Download as PDF, PPTX
More Related Content
![[Play.node] node.js 를 사용한 대규모 글로벌(+중국) 서비스](https://cdn.slidesharecdn.com/ss_thumbnails/playnode20161123slideshare-161125153022-thumbnail.jpg?width=640&height=640&fit=bounds)
![スマホゲームのチート手法とその対策 [DeNA TechCon 2019]](https://cdn.slidesharecdn.com/ss_thumbnails/techcon2019funakubo-190218065153-thumbnail.jpg?width=640&height=640&fit=bounds)
![[NDC 발표] 모바일 게임데이터분석 및 실전 활용](https://cdn.slidesharecdn.com/ss_thumbnails/20140529-140529031622-phpapp02-thumbnail.jpg?width=640&height=640&fit=bounds)
![[JAWS DAYS 2019] Amazon DocumentDB(with MongoDB Compatibility)入門](https://cdn.slidesharecdn.com/ss_thumbnails/jawsdays-2019-190222234012-thumbnail.jpg?width=640&height=640&fit=bounds)
![[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際](https://cdn.slidesharecdn.com/ss_thumbnails/sc05-170614044200-thumbnail.jpg?width=640&height=640&fit=bounds)
SaaS としての IDM の役割
- 1. 1 Microsoft Architect Forum2013 SaaS としての IdM の役割 ~マイクロソフトの IdMaaS 構想 日本マイクロソフト株式会社 エバンジェリスト 安納 順一 http://blogs.technet.com/junichia/ Facebook :Junichi Anno
- 2. Windows Azure Active Directory Microsoft 全製品 Microsoft 全OS Windows 8 Microsoft Account (Windows Live ID) Consumer Enterprise Metadata Sync Sync 他社 IdP HR Sync Windows Server Active Directory
- 3. 3 Identity Technology の課題 •ROI(投資収益率) が見えずらい • アーキテクチャが複雑でエンジニアがいない • 導入コストと管理コストが結構大きい • “変化”が外部に与える影響が大きい ldap Kerberos nis Nis+ Active Directory マルチマスター Service for UNIX 統合認証 同期 メタディレクトリ ACL ACE ACE 2要素認証 証明書 IRM ICカード SSO クレーム認証 フェデレーション SAML OpenID OpenID ConnectWS-Trust WS-Federation CHAP802.1x radius OAuth NDS Forefront Identity Manager SCIM 信頼関係 信頼関係 ACS IdM パスワード 認可 セキュリティトークン アサーション PIN OTP NTLM SMB ADSI Provisioning
- 4. 4 Agenda & Takeaway 2000年以降、ID 管理(IdM)の手法に”大きな変化”はありませんでした。しかし パブリッククラウドの登場により、あらゆる面で“大きな変化”を強いられようと しています。 それには ID 管理基盤自身のみならず、アプリケーション側の変革も含まれていま す。 本セッションでは、 • IdM に求められる役割の変化 • ドメインベース管理では対応が難しいこと • Enterprise なパブリッククラウドにおける IdM as a Service の重要性 を通して、パブリッククラウドへの移行初期から完成期に向けた IdM のあり方に ついてお話します。
- 5. 5 3rd Party Services Appsin Azure Windows Azure Active Directory ~2013年4月リリース Access Control Directory Graph API Auth. Library Windows Server Active Directory or Shibboleth or PingFederate Windows Azure Active Directory Sync 連携 IdM as a Service • マルチテナント • 認証 HUB(トークンゲートウェイ) • ID ストア • REST API LIVE External IdP
- 6. 6 Windows Azure ActiveDirectory Windows Server Active Directory (on premise / on Azure IaaS) definitely not !
- 7. 7 CoreIO(Core Infrastructure Optimization) •ID を中心に、すべてのリソースを結合 • End to End のセキュリティポリシー • IdM により関係性が管理されている Network Data Services Devices IdM Digital Identity IdM の役割 • Digital Identity の Provisioning • Create • Retrieve(Read) • Update • Delete • 最新状態の維持 IdM の目的 • ただしく認証、ただしく認可 • 適切なアクセス権管理 • リソースの保護 • セキュリティポリシーの管理 Users, Devices, Services Groups Attributes
- 8. 8 従来の ID 管理~ Domain-based Identity Management ドメイン境界(Firewall) • ドメイン境界内の保護 • ID による企業統制 • セキュリティポリシーの集中管理 Active Directory ドメイン
- 9.
