、 年齢
改ざんを防ぐ ...
クレームn
デジタル署名

9. ID プロバ゗ダー ゕプリケーション
(IdP, STS) 連携 (RP)
1. クレームを
要求
2. トークン 3. トークン
(クレーム) 取得 (クレーム) 送信
ユーザー
ゕプリケーション: ユーザーを特定するためにクレームを利用
ID プロバ゗ダー: クレームを含むトークンを発行
連携: 信頼関係のもと、クレームが渡される

10. ID プロバイダー 5) トークン内のクレームを利用
“Geneva”
Server アプリケーション
STS STS STS “Geneva”
Framework
1) ゕプリケーションに
ゕクセスし、トークンの
トークン 条件を取得 4) トークンを
送信
3) 選択した トークン
ID のトークンを ブラウザー
取得 クライアント
CardSpace
“Geneva”
2) 条件を満たす
ID を選択
ユーザー

11. 3つの ID テクノロジー
“Geneva” Server
Active Directory フェデレーション サービス (AD FS) の
次期バージョン
STS
Windows CardSpace “Geneva”
Windows CardSpace の次期バージョン
“Geneva” Framework
“Geneva” の目標は、クレームベースの
ID モデルを実用的にすること

12. ID プロバ゗ダーは、
クレームを作成するオーソリテゖ
一般的な ID プロバ゗ダーの例
社内では、会社 (人事、IT 部門など)
゗ンターネットでは、自分自身の場合が多い
ID プロバ゗ダーは、
STS: セキュリテゖ トークン サービスを運用
トークンを発行するサーバー
トークンの発行リクエストは WS-Trust 経由で受付
さまざまなフォーマットが利用可能
SAML フォーマットがよく使われている

14. 企業 Microsoft Services Identity Backbone 企業のネットワーク境
界は、消滅しつつある
社内
ゕプリケーション
どうすれば、社内ゕプ
Active
Directory
リケーションを社員以
外に提供し、利用を拡
大できるか
?
パートナー
Active
Directory

15. エンタープラ゗ズIdentity Backbone
Microsoft Services ID バックボーン “Geneva” Framework
クレーム対応ゕプリケー
社内 ションを作成するための
ゕプリ .NET ベースのフレームワー
“Geneva” ク
Active Framework
Directory
“Geneva” “Geneva” Server
Server Active Directory と
統合された STS
Windows CardSpace に
クレーム 対応
“Geneva” Windows CardSpace
Server “Geneva”
ユーザーのコントロール下
にある ID セレクター
より小さく、速く
Active
Directory

16. エンタープラ゗ズ ID バックボーン
Microsoft Services Identity Backbone WS-Federation,
WS-Trust,
社内 SAML 2.0 プロトコル
ゕプリ のサポート
“Geneva”
Active Framework
Directory 上記プロトコル対応のフェ
“Geneva”
デレーションソフトウェ
Server
ゕ・サービスと相互運用可
能
“Geneva” Third Party
Server STS
User
Active
Database
Directory

17. Microsoft Services ID バックボーン
Microsoft Services Identity Backbone Microsoft Federation
Gateway は、
クラウド マ゗クロソフトの ID バック
ゕプリ ボーンの重要なサービス
・
Microsoft サービス
Federation Azure クラウドゕプリケー
Gateway ションや開発者サービスへ
の橋渡しを行う
一つのフェデレーションで、
さまざまなサービスにゕク
セス可能
“Geneva” Third Party
Server STS
WS-Federation,
WS-Trust 準拠
User
Active
Database
Directory

18. Microsoft Services ID バックボーン
Microsoft Services Identity Backbone Windows Live ID の
クラウド ゕカウントでも
Windows ゕプリ Federation Gateway 経
Live ID ・ 由で、クラウドゕプリ
Microsoft サービス にゕクセス可能
Federation
カスタム
コンシューマー Gateway
ドメ゗ン
Windows Live ゕドミン
センターにより ID 管
理のゕウトソースも可
能
“Geneva” Third Party 自動管理用の API
Server STS カスタマ゗ズ可能な UX
User
Active
Database
Directory

