View
4
Download
0
Category
Preview:
Citation preview
The Microsoft Conference 2014
【営業職・初心者歓迎】
ハイブリッドな認証基盤で生産性を高めるために必要な基礎知識知っていることを自慢したくなる「クレーム認証」「アイデンティティ フェデレーション」の世界
MN222
ROOM F
このセッションの対象は、
• IAM 初心者• 営業職
の方々です。
どのようなストーリーを展開するとIT部門の上司やお客様にIAMの重要性を理解していただけるか?についてお話します。
はじめに
サービスを使用するには
自分が”怪しい訪問者”でないことを証明しなければならない
どうやって自分自身を証明する?
本人が知っていること 本人が持っているもの
Smart
card
Smart
PhonePC
本人の特性など
場所行動履歴
第三者による認証
IDPass
word
秘密の質問
生体情報
どこまでやれば完璧なのかが悩ましい....
友達かどうか
目標の設定が重要
• 確実に本人であることが保障できること(認証)• 利用者の権限を明確にできること(認可)
この2つを、できるだけシンプルに実現することが重要
• 「認証」は唯一の認証基盤が行う• 「認可」はアプリケーションが行う
その結果、生産性が高まる
企業が IT に投資してでも実現したいのは
生産性向上自由度の高い働き方
リスク低減(IT ガバナンス)
場所 時間 ツール
紛失 漏洩 煩雑
つまりニーズは?
許可された場所で、(基本的に)時間を問わず、適切なユーザーが、適切なデバイスから、常に同じアプリケーションを利用して、与えられた権限の範囲でデータを参照、編集する
以上の動作をストレスなく遂行できることが生産性を高める。IT は上記を実現できるインフラストラクチャーでなければならない。
フレキシブルなワークスタイル
People-Centric IT という考え方
デバイス アプリケーション データユーザーID
Active Directory 製品群
• 「利用者」が「ツール」を使って「業務」を遂行するプロセスからストレスを取りのぞくには、IAM が重要だということ
Identity and Access Management
ツール 業務利用者
Office 365 の認証/認可ってどうなっている?
Azure Active DirectoryWS-Federation
• Office 365 の認証基盤(IdP, Identity Provider)は Azure Active Directory
である。• WS-Federation による信頼関係が存在する
ポータル
Exchange
Online
SharePoint
Online
Lync
Online
Azure Active Directory
portal.office.com
outlook.office365.com
login.microsoftonline.com
<テナント名>-my.sharepoint.com
Calender
連絡先(People)
タスク
Exchange 管理センター
ニュースフィード
OneDrice
サイト
Default
Admin(Office 365 管理センター)
WS-Federation
SharePoint 管理センター<テナント名>-admin.sharepoint.com
Lync 管理センター
admin0f.online.lync.com
WS-Federation により信頼関係が構築されているため、いずれか 1 つの URL にサインインすることで、他の URL に SSO できる。
社内のユーザー認証/認可と何が違うのか
Active Directoryドメインサービス
Azure Active Directory
業務サービス
Active Directoryドメイン
ADドメインに参加できない
ここで問題が起きます
• 認証は社内(Kerberos)で行いたい!
• Office 365 や Salesforce は Active Directory ドメインに参加できない!
矛盾
異なる組織間で認証情報を伝達する手段がないだろうか?
• 異なるIdP の ユーザーID を「同じユーザー」としてマッピングする
• 認証はオンプレミスで行う• クレームを使って認証結果を伝達、ID マッピング
「ID フェデレーション(連携)」というテクノロジー
Active Directoryドメインサービス
Active Directoryフェデレーションサービス
Azure AD
ID同期
パスワードはオンプレミスで集中管理
クレーム
フェデレーション信頼
社内セキュリティ ドメイン
IT が直面している課題
業務アプリ業務サービス
業務データ
SaaS
モバイルデバイス
社内 PC
IT ガバナンスLOB
IT ガバナンス
Azure AD とWindows Server AD の役割の違い
Azure Active Directory
Windows Server Active Directory
業務サービス運用管理サービス業務データ
社内 PC社員
• 社内リソースに対する IT ガバナンス
• クラウドサービスの認証基盤
• 他社サービスへの HUB
SaaS LOB
Kerberosの世界
HTTPの世界
16
注意
AD ドメインの構成
Windows ログオンが可能
グループポリシーが利用できる
社内ガバナンス
Office 365 や Windows Intuneなどが使用しているマルチテナント型の認証サービス
AD ドメインは作れない
Windows ログオンできない
クラウドサービスの認証 HUB
IDaaS / IDMaaS
Windows Server AD Microsoft Azure AD
両者は全く別物です!!!
