Upload
preston-mitchell
View
135
Download
11
Embed Size (px)
DESCRIPTION
SaaS としての IdM の役割 ~マイクロソフトの IdMaaS 構想. 日本マイクロソフト株式会社 エバンジェリスト 安納 順一 http://blogs.technet.com/junichia/ Facebook :Junichi Anno. マイクロソフトの IdP プラットフォーム全体像. Consumer. Enterprise. Windows Azure Active Directory. Microsoft Account (Windows Live ID ). Sync. Windows Server - PowerPoint PPT Presentation
Citation preview
1
Microsoft Architect Forum 2013
SaaS としての IdM の役割~マイクロソフトの IdMaaS 構想
日本マイクロソフト株式会社エバンジェリスト
安納 順一http://blogs.technet.com/junichia/
Facebook :Junichi Anno
2
マイクロソフトの IdP プラットフォーム全体像
Windows AzureActive
Directory
Microsoft全製品
Microsoft全 OS
Windows 8
Microsoft Account
(Windows Live ID )
Consumer Enterprise
Metadata
Sync
Sync
他社 IdP
HR
Sy
nc
Feder
atio
n
Windows ServerActive
Directory
3
Identity Technology の課題• ROI (投資収益率) が見えずらい• アーキテクチャが複雑でエンジニアがいない• 導入コストと管理コストが結構大きい• “ 変化”が外部に与える影響が大きい
ldap
Kerberosnis Nis+
Active Directory
マルチマスター
Service for UNIX
統合認証
同期メタディレクトリ
ACL
ACE
ACE
2 要素認証証明書
IRM
IC カード
SSO
クレーム認証
フェデレーション
SAMLOpenID
OpenID ConnectWS-Trust
WS-Federation
CHAP802.1x
radius
OAuthNDS
Forefront Identity Manager
SCIM
信頼関係信頼関係
ACS IdM
パスワード
認可
セキュリティトークン
アサーション
PINOTP
NTLM
SMB
ADSI
Provisioning
4
Agenda & Takeaway2000 年以降、 ID 管理( IdM )の手法に”大きな変化”はありませんでした。しかしパブリッククラウドの登場により、あらゆる面で“大きな変化”を強いられようとしています。それには ID 管理基盤自身のみならず、アプリケーション側の変革も含まれています。
本セッションでは、
• IdM に求められる役割の変化• ドメインベース管理では対応が難しいこと• Enterprise なパブリッククラウドにおける IdM as a Service の重要性
を通して、パブリッククラウドへの移行初期から完成期に向けた IdM のあり方についてお話します。
5
Identity Solution: Cloud Single Sign-on with Access Control
3rd Party Services
Apps in Azure
Windows Azure Active Directory ~ 2013 年 4 月リリース
Access Control
Directory
Graph API
Auth. Library
Windows ServerActive DirectoryorShibbolethorPingFederate
Windows AzureActive
Directory
Sync
連携
IdM as a Service• マルチテナント• 認証 HUB (トークンゲートウェイ)• ID ストア• REST API
LIVE
External IdP
6
Windows Azure Active Directory
Windows Server Active Directory(on premise / on Azure IaaS)
definitely not !
