junichi anno, profile picture
Uploaded byjunichi anno
PDF, PPTX5,221 views

クラウドにおける Windows Azure Active Directory の役割

Embed presentation

Download as PDF, PPTX
クラウドサービスとしてのデジタル・アイディンティティ ~ Windows Azure Active Directory の役割 ~ 日本マイクロソフト株式会社 エバンジェリスト 安納 順一 http://blogs.technet.com/junichia/ Facebook :Junichi Anno
Agenda & Takeaway パブリック クラウド上の Identity Provider(IdP)の役割とは? • IdP の乱立時代は続くのか? • IdP の乱立時代を回避する方法は用意されているのか? • パブリック クラウドは Digital Identity の利用に何をもたらすのか? Windows Azure Active Directory とは? • マイクロソフト テクノロジーにおける位置づけ • 既存テクノロジーとの連携
サービス あるところ IdP あり サービス(Service Provider: SP)には、認証と認可がつきもの Windows Microsoft Facebook google Salesforce 業務 業務 Live Office 365 業務 業務 業務 業務 業務 業務 業務 業務 業務
パブリッククラウドにも Identity Provider の乱立時代が !?
オンプレミスでは”乱立”をどう回避したのか? 回避は........できませんでした... そのかわり...こんな方法で対応してきました 統合認証 同期 認証サーバー Metadata 業務 業務 業務 業務 業務
クレーム ベース(認証と認可の分離) 最近ではこんな方法も浸透しつつあります IdP :ユーザー認証、デバイス認証を行いトークン(アサーション)を発行 SP :トークンから本人を識別し、ロールを決定してアクセスを認可する クレーム ベースの認証と認可 IdP(認証) 信頼 クレーム SP(認可) トークン トークン ユーザー 業務 ロール 情報 管理簿 トークンを解析 • 本人識別 利用者 • ロール決定
クレームベースのメリット • 以下の2要素が一致していれば、相互連携が可能 • プロトコル • トークン(アサーション)のフォーマット • IdP の違い(認証方式の違い)がアプリケーションに影響しない D 社 IdP C 社 IdP B 社 IdP A 社 IdP 業務 ロール 管理簿
パブリック クラウド上の IdP はどうなっているのか? • 孤立した IdP は少ない(ように思える) • 共通の「認可」プロトコルによる ID Federation が可能(な場合が多い) • SAML 2.0 • WS-Federation • OpenID Connect • “IdP の乱立”が問題になりずらくなりつつある 認証 HUB 的な役割 SAML 2.0 World Identity Federation サービス トークン トークン B社 IdP A 社 SaaS
SaaS としての認証 HUB • IdP と SP を相互に連携させるための HUB • マルチテナントに対応 • 複数の認可プロトコルへの対応 • 外部 IdP とのフェデレーション機能 • サービスに対して「統一フォーマットのトークン」を生成 • アプリケーションは IdP を意識する必要がない サービス 認証HUB サービス
マイクロソフトの IdP プラットフォーム全体像 Consumer Enterprise Microsoft Account Windows Azure (Windows Live ID) Active Directory Windows Server Sync Active Directory 他社 IdP Windows 8 Microsoft Microsoft Metadata 全製品 Sync 全 OS Sync HR
(脱線)Active Directory の三形態 Windows Server Windows Server Active Directory Windows Azure Active Directory on Active Directory (On-premise) Windows Azure VM (SaaS) (IaaS)