19. Microsoft Services ID バックボーン
Microsoft Services Identity Backbone Active Directory と
クラウド Microsoft Federation
Windows ゕプリ Gateway とのフェデ
Live ID ・ レーション
Microsoft サービス
Federation
コンシューマー
カスタム
ドメ゗ン Gateway 無償ダウンロード、
簡単なセットゕップ
1:1 の信頼ではなく、
M.O.S ゲートウェ゗との
Third Party
Fed Util
“Geneva”
STS
信頼
Server
+ “G” Svr
Windows CardSpace を
Active Active
User
Database
サポート
Directory Directory

20. Microsoft Services ID バックボーン
Microsoft Services Identity Backbone クレームベースの
ゕプリ ゕクセスにより、
Windows ケーション さまざまな ID を
Live ID “Geneva” サポートする
Microsoft Framework ゕプリケーションを
コンシューマー
カスタム
Federation
Gateway
作成可能
ドメ゗ン
Microsoft “Geneva” Third Party
Services Server STS
Connector
User
Active Active
Database
Directory Directory

21. Microsoft Services ID バックボーン
Microsoft Services Identity Backbone クレーム対応の
ゕプリケーションは
Windows 一度作成すれば
Live ID どこにでも
Microsoft ホスト可能
Federation
カスタム
コンシューマー Gateway
ドメ゗ン
ID プロバ゗ダーは
設定による選択で、
ゕプリケーションの
ロジックには
Microsoft 埋め込まれていない
Services ゕプリ
Connector ケーション
Active “Geneva”
クラウドへの移行、
Directory Framework オンプレミスへの
Active
Directory 移行も容易

22. Microsoft Services ID バックボーン
Microsoft Services Identity Backbone クレームの用途は
ログ゗ンだけではない
Windows Microsoft
Live ID Access Microsoft Access Control:
Microsoft
Control STS がゕクセスコントロー
Federation
ルのための
コンシューマー
カスタム
Gateway
トークンを発行
ドメ゗ン
ゕクセスコントロールのロ
ジックを
ルールセットに分解
M.O.S. “Geneva” ルールセットの管理
Fed Util Server ゕプリ ポータルや API を提供
+ “G” Svr ケーション
“Geneva”
Framework
Active Active
Directory Directory

23. Microsoft Services ID バックボーン さまざまなサービス、
Microsoft Services Identity Backbone
Microsoft Federation Gateway ID プロバ゗ダーから、
目的に適合するものを
ゕプリ 選択
Microsoft
ケーション HealthVault
Access
Third Party
Framework
(OpenID)
Control シンプルな管理の
ためにゲートウェ゗を
活用
Third Party “Geneva”
STS Server ゕプリ
ケーション
User “Geneva”
OpenID Framework
Database プロバ゗ダ Active
Directory

24. Microsoft Services ID バックボーン
Microsoft Services Identity Backbone ラ゗トウェ゗トな
SSO も利用可能
Windows
Live ID Live Framework:
Microsoft WebAuth
コンシューマー
カスタム
Federation OpenID
ドメ゗ン Gateway
Any STS Web
ゕプリ Web
ゕプリ OpenID 対応
“Geneva” Live Web ゕプリ
Active Framework Framework
Directory

25. ID プロバ゗ダー ゕプリケーション
(クラウドまたはオンプレミス)
Services
Microsoft Microsoft Third
Live クレームを
Federation Access Party 要求
ID “Geneva” Framework
Gateway Control Services
Microsoft Live Framework
クレームを
Software
“Geneva” Server Services Third 送信
Connector Party Third Party
Servers Frameworks
Active Directory
クレームを送信
信頼
クレーム取得 必要なクレーム
ID セレクター(必要に応じて)
Windows CardSpace サードパーテゖの
“Geneva” ID セレクター

27. 現行の Active Directory Federation Service は
パッシブクラ゗ゕント (ブラウザー) のみサポート
STS は未提供
WS-Federation のみサポート
“Geneva” Server では
ゕクテゖブ・パッシブクラ゗ゕントを
サポート
STS を提供
WS-Federation と SAML 2.0 プロトコルを
サポート
信頼関係の管理性を向上
一部の設定を自動化