Windows Server AD
Azure Active Directory
業務サービス運用管理サービス
業務データ
社内 PC社員
両者を結合させて1つのディレクトリ(Hybrid IdP)化する
SaaS
• オンプレミス IdPへのゲートウェイ
セキュリティポリシーを集中管理
LOB
Kerberosの世界
HTTPの世界
18
Windows Server AD
Azure Active Directory
業務データ
社員
モバイルデバイス認証も Active Directory で
SaaS
LOB
HTTP の世界
モバイルデバイス
19
実は AD FS にも限界がありまして...(汗)
Active Directoryドメインサービス
Active Directoryフェデレーションサービス
Azure AD
• AD FS から見えるのは、Azure AD まで• Azure AD から先の制御は Azure ADで行う
クラウドに出て行けるかどうかまでを判定
AD FS の限界というよりは、「フェデレーション」テクノロジーの限界
AD FSからは見えない
20
Windows Server AD
Azure Active Directory
業務データ
社員
クラウドサービスへのアクセス制御~Azure Active Directory Premium
SaaS
LOB
HTTP の世界
+
同期
グループに対してアクセス権を設定
モバイルデバイスグループ情報を同期
アクセスのためのユーザーグループを管理
21
Windows Server AD
Azure Active Directory
業務データ
社員
認証を強化するには~マルチファクター認証
HTTP の世界
モバイルデバイス
Microsoft Azure AD
MFA Provider
+
22
Windows Server AD
Azure Active Directory
業務データ
社員
モバイルデバイスのガバナンス(セキュリティポリシー適用)は?
HTTP の世界
モバイルデバイス
Microsoft Azure AD
MFA Provider
Microsoft
Intune
PO
LICY
+
23
Windows Server AD
Azure Active Directory
業務データ
社員
組織を超えたデータガバナンス~Azure Rights Management Services
HTTP の世界
モバイルデバイス
Microsoft
Intune
PO
LICY
+
Azure RMS
Security Policy
Policy
Policy
PolicyMicrosoft Azure AD
MFA Provider
24
まとめ
People-Centric IT という考え方
デバイス アプリケーション データユーザーID
ツール 業務利用者
確実な識別 デバイスの識別
MDM
アプリ配信 暗号化と権限管理
多要素認証
Workplace Join
Windows Intune
RDS / RD Client Azure RMS
認証、証跡、アクセス制御(Identity Provider)Windows Server Active Directory
Microsoft Azure Active Directory Premium
Azure RemoteApp※Preview
UserID/Pass
完璧なモビリティを実現するために~ Enterprise Mobility Suite(EMS)
Enterprise Mobility Suite
Azure AD Premium
Windows Intune
Azure AD RMS
クラウド上の高機能なIdP と多要素認証
モバイルデバイス管理(MDM)
暗号化/権限管理
+ Microsoft Forefront Identity Manager
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on
the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
健保番号/免許証番号/住民票
入国
日本国政府
出国
発行
パスポート• 発行国• 氏名• 有効期限• 旅券番号• 写真• 出国印
米国政府本人• 顔• 指紋
入国申請書• 滞在期間• 滞在先
パスポート・・
空港
信頼
ビザ• 滞在可能期間
信頼
入国
日本国政府
出国
発行
パスポート• 発行国• 氏名• 有効期限• 旅券番号• 写真• 出国印
米国政府
本人• 顔• 指紋
入国申請書• 滞在期間• 滞在先
パスポート・・
健保番号/免許証番号/住民票
信頼
ビザ• 滞在期間
IdP/CP RP/SP
空港
信頼
リソース
署名
主体セキュリティトークン
/アサーションクレームクレーム
クレーム
クレームクレーム
署名
オーソリティ(各種機関)
オーソリティ(各種機関)
どこからでもサインイン(ログオン)できる 同じ ID を使ってサインインできる
Recommended