Windows Azure Active Directory クラウドサービスに最適化された Identity Provider • 認証HUB • IDストア External IdP LIVE 連携 Access Control Sync Directory 3rd Party Services Windows Server Graph API Windows Azure Active Directory Auth. Library Active Directory or Shibboleth Apps in Azure or PingFederate
Directory • マルチテナントに対応したディレクトリサービス • マイクロソフトの SaaS、Azure 上のアプリケーション、非マイクロソフトのク ラウドサービスからも利用可能 • オンプレミスの Active Directory 等との同期、ID フェデレーションが可能 • ユーザー/デバイス管理のハブ機能を提供 - 登録/削除/管理 • Office 365 との連携で二要素認証をサポート
二要素認証 Office Office 365 365 Azure AD Azure AD ① ① ID / Password ID / Password
Access Control • 外部 IdP との ID フェデレーション • OAuth 2.0 • OpenID(※ OpenID Connect にも対応予定、時期未定) • SAML 2.0(予定) • WS-Federation • オンプレミス Active Directory との ID フェデレーション User :どの IdP でログオンしてもアプリケーションが使える Developer :Access Control 用のコードを1種類書けば自動的にすべての IdP に対応 LOB Access Control ADFS 2.0 WS AD WAAD
コンシューマー向け IdP と企業向け IdP の違い (1) • “本人”であることの担保  厳格ではない(厳格にできない)  個人の特定、厳格な「認証」が命  ユーザー情報の最新性 HR 一意性を担保 Metadata 最新性を担保 SNS SNS SNS 業務 業務 業務
コンシューマー向け IdP と企業向け IdP の違い (2) • 個人情報の利用ポリシー  利用者自身が決定  社内セキュリティポリシー  API 認可  「業務システム」が何を使用するかを決める 認証 認証 API 認可 特 権 利用 信頼関係 利用 ユーザー ユーザー サービス サービス
Graph API • RESTful Graph API を使用した Directory へのアクセス • JSON/XML で応答を受信 • Odata V3 にも対応 • API認可は OAuth 2.0 を使用 Token Request OAuth 2.0 Endpoint JWT Check Request w/ JWT Graph API Endpoint Response LOB Windows Azure Active Directory
オンプレミス Active Directory との連携 • Digital Identity 情報の自動同期 • Digital Identity のフェデレーションにより、オンプレミスとクラウドの SSO 管理者 :自動同期によりオンプレミス AD のみの管理でOK ユーザー :ID フェデレーションにより、オンプレミスとの SSO が可能 Windows Azure SSO World Active Directory その他 Web Portal 業務 Windows Intune Federation • Graph API • Windows PowerShell 同 期 • DirSync Tool • Forefront Identity Manager Windows Server Active Directory
まとめ • アイデンティティ フェデレーション を理解しましょう – IdP の役割を SP から分離 • パブリック クラウドの IdP をうまく使うには – アプリをクレームベースに対応 – アプリとの互換性(プロトコル、トークンフォーマット)を確認 – 運用をイメージする • 自動化できる手法が用意されているか • オンプレミスとの連携が可能か • 常に ID 情報を最新の状態に保てるか