7
CoreIO ( Core Infrastructure Optimization )• ID を中心に、すべてのリソースを結合• End to End のセキュリティポリシー• IdM により関係性が管理されている
Network
Data Services
Devices
IdM
Digital Identity
IdM の役割• Digital Identity の Provisioning
• Create• Retrieve(Read)• Update• Delete
• 最新状態の維持
IdM の目的• ただしく認証、ただしく認可• 適切なアクセス権管理• リソースの保護• セキュリティポリシーの管理
Users, Devices, ServicesGroupsAttributes
8
従来の ID 管理 ~ Domain-based Identity Management
ドメイン境界( Firewall )
• ドメイン境界内の保護• ID による企業統制• セキュリティポリシーの集中管理
Active Directory ドメイン
9
IdP の乱立問題をどう回避したのか?回避は ........ できませんでした ...そのかわり ... こんな方法で対応してきました
同期
Metadata
業務 業務業務
統合認証
業務 業務
認証サーバー
10
組織間、企業間連携のニーズサービス( Service Provider: SP )には、認証と認可がつきもの
Active Directory ドメイン
• ドメインの異なる組織、企業間でサービス連携を行いたい
• Active Directory 以外のドメインとの連携
Active Directory ドメイン
連携
11
パブリッククラウド連携へのニーズサービス( Service Provider: SP )には、認証と認可がつきもの
Active Directory ドメイン
• 企業向け SaaS ( Office 365, GAE, Saleceforce など)• SNS との連携
Web Service
Web Service
Web Service
Web Service
Web Service
Web Service
Web Service
Salesforce.com
Google.com
office365
Facebook.com
Outlook.com
12
新たな課題
IdP ( Identity Provider )として• 企業ドメインの ”境界” を超えたリソース利用• パブリッククラウド上での Identity 管理
SP ( RP )として• 複数企業の受け入れ方法(コードを書き換える !? )• テナントごとのアクセス管理• 受け入れ企業の Digital Identity 管理、保守
• 「パスワード管理なんてやってられっか ! 」
13
Identity Federation Model
IdP ( CP) SP ( RP )
• ドメインベースモデルの大いなる拡張 !• ドメイン外サービスとの連携• 認証と認可の分離( ID とリソースが同一ドメイン内でなくてもよい)
WHO AM I?
PROVES WHO SHE IS
CLAIMS
認証 認可同一人物
14
クレーム ベースの認証と認可
IdP (認証) SP (認可)
クレーム ベース の認証と認可IdP :ユーザー認証、デバイス認証を行いトークン(アサーション)を発行SP :トークンから本人を識別し、ロールを決定してアクセスを認可する
業務
認証
トークン トークンユーザー情報
利用者
ロール管理簿
トークンを解析• 本人識別• ロール決定
信頼クレームを格納
プロトコルが存在する
属性ストア
15
Token
アクセス権はロールによって決定される
SP (認可)
業務 ロール管理簿
トークンを解析• 本人識別• ロール決定
IdP (認証)
ユーザー情報
属性ストア
• ロールを決定するための「クレーム」は SP が提示する• アプリケーションには「ロール」決定のためのロジックを実装
Claims
name
company
title
署名
値
値
値
値
提示
16
WS-Fed
アイデンティティフェデレーションのメリット• ドメイン( Firewall )を超えたリソースの利用• 以下の2要素が一致しており、相互に信頼関係が成立していれば連携が可能
• プロトコル( SAML 2.0 、 WS-Federation 、 WS-Trust ) & プロファイル• トークン(アサーション)のフォーマット( SAML 1.1 、 SAML 2.0 )
• IdP の違い(認証方式の違い)がアプリケーションに影響しない
A 社 IdP
B 社 IdP
C 社 IdP
ロール管理簿
Security Token Service ( STS )
STS : Security Token Service
SP 側は STS に IdP を登録。 STS が IdP の違いを吸収する。必要なクレームは SP 側が IdP に提示する。
STS
STS
STS
SAML 2.0
SAML 2.0
SAML 2.0
WS-Fed WS-FedCRM
17
トークンのやり取り
AD FS ( STS )を使用した ID フェデレーションの例
Active Directory ドメイン
業務サービス
複製
VPN
業務サービス
クラウド上の業務サービス
クラウド上の業務サービス
AD FS
(STS)
ID は一元管理、 SSO
AD on IaaS
STS
STS
STS
Domain-Based Identity Management モデルの延長でしかない
18
Identity の中心をパブリッククラウドへIdM as a Service
Network
Data Services
Devices
IdM
Digital Identity
CoreIO Web Service
Web Service
Web Service
• マルチテナント• シンプルな共通管理インターフェース• 外部 IdP との連携
• スケーラビリティ• オンプレミスとの連携• セキュアな ID 管理
