クラウドにおける windows azure active directory の役割
TRANSCRIPT
![Page 1: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/1.jpg)
クラウドサービスとしてのデジタル・アイディンティティ~ Windows Azure Active Directory の役割 ~
日本マイクロソフト株式会社エバンジェリスト
安納 順一http://blogs.technet.com/junichia/
Facebook :Junichi Anno
![Page 2: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/2.jpg)
Agenda & Takeaway
パブリック クラウド上の Identity Provider(IdP)の役割とは?• IdP の乱立時代は続くのか?• IdP の乱立時代を回避する方法は用意されているのか?• パブリック クラウドは Digital Identity の利用に何をもたらすのか?
Windows Azure Active Directory とは?• マイクロソフト テクノロジーにおける位置づけ• 既存テクノロジーとの連携
![Page 3: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/3.jpg)
業務
サービス あるところ IdP あり
FacebookWindows
LiveSalesforcegoogle
Microsoft
Office 365
サービス(Service Provider: SP)には、認証と認可がつきもの
業務 業務 業務 業務 業務 業務
業務業務業務業務
![Page 4: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/4.jpg)
パブリッククラウドにもIdentity Provider の乱立時代が !?
![Page 5: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/5.jpg)
オンプレミスでは”乱立”をどう回避したのか?
回避は........できませんでした...
そのかわり...こんな方法で対応してきました
同期
Metadata
業務 業務業務
統合認証
業務 業務
認証サーバー
![Page 6: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/6.jpg)
クレーム ベースの認証と認可
IdP(認証) SP(認可)
クレーム ベース(認証と認可の分離)
IdP :ユーザー認証、デバイス認証を行いトークン(アサーション)を発行
SP :トークンから本人を識別し、ロールを決定してアクセスを認可する
業務
トークン トークンユーザー情報
利用者
ロール管理簿
トークンを解析• 本人識別• ロール決定
信頼クレーム
最近ではこんな方法も浸透しつつあります
![Page 7: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/7.jpg)
クレームベースのメリット
• 以下の2要素が一致していれば、相互連携が可能• プロトコル• トークン(アサーション)のフォーマット
• IdP の違い(認証方式の違い)がアプリケーションに影響しない
A社 IdP
B社 IdP
C 社 IdPD社 IdP
業務 ロール管理簿
![Page 8: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/8.jpg)
SAML 2.0 World
パブリック クラウド上の IdP はどうなっているのか?
• 孤立した IdP は少ない(ように思える)
• 共通の「認可」プロトコルによる ID Federation が可能(な場合が多い)
• SAML 2.0
• WS-Federation
• OpenID Connect
• “IdP の乱立”が問題になりずらくなりつつある
Identity Federation
A 社 SaaS
サービス
B社 IdP
トークン トークン
認証 HUB 的な役割
![Page 9: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/9.jpg)
SaaS としての認証 HUB
• IdP と SP を相互に連携させるための HUB• マルチテナントに対応• 複数の認可プロトコルへの対応• 外部 IdP とのフェデレーション機能• サービスに対して「統一フォーマットのトークン」を生成
• アプリケーションは IdP を意識する必要がない
サービス
サービス
認証HUB
![Page 10: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/10.jpg)
マイクロソフトの IdP プラットフォーム全体像
Windows Azure
Active Directory
Microsoft全製品
Microsoft全 OS
Windows 8
Microsoft Account
(Windows Live ID)
Consumer Enterprise
Metadata
Syn
c
Sync
他社 IdP
HR
Syn
c
Windows Server
Active Directory
![Page 11: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/11.jpg)
(脱線)Active Directory の三形態
Windows Azure
Active Directory
(SaaS)
Windows Server
Active Directory
(On-premise)
Windows Server
Active Directory
on
Windows Azure VM
(IaaS)
![Page 12: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/12.jpg)
3rd Party Services
Apps in Azure
Windows Azure Active Directory
Access Control
Directory
Graph API
Auth. Library
Windows ServerActive DirectoryorShibbolethorPingFederate
Windows Azure
Active Directory
Sync
連携
クラウドサービスに最適化された Identity Provider
• 認証HUB
• IDストア
LIVE
External IdP
![Page 13: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/13.jpg)
Directory
• マルチテナントに対応したディレクトリサービス
• マイクロソフトの SaaS、Azure 上のアプリケーション、非マイクロソフトのクラウドサービスからも利用可能
• オンプレミスの Active Directory 等との同期、ID フェデレーションが可能
• ユーザー/デバイス管理のハブ機能を提供- 登録/削除/管理
• Office 365 との連携で二要素認証をサポート
![Page 14: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/14.jpg)
二要素認証
Azure AD
Office365
①ID/
Passwo
rd
Azure AD
Office365
①ID/
Passwo
rd
![Page 15: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/15.jpg)
User :どの IdP でログオンしてもアプリケーションが使える
Developer :Access Control 用のコードを1種類書けば自動的にすべての IdP に対応
Access
Control WS AD
ADFS 2.0
Access Control• 外部 IdP との ID フェデレーション
• OAuth 2.0• OpenID(※ OpenID Connect にも対応予定、時期未定)• SAML 2.0(予定)
• WS-Federation• オンプレミス Active Directory との ID フェデレーション
LOB
WAAD
![Page 16: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/16.jpg)
コンシューマー向け IdP と企業向け IdP の違い (1)
• “本人”であることの担保
SNS
業務
厳格ではない(厳格にできない) 個人の特定、厳格な「認証」が命 ユーザー情報の最新性
SNSSNS
HR
業務 業務
Metadata
一意性を担保
最新性を担保
![Page 17: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/17.jpg)
コンシューマー向け IdP と企業向け IdP の違い (2)
• 個人情報の利用ポリシー
利用者自身が決定 API認可
社内セキュリティポリシー 「業務システム」が何を使用するかを決める
サービスサービス
API
利用
認可
ユーザー
利用
ユーザー
特権
信頼関係
認証 認証
![Page 18: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/18.jpg)
Graph API• RESTful Graph API を使用した Directory へのアクセス
• JSON/XMLで応答を受信
• Odata V3 にも対応
• API認可は OAuth 2.0 を使用
Graph API EndpointLOB
Request w/ JWT
Windows Azure
Active Directory
OAuth 2.0 EndpointToken Request
Response
JWT
Check
![Page 19: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/19.jpg)
オンプレミス Active Directory との連携
Windows Azure
Active Directory
Windows Server
Active Directory
同期
Web Portal
• Digital Identity 情報の自動同期• Digital Identity のフェデレーションにより、オンプレミスとクラウドの SSO
Windows Intune
管理者 :自動同期によりオンプレミス AD のみの管理でOKユーザー :ID フェデレーションにより、オンプレミスとの SSO が可能
その他業務
Fed
era
tion
SSO World
• Graph API
• Windows PowerShell
• DirSync Tool
• Forefront Identity Manager
![Page 20: クラウドにおける Windows Azure Active Directory の役割](https://reader031.vdocuments.net/reader031/viewer/2022012322/556150add8b42a8a7d8b4f55/html5/thumbnails/20.jpg)
まとめ
• アイデンティティ フェデレーション を理解しましょう
– IdP の役割を SP から分離
• パブリック クラウドの IdP をうまく使うには
– アプリをクレームベースに対応
– アプリとの互換性(プロトコル、トークンフォーマット)を確認
– 運用をイメージする
• 自動化できる手法が用意されているか
• オンプレミスとの連携が可能か
• 常に ID 情報を最新の状態に保てるか