More Related Content

PDF
Office365のIdentity管理
byNaohiro Fujie
 
PDF
ハイブリッド時代のID基盤構成の基礎
byNaohiro Fujie
 
PDF
FIDO in Windows10
byNaohiro Fujie
 
PPTX
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
byShinya Yamaguchi
 
PPTX
.NETラボ勉強会資料 Azure AD Identity Protection を知る
byShinya Yamaguchi
 
PDF
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
byjunichi anno
 
PDF
Windows 10 の新機能 Azure AD Domain Join とは
byMari Miyakawa
 
PDF
Azure Active Directory 最新活用シナリオアップデート
byID-Based Security イニシアティブ
 
Office365のIdentity管理
byNaohiro Fujie
 
ハイブリッド時代のID基盤構成の基礎
byNaohiro Fujie
 
FIDO in Windows10
byNaohiro Fujie
 
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
byShinya Yamaguchi
 
.NETラボ勉強会資料 Azure AD Identity Protection を知る
byShinya Yamaguchi
 
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
byjunichi anno
 
Windows 10 の新機能 Azure AD Domain Join とは
byMari Miyakawa
 
Azure Active Directory 最新活用シナリオアップデート
byID-Based Security イニシアティブ
 

What's hot

PDF
SaaS としての IDM の役割
byjunichi anno
 
PDF
Azure ADとWindows 10によるドメイン環境の拡張
byNaohiro Fujie
 
PDF
OAuth2.0によるWeb APIの保護
byNaohiro Fujie
 
PPTX
GoAzure 2015 Azure AD for Developers
bykekekekenta
 
PDF
プロトコルから見るID連携
byNaohiro Fujie
 
PDF
20171011_最新のハイブリッドID管理基盤パターン
byID-Based Security イニシアティブ
 
PDF
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
byShinichiro Kosugi
 
PPTX
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
byNaohiro Fujie
 
PDF
Microsoftの認証システムの歴史と 過渡期におけるWAPの活用 +Next Generation Credentials
byNaohiro Fujie
 
PDF
ID連携における仮名
byNaohiro Fujie
 
PPTX
Active directoryと認証・認可
byHiroki Kamata
 
PPTX
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
byjunichi anno
 
PDF
Azure ADと外部アプリのID連携/SSO - Deep Dive
byNaohiro Fujie
 
PPTX
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
byShinya Yamaguchi
 
PDF
ADFS クレームルール言語 Deep Dive
bySuguru Kunii
 
PDF
Microsoft と Digital Identity
byjunichi anno
 
PPTX
Azure Active Directory 1枚資料 20151125版
byjunichi anno
 
PDF
ID Managementワークショップ Azure AD SaaS 連携 Tips & Tricks_第2回全体ミーティング
byID-Based Security イニシアティブ
 
PDF
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
byID-Based Security イニシアティブ
 
PDF
ADFS の vNext
byMari Miyakawa
 
SaaS としての IDM の役割
byjunichi anno
 
Azure ADとWindows 10によるドメイン環境の拡張
byNaohiro Fujie
 
OAuth2.0によるWeb APIの保護
byNaohiro Fujie
 
GoAzure 2015 Azure AD for Developers
bykekekekenta
 
プロトコルから見るID連携
byNaohiro Fujie
 
20171011_最新のハイブリッドID管理基盤パターン
byID-Based Security イニシアティブ
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
byShinichiro Kosugi
 
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
byNaohiro Fujie
 
Microsoftの認証システムの歴史と 過渡期におけるWAPの活用 +Next Generation Credentials
byNaohiro Fujie
 
ID連携における仮名
byNaohiro Fujie
 
Active directoryと認証・認可
byHiroki Kamata
 
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
byjunichi anno
 
Azure ADと外部アプリのID連携/SSO - Deep Dive
byNaohiro Fujie
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
byShinya Yamaguchi
 
ADFS クレームルール言語 Deep Dive
bySuguru Kunii
 
Microsoft と Digital Identity
byjunichi anno
 
Azure Active Directory 1枚資料 20151125版
byjunichi anno
 
ID Managementワークショップ Azure AD SaaS 連携 Tips & Tricks_第2回全体ミーティング
byID-Based Security イニシアティブ
 
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
byID-Based Security イニシアティブ
 
ADFS の vNext
byMari Miyakawa
 

Similar to クラウドにおける Windows Azure Active Directory の役割

PDF
Active Directory 最新情報 2012.8.31 暫定版
byjunichi anno
 
PDF
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
byMicrosoft Azure Japan
 
PDF
クラウド時代の「ID管理」と「認証セキュリティ」
byTatsuya (達也) Katsuhara (勝原)
 
PDF
SCIM and OpenID Connect Intro
byTatsuo Kudo
 
PDF
Active Directory をInternetから使用するための4つのシナリオ
byjunichi anno
 
PDF
110728 Trust Framework - Shingo Yamanaka
byOpenID Foundation Japan
 
PPTX
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
byMasanori KAMAYAMA
 
PDF
Sec004 cloud first、_mobile_first_におけるid
byTech Summit 2016
 
PDF
Axies2017 「クラウド時代の認証基盤10のポイント」
byEgawa Junichi
 
PPTX
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
byjunichi anno
 
PPTX
Microsoft Identity Technology / Kantara Initiative Seminar 2011
byNaohiro Fujie
 