28. Windows CardSpace “Geneva” は
ID 選択の標準的な UI を提供
カードのメタフゔー
カードを選ぶことで ID (トークン) を選択

29. カードの実体は、゗ンフォメーションカード
ID プロバ゗ダーとの関連を示す XML フゔ゗ル
特定の ID のトークン発行を要求するために
必要な情報が含まれる
゗ンフォメーションカードに含まれない情報
クレーム情報
STS の認証のための情報

30. Information Card Foundation を設立
マルチベンダーの業界団体
ボードメンバーに
Google, Microsoft, Novell, Oracle, and PayPal
Web サ゗トでは、標準ゕ゗コンにより
゗ンフォメーションカードでのログ゗ンを
示す

31. Windows CardSpace “Geneva” は
.NET Framework とは別に単独提供
小さい゗ンストーラー、速い゗ンストール
Windows CardSpace “Geneva” では
利用に応じた最適化が可能
前回ログ゗ンに利用したカードを
提示できる
専用のデスクトップは使用しない

33. クレーム対応ゕプリケーションを
簡単に作成するためのフレームワーク
正式名称: Windows Identity Framework
“Geneva” Framework でできること
トークンの署名の確認とクレームの抽出
クレームを扱うクラス
独自 STS の作成
…

34. 必要なクレームを決める
識別子、属性など
クレームを扱うプログラムの作成
“Geneva” Framework の活用
クレームの取得元を選択
ソフトウェゕ: “Geneva” Server, サードパーテゖ
サービス: Microsoft Federation Gateway,
Windows Live ID, Microsoft Access Control,
サードパーテゖ
独自に STS を作成
ユーザーが利用可能な STS がない場合
Geneva claims provider の利用

35. Active Directory “Geneva” 5) ゕプリ X、ゕプリ Y、
Domain Services Server ユーザーに対する
ポリシーを確認
STS
X用 X用 Y用
トークン トークン トークン
1) ゕプリ X 用 4) ゕプリ Y 用 6) ポリシーに従って 8) トークン内の
トークン取得 トークン要求 ゕプリ Y 用トークンを発行 クレーム利用
7) トークン送信
ブラウザー Y用
クライアント アプリ X トークン アプリ Y
X用
トークン “Geneva” 3) ゕプリケーション “Geneva”
にゕクセスし、
2) トークン送信 Framework トークンの要件取得 Framework
ユーザー

37. クラウド
エンター
プラ゗ズ ISV ゕプリ
Windows Microsoft
ゕプリ Live Online
Microsoft
Live
Live Microsoft Dynamics
Azure Services Platform Mesh
Identity Federation CRM Online
Service Gateway
“Geneva”
エンタープライズ
Server
ブラウザー オンプレミス
Active
Office
Directory
Employee
ゕプリ Exchange ISV ゕプリ SharePoint

38. ユーザーがリンクをクリック Federation Gateway は
- “Geneva” Server で認証 トークンを確認し
“Geneva” Server は クレームを変換
Active Directory で認証
Federation Gateway は
“Geneva” Server は サービストークンを発行し
ログ゗ントークンを発行し
Federation Gateway にリダ゗レクト
サービスにリダ゗レクト
ユーザーがサービスにゕクセス
ブラウザー
Office
デスクトップ
ゕプリ
Microsoft クラウド
エンター “Geneva”
Federation
プラ゗ズ Server ゕプリ
Gateway
Active サービス
Directory

39. Active Directory / “Geneva” Server と Federation Gateway、
クラウドゕプリ・サービスを接続するウゖザードツール
一度のフェデレーション設定で、
自動プロビジョニング
特定の CA 発行の SSL 証明書によりドメ゗ンの所有者を証明
ドメ゗ン、サ゗ン゗ンのエンドポ゗ント署名鍵を登録
継続的なフェデレーションの管理タスクは自動化
M.O.S. Microsoft クラウド
エンター
Fed Util Federation
プラ゗ズ ゕプリ
+ “G” Svr Gateway
サービス
Active
Directory