- 10. 10 組織間、企業間連携のニーズ サービス(Service Provider: SP)には、認証と認可がつきもの ActiveDirectory ドメイン • ドメインの異なる組織、企業間でサービス連携を行いたい • Active Directory 以外のドメインとの連携 Active Directory ドメイン 連携
- 11. 11 パブリッククラウド連携へのニーズ サービス(Service Provider: SP)には、認証と認可がつきもの ActiveDirectory ドメイン • 企業向け SaaS(Office 365, GAE, Saleceforce など) • SNS との連携 Web Service Web Service Web Service Web Service Web Service Web Service Web Service Salesforce.com Google.com office365 Facebook.com Outlook.com
- 12. 12 新たな課題 IdP(Identity Provider)として • 企業ドメインの”境界” を超えたリソース利用 • パブリッククラウド上での Identity 管理 SP(RP)として • 複数企業の受け入れ方法(コードを書き換える!?) • テナントごとのアクセス管理 • 受け入れ企業の Digital Identity 管理、保守 • 「パスワード管理なんてやってられっか!」
- 13. 13 Identity Federation Model IdP(CP)SP(RP) • ドメインベースモデルの大いなる拡張! • ドメイン外サービスとの連携 • 認証と認可の分離(IDとリソースが同一ドメイン内でなくてもよい) WHO AM I? PROVES WHO SHE IS CLAIMS 認証 認可 同一人物
- 14. 14 クレーム ベースの認証と認可 IdP(認証) SP(認可) クレームベース の認証と認可 IdP :ユーザー認証、デバイス認証を行いトークン(アサーション)を発行 SP :トークンから本人を識別し、ロールを決定してアクセスを認可する 業務 トークン トークンユーザー 情報 利用者 ロール 管理簿 トークンを解析 • 本人識別 • ロール決定 信頼 クレームを格納 プロトコルが存在する 属性ストア
- 15. 15 Token アクセス権はロールによって決定される SP(認可) 業務 ロール 管理簿 トークンを解析 • 本人識別 •ロール決定 IdP(認証) ユーザー 情報 属性ストア • ロールを決定するための「クレーム」は SP が提示する • アプリケーションには「ロール」決定のためのロジックを実装 Claims mail name company title 署名 値 値 値 値 提 示
- 16. アイデンティティフェデレーションのメリット • ドメイン(Firewall)を超えたリソースの利用 • 以下の2要素が一致しており、相互に信頼関係が成立していれば連携が可能 •プロトコル(SAML 2.0、WS-Federation、WS-Trust)& プロファイル • トークン(アサーション)のフォーマット(SAML 1.1、SAML 2.0) • IdP の違い(認証方式の違い)がアプリケーションに影響しない A 社 IdP B 社 IdP C 社 IdP ロール 管理簿 Security Token Service(STS) SP 側は STS に IdP を登録。STS が IdP の違いを吸収する。 必要なクレームは SP 側が IdP に 提示する。 CRM
- 17. トークンの やり取り Active Directory ドメイン 業務サービス クラウド上の 業務サービス クラウド上の 業務サービス Domain-BasedIdentity Management モデルの延長でしかない
- 18. IdM as aService Network Data Services Devices IdM Digital Identity CoreIO
- 19. 19 3rd Party Services Appsin Azure Windows Azure Active Directory Access Control Directory Graph API Auth. Library Windows Server Active Directory or Shibboleth or PingFederate Windows Azure Active Directory Sync 連携 IdM as a Service • マルチテナント • 認証 HUB(トークンゲートウェイ) • ID ストア • REST API LIVE External IdP
- 20. 20 WAAD ー DirectoryService • ユーザー情報の格納庫 • ユーザー認証 • トークン発行 Directory Service ID Store Federation Gateway (STS) Graph (REST API) アカウント情報への アクセス • ユーザー • グループ • デバイス Application Web Service SAML2.0 WS-Fed • Windows Server Active Directory • Shibboleth • PingFederate SAML 2.0(限定的サポート) WS-Fed IdP STS OAuth 2.0
- 21.
- 22. 22 • Windows AzureActive Directory の追加認証要素として実装 • サービスプロバイダーから透過的 • 携帯電話(スマートフォン)を使用することで認証チャネルを分離 • 現時点では WAAD で認証を行うユーザーにのみ適用可能 • ブラウザ利用のみ SP WAAD ー Directory Service 2要素認証(プレビュー) Directory Service Application Web Service PhoneFactor IE ID/Password Token Access Token #
- 23. 23 WAAD - AccessControl Service • 外部 IdP から SP に対するトークンゲートウェイ • オンプレミス Active Directory との ID フェデレーション Application Directory Service WAAD Access Control Service WS-Fed OpenID Oauh 2.0 IdP STSSTS WS-Fedトークン 変換 OAuth Wrap Application SP IdP WS-Fed をサポートしている IdP
- 24.
- 25. 25 Graph API • API認可(OAuth 2.0)による情報保護 • RESTful Graph API を使用した Directory へのアクセス • JSON/XML で応答を受信 • API エコノミーを支えるアセット Graph API Endpoint LOB Request w/ JWT Windows Azure Active Directory OAuth 2.0 Endpoint Token Request Response JWT Check 対称キーや証明書を共有
- 26. 26 Top-Level Resources QueryResults URI (for contoso.com) Top-level resources Returns URI list of the top-level resources for directory services (also listed below) https://graph.windows.net/contoso.com/ Company information Returns company information https://graph.windows.net/contoso.com/Tenant Details Contacts Returns contact information https://graph.windows.net/contoso.com/Contac ts Users Returns user information https://graph.windows.net/contoso.com/Users Groups Returns group data https://graph.windows.net/contoso.com/Groups Roles Returns all roles that have users or groups assigned to them https://graph.windows.net/contoso.com/Roles
- 27. 27 まとめ IdMaaS は • 企業ドメインの枠を超えて、あらゆるDigital Identity と あらゆ る Service を結び付け、パブリッククラウド上の様々なサービス (API)とともに “API エコノミー” を構成します • 将来、企業のソーシャルグラフとなり、Enterprise Social Network を実現します
- 28. 28 まとめ 業務 システム Employees Customers Partners IdMaaS Enterprise SocialNetwork IdMaaS は企業組織のソーシャルグラフである 顧客 サービス IdM Digital Identity