PPTX
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
byjunichi anno
 
PPTX
SharePoint 2010 を使ったクラウドアプリ開発
byTusyoshi Matsuzaki
 
PDF
Panel fujie 20120828
byNaohiro Fujie
 
PPTX
Windows Phone で Active Directory 認証 2011.12.1版
byjunichi anno
 
PPTX
Java/Android開発者のためのWindows Azure入門 (パート2)
byNaoki (Neo) SATO
 
PDF
ID Management
byKohei MATSUOKA
 
PDF
Cloud Identity Summit 2012 TOI
byTatsuo Kudo
 
PDF
Azure ADにみるエンタープライズ領域におけるフェデレーションとIDaaSの活用
byNaohiro Fujie
 
PDF
Openid technight 20110909_fujie
byNaohiro Fujie
 
Active Directory 最新情報 2012.8.31 暫定版
byjunichi anno
 
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
byMicrosoft Azure Japan
 
クラウド時代の「ID管理」と「認証セキュリティ」
byTatsuya (達也) Katsuhara (勝原)
 
SCIM and OpenID Connect Intro
byTatsuo Kudo
 
Active Directory をInternetから使用するための4つのシナリオ
byjunichi anno
 
110728 Trust Framework - Shingo Yamanaka
byOpenID Foundation Japan
 
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
byMasanori KAMAYAMA
 
Sec004 cloud first、_mobile_first_におけるid
byTech Summit 2016
 
Axies2017 「クラウド時代の認証基盤10のポイント」
byEgawa Junichi
 
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
byjunichi anno
 
Microsoft Identity Technology / Kantara Initiative Seminar 2011
byNaohiro Fujie
 
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
byjunichi anno
 
SharePoint 2010 を使ったクラウドアプリ開発
byTusyoshi Matsuzaki
 
Panel fujie 20120828
byNaohiro Fujie
 
Windows Phone で Active Directory 認証 2011.12.1版
byjunichi anno
 
Java/Android開発者のためのWindows Azure入門 (パート2)
byNaoki (Neo) SATO
 
ID Management
byKohei MATSUOKA
 
Cloud Identity Summit 2012 TOI
byTatsuo Kudo
 
Azure ADにみるエンタープライズ領域におけるフェデレーションとIDaaSの活用
byNaohiro Fujie
 
Openid technight 20110909_fujie
byNaohiro Fujie
 

More from junichi anno

PDF
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
byjunichi anno
 
PPTX
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
byjunichi anno
 
PPTX
Microsoft Azure のセキュリティ
byjunichi anno
 
PDF
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
byjunichi anno
 
PPTX
Azure Key Vault
byjunichi anno
 
PDF
Dynamic Access Control 解説編
byjunichi anno
 
PPTX
V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...
byjunichi anno
 
PPTX
Azure AD による Web API の 保護
byjunichi anno
 
PDF
Hyper-V を Windows PowerShell から管理する
byjunichi anno
 
PDF
DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計
byjunichi anno
 
PDF
Dynamic Access Control 演習編
byjunichi anno
 
PPTX
個人情報を守るための アプリケーション設計(概要)
byjunichi anno
 
PDF
Windows File Service 総復習-Windows Server 2012 R2編 第1版
byjunichi anno
 
PDF
Shared Nothing Live Migration で重要な「委任」について
byjunichi anno
 
PDF
仮想化した DC を PowerShell で複製する
byjunichi anno
 
PDF
Vdi を より使いやすいインフラにするためのセキュリティ設計
byjunichi anno
 
PPTX
リソーステンプレート入門
byjunichi anno
 
PDF
IoT のセキュリティアーキテクチャと実装モデル on Azure
byjunichi anno
 
PPTX
Azureの管理権限について
byjunichi anno
 
PDF
File Server on Azure IaaS
byjunichi anno
 
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
byjunichi anno
 
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
byjunichi anno
 
Microsoft Azure のセキュリティ
byjunichi anno
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
byjunichi anno
 