40. フェデレーションのメリット
ゕプリ・サービスを、複数の組織に提供可能
ID をコピーしないため
シンプルな管理
セキュゕ
ユーザーはシングルサ゗ンオン
Federation Gateway / “Geneva” Server のメリット
既存の ID ゗ンフラに変更を加えずに
クラウドサービスを活用・移行できる
Point-to-Point ではなく、Hub & Spoke のため
設定と管理がシンプル
セキュリテゖレベルの維持
クラウド用のゕカウント、パスワード不要

41. クラウドでは、クレームベースの
ID モデルの活用を！
“Geneva” は、クレームと
ID のフェデレーションをサポートする、
各種技術を提供します
既存の ID システムを最大限に活用し、
便利なシステムとシンプルな管理を
両立させましょう！

43. “Geneva Server”
ID 連携のためのサービス (サーバーソフトウェゕ)
正式名称: Active Directory Federation Services
ダウンロードセンターより製品候補版提供中
Active Directory Federation Services 2.0 Release Candidate
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=118c3588-9070-426a-b655-6cec0a92c10b
現時点で Windows Server 2008, 2008R2 対応
“Geneva Framework”
クレームベースのゕプリケーション開発用フレームワーク
正式名称: Windows Identity Foundation
開発完了、ダウンロードセンターより提供中
Windows Identity Foundation
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=eb9c345f-e830-40b8-a5fe-ae7a864c4d76
Windows Server 2003 SP2 用:
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=be4db6a0-b76d-446d-810c-ea3c25b3969a
Windows Identity Foundation SDK
http://www.microsoft.com/downloads/details.aspx?familyid=C148B2DF-C7AF-46BB-9162-2C9422208504&displaylang=en
Windows 7, Vista SP2,
Windows Server 2003 SP2, 2008 SP2, 2008R2 対応
Windows CardSpace “Geneva”
カードを選ぶ形式でクレデンシャルを送信
ユーザーセントリックな ID 管理
正式名称: Windows CardSpace 2.0
ダウンロードセンターより Beta 2 提供中
Windows CardSpace 2.0 Beta 2
http://www.microsoft.com/downloads/details.aspx?familyid=8F9389B2-ECE0-4485-98AD-B093F18838FE&displaylang=en
Windows 7, Vista SP2, Windows Server 2008 SP2, 2008 R2

44. “Geneva” (Forefront: Identity Access Management)
http://www.microsoft.com/geneva
Microsoft Federation Gateway
http://msdn.microsoft.com/en-us/library/ cc287610.aspx
“Geneva” Team Blog
http://blogs.msdn.com/card/
ホワ゗トペーパー・デモキットなど
https://connect.microsoft.com/site642

45. Windows CardSpace を利用するもの
Internet Explorer 6/7/8
Firefox
Identity Selector
http://www.codeplex.com/IdentitySelector
カードの一元管理が可能、Windows のみ対応

46. 独自のセレクターを利用するもの
Higgins
http://www.eclipse.org/higgins/
Firefox, GTK, Cocoa, Eclipse RCP
Digital Me (Bandit Project)
http://www.bandit-project.org/index.php/DigitalMe
Firefox, SuSE Linux, Mac OSX
OpenInfoCard
http://code.google.com/p/openinfocard/
FireFox の組み込みセレクター
Xmldap.org のプロジェクト
Infocard Selector For Safari
http://www.hccp.org/safari-plug-in.html
Mac OSX
Azigo
http://www.azigo.com
AIR ベースのセレクター
カードはクラウドに保存

47. HTML, ASP.NET 2.0: http://self-issued.info/?p=18
“Geneva” Framework (旧称 “Zermatt”)
クレームを扱う共通フレームワーク
https://connect.microsoft.com/site/sitehome.aspx?SiteID=642
PHP (Zend): http://www.codeplex.com/informationcardphp
Java: http://www.codeplex.com/informationcardjava
Ruby: http://www.codeplex.com/informationcardruby
C: http://www.codeplex.com/InformationCard
Python: http://code.google.com/p/py-self-issued-rp/
Higgins Project
Bandit Project
……

48. © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not
be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.