19
Identity Solution: Cloud Single Sign-on with Access Control
3rd Party Services
Apps in Azure
Windows Azure Active Directory
Access Control
Directory
Graph API
Auth. Library
Windows ServerActive DirectoryorShibbolethorPingFederate
Windows AzureActive
Directory
Sync
連携
IdM as a Service• マルチテナント• 認証 HUB (トークンゲートウェイ)• ID ストア• REST API
LIVE
External IdP
20
WAAD ー Directory Service• ユーザー情報の格納庫• ユーザー認証• トークン発行 Directory
Service
ID Store
Federation
Gateway( STS )
Graph( REST
API )
アカウント情報へのアクセス• ユーザー• グループ• デバイス Application
Web Service
SAML2.0WS-Fed
• Windows Server Active Directory• Shibboleth• PingFederate
SAML 2.0 (限定的サポート)WS-Fed
IdPS
TS
OAuth 2.0
21
マルチテナント対応アプリケーションの実現http://msdn.microsoft.com/en-us/library/windowsazure/dn151789.aspx
22
• Windows Azure Active Directory の追加認証要素として実装• サービスプロバイダーから透過的
• 携帯電話(スマートフォン)を使用することで認証チャネルを分離• 現時点では WAAD で認証を行うユーザーにのみ適用可能
• ブラウザ利用のみ SP
WAAD ー Directory Service 2 要素認証(プレビュー)
Directory Service
ApplicationWeb Service
PhoneFactor
IE ID/Password
Token
Access
Token
#
23
Identity Solution: Cloud Single Sign-on with Access ControlWAAD - Access Control Service
• 外部 IdP から SP に対するトークンゲートウェイ• オンプレミス Active Directory との ID フェデレーション
ApplicationDirectoryService
WAAD
Access Control Service
WS-Fed
OpenID Oauh 2.0
IdP
STS
STS
WS-Fedトークン変換
OAuth Wrap
Application
SP
IdP
WS-Fed をサポートしている IdP
24MICROSOFT CONFIDENT IAL – INTERNAL ONLY
25
Access ControlGraph API
• API 認可( OAuth 2.0 )による情報保護• RESTful Graph API を使用した Directory へのアクセス
• JSON/XML で応答を受信• API エコノミーを支えるアセット
Graph API EndpointLOB
Request w/ JWT
Windows AzureActive
Directory
OAuth 2.0 Endpoint
Token Request
Response
JWT
Check
対称キーや証明書を共有
26MICROSOFT CONFIDENT IAL – INTERNAL ONLY
Top-Level Resources Query Results URI (for contoso.com)
Top-level resourcesReturns URI list of the top-level resources for directory services (also listed below)
https://graph.windows.net/contoso.com/
Company information Returns company information
https://graph.windows.net/contoso.com/TenantDetails
Contacts Returns contact information https://graph.windows.net/contoso.com/Contacts
Users Returns user information https://graph.windows.net/contoso.com/Users
Groups Returns group data https://graph.windows.net/contoso.com/Groups
RolesReturns all roles that have users or groups assigned to them
https://graph.windows.net/contoso.com/Roles
27MICROSOFT CONFIDENT IAL – INTERNAL ONLY
まとめ
IdMaaS は
• 企業ドメインの枠を超えて、あらゆる Digital Identity と あらゆる Service を結び付け、パブリッククラウド上の様々なサービス( API )とともに “ API エコノミー” を構成します
• 将来、企業のソーシャルグラフとなり、 Enterprise Social Network を実現します
28
まとめ
業務システム
Employees
Customers
Partners IdMaaS
Enterprise Social Network
IdMaaS は企業組織のソーシャルグラフである
顧客サービス
IdM
Digital Identity