Azure Key Vault
byjunichi anno
 
Dynamic Access Control 解説編
byjunichi anno
 
V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...
byjunichi anno
 
Azure AD による Web API の 保護
byjunichi anno
 
Hyper-V を Windows PowerShell から管理する
byjunichi anno
 
DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計
byjunichi anno
 
Dynamic Access Control 演習編
byjunichi anno
 
個人情報を守るための アプリケーション設計(概要)
byjunichi anno
 
Windows File Service 総復習-Windows Server 2012 R2編 第1版
byjunichi anno
 
Shared Nothing Live Migration で重要な「委任」について
byjunichi anno
 
仮想化した DC を PowerShell で複製する
byjunichi anno
 
Vdi を より使いやすいインフラにするためのセキュリティ設計
byjunichi anno
 
リソーステンプレート入門
byjunichi anno
 
IoT のセキュリティアーキテクチャと実装モデル on Azure
byjunichi anno
 
Azureの管理権限について
byjunichi anno
 
File Server on Azure IaaS
byjunichi anno
 

クラウドにおける Windows Azure Active Directory の役割

  • 1.
    クラウドサービスとしてのデジタル・アイディンティティ ~ WindowsAzure Active Directory の役割 ~ 日本マイクロソフト株式会社 エバンジェリスト 安納 順一 http://blogs.technet.com/junichia/ Facebook :Junichi Anno
  • 2.
    Agenda & Takeaway パブリッククラウド上の Identity Provider(IdP)の役割とは? • IdP の乱立時代は続くのか? • IdP の乱立時代を回避する方法は用意されているのか? • パブリック クラウドは Digital Identity の利用に何をもたらすのか? Windows Azure Active Directory とは? • マイクロソフト テクノロジーにおける位置づけ • 既存テクノロジーとの連携
  • 3.
    サービス あるところ IdPあり サービス(Service Provider: SP)には、認証と認可がつきもの Windows Microsoft Facebook google Salesforce 業務 業務 Live Office 365 業務 業務 業務 業務 業務 業務 業務 業務 業務
  • 4.
  • 5.
  • 6.
    クレーム ベース(認証と認可の分離) 最近ではこんな方法も浸透しつつあります IdP:ユーザー認証、デバイス認証を行いトークン(アサーション)を発行 SP :トークンから本人を識別し、ロールを決定してアクセスを認可する クレーム ベースの認証と認可 IdP(認証) 信頼 クレーム SP(認可) トークン トークン ユーザー 業務 ロール 情報 管理簿 トークンを解析 • 本人識別 利用者 • ロール決定
  • 7.
    クレームベースのメリット • 以下の2要素が一致していれば、相互連携が可能 • プロトコル • トークン(アサーション)のフォーマット • IdP の違い(認証方式の違い)がアプリケーションに影響しない D 社 IdP C 社 IdP B 社 IdP A 社 IdP 業務 ロール 管理簿
  • 8.
    パブリック クラウド上の IdPはどうなっているのか? • 孤立した IdP は少ない(ように思える) • 共通の「認可」プロトコルによる ID Federation が可能(な場合が多い) • SAML 2.0 • WS-Federation • OpenID Connect • “IdP の乱立”が問題になりずらくなりつつある 認証 HUB 的な役割 SAML 2.0 World Identity Federation サービス トークン トークン B社 IdP A 社 SaaS
  • 9.
    SaaS としての認証 HUB • IdP と SP を相互に連携させるための HUB • マルチテナントに対応 • 複数の認可プロトコルへの対応 • 外部 IdP とのフェデレーション機能 • サービスに対して「統一フォーマットのトークン」を生成 • アプリケーションは IdP を意識する必要がない サービス 認証HUB サービス
  • 10.
    マイクロソフトの IdP プラットフォーム全体像 Consumer Enterprise Microsoft Account Windows Azure (Windows Live ID) Active Directory Windows Server Sync Active Directory 他社 IdP Windows 8 Microsoft Microsoft Metadata 全製品 Sync 全 OS Sync HR
  • 11.
    (脱線)Active Directory の三形態 Windows Server Windows Server Active Directory Windows Azure Active Directory on Active Directory (On-premise) Windows Azure VM (SaaS) (IaaS)
  • 12.
    Windows Azure ActiveDirectory クラウドサービスに最適化された Identity Provider • 認証HUB • IDストア External IdP LIVE 連携 Access Control Sync Directory 3rd Party Services Windows Server Graph API Windows Azure Active Directory Auth. Library Active Directory or Shibboleth Apps in Azure or PingFederate
  • 13.
    Directory • マルチテナントに対応したディレクトリサービス • マイクロソフトのSaaS、Azure 上のアプリケーション、非マイクロソフトのク ラウドサービスからも利用可能 • オンプレミスの Active Directory 等との同期、ID フェデレーションが可能 • ユーザー/デバイス管理のハブ機能を提供 - 登録/削除/管理 • Office 365 との連携で二要素認証をサポート
  • 14.
    二要素認証 Office Office 365 365 Azure AD Azure AD ① ① ID / Password ID / Password
  • 15.
    Access Control • 外部 IdP との ID フェデレーション • OAuth 2.0 • OpenID(※ OpenID Connect にも対応予定、時期未定) • SAML 2.0(予定) • WS-Federation • オンプレミス Active Directory との ID フェデレーション User :どの IdP でログオンしてもアプリケーションが使える Developer :Access Control 用のコードを1種類書けば自動的にすべての IdP に対応 LOB Access Control ADFS 2.0 WS AD WAAD
  • 16.
    コンシューマー向け IdP と企業向けIdP の違い (1) • “本人”であることの担保  厳格ではない(厳格にできない)  個人の特定、厳格な「認証」が命  ユーザー情報の最新性 HR 一意性を担保 Metadata 最新性を担保 SNS SNS SNS 業務 業務 業務
  • 17.
    コンシューマー向け IdP と企業向けIdP の違い (2) • 個人情報の利用ポリシー  利用者自身が決定  社内セキュリティポリシー  API 認可  「業務システム」が何を使用するかを決める 認証 認証 API 認可 特 権 利用 信頼関係 利用 ユーザー ユーザー サービス サービス
  • 18.
    Graph API • RESTful Graph API を使用した Directory へのアクセス • JSON/XML で応答を受信 • Odata V3 にも対応 • API認可は OAuth 2.0 を使用 Token Request OAuth 2.0 Endpoint JWT Check Request w/ JWT Graph API Endpoint Response LOB Windows Azure Active Directory
  • 19.
    オンプレミス Active Directoryとの連携 • Digital Identity 情報の自動同期 • Digital Identity のフェデレーションにより、オンプレミスとクラウドの SSO 管理者 :自動同期によりオンプレミス AD のみの管理でOK ユーザー :ID フェデレーションにより、オンプレミスとの SSO が可能 Windows Azure SSO World Active Directory その他 Web Portal 業務 Windows Intune Federation • Graph API • Windows PowerShell 同 期 • DirSync Tool • Forefront Identity Manager Windows Server Active Directory
  • 20.
    まとめ • アイデンティティ フェデレーションを理解しましょう – IdP の役割を SP から分離 • パブリック クラウドの IdP をうまく使うには – アプリをクレームベースに対応 – アプリとの互換性(プロトコル、トークンフォーマット)を確認 – 運用をイメージする • 自動化できる手法が用意されているか • オンプレミスとの連携が可能か • 常に ID 情報を最新の状態に保てるか