Upload
junichi-anno
View
1.497
Download
8
Embed Size (px)
Citation preview
1
Microsoft Architect Forum 2013
SaaS としての IdM の役割~マイクロソフトの IdMaaS 構想
日本マイクロソフト株式会社エバンジェリスト
安納順一http://blogs.technet.com/junichia/
Facebook :Junichi Anno
Windows Azure
Active Directory
Microsoft全製品
Microsoft全 OS
Windows 8
Microsoft Account
(Windows Live ID)
Consumer Enterprise
Metadata
Syn
c
Sync
他社 IdP
HR
Syn
cWindows Server
Active Directory
3
Identity Technology の課題
• ROI(投資収益率) が見えずらい• アーキテクチャが複雑でエンジニアがいない• 導入コストと管理コストが結構大きい• “変化”が外部に与える影響が大きい
ldap
Kerberosnis Nis+
Active Directory
マルチマスター
Service for UNIX
統合認証
同期メタディレクトリ
ACL
ACE
ACE
2要素認証
証明書
IRM
ICカード
SSO
クレーム認証
フェデレーション
SAML
OpenID
OpenID ConnectWS-Trust
WS-Federation
CHAP802.1x
radius
OAuthNDS
Forefront Identity Manager
SCIM
信頼関係信頼関係
ACS IdM
パスワード
認可
セキュリティトークン
アサーション
PIN
OTP
NTLM
SMB
ADSI
Provisioning
4
Agenda & Takeaway
2000 年以降、ID 管理(IdM)の手法に”大きな変化”はありませんでした。しかしパブリッククラウドの登場により、あらゆる面で“大きな変化”を強いられようとしています。それには ID 管理基盤自身のみならず、アプリケーション側の変革も含まれています。
本セッションでは、
• IdM に求められる役割の変化• ドメインベース管理では対応が難しいこと• Enterprise なパブリッククラウドにおける IdM as a Service の重要性
を通して、パブリッククラウドへの移行初期から完成期に向けた IdM のあり方についてお話します。
5
3rd Party Services
Apps in Azure
Windows Azure Active Directory ~2013年4月リリース
Access Control
Directory
Graph API
Auth. Library
Windows ServerActive DirectoryorShibbolethorPingFederate
Windows Azure
Active Directory
Sync
連携
IdM as a Service• マルチテナント• 認証 HUB(トークンゲートウェイ)• ID ストア
• REST API
LIVE
External IdP
6
Windows Azure Active Directory
Windows Server Active Directory
(on premise / on Azure IaaS)
definitely not !
7
CoreIO(Core Infrastructure Optimization)• ID を中心に、すべてのリソースを結合• End to End のセキュリティポリシー• IdM により関係性が管理されている
Network
Data Services
Devices
IdM
Digital Identity
IdMの役割• Digital Identityの Provisioning
• Create
• Retrieve(Read)
• Update
• Delete
• 最新状態の維持
IdMの目的• ただしく認証、ただしく認可• 適切なアクセス権管理• リソースの保護• セキュリティポリシーの管理
Users, Devices, Services
Groups
Attributes
8
従来の ID 管理~ Domain-based Identity Management
ドメイン境界(Firewall)
• ドメイン境界内の保護• ID による企業統制• セキュリティポリシーの集中管理
Active Directory ドメイン
9
IdP の乱立問題をどう回避したのか?
回避は........できませんでした...
そのかわり...こんな方法で対応してきました
同期
Metadata
業務 業務業務
統合認証
業務 業務
認証サーバー
10
組織間、企業間連携のニーズサービス(Service Provider: SP)には、認証と認可がつきもの
Active Directory ドメイン
• ドメインの異なる組織、企業間でサービス連携を行いたい• Active Directory 以外のドメインとの連携
Active Directory ドメイン
連携
11
パブリッククラウド連携へのニーズ
サービス(Service Provider: SP)には、認証と認可がつきもの
Active Directory ドメイン
• 企業向け SaaS(Office 365, GAE, Saleceforce など)• SNS との連携
Web Service
Web Service
Web Service
Web
Service
Web
Service
Web Service
Web
Service
Salesforce.com
Google.com
office365
Facebook.com Outlook.com
12
新たな課題
IdP(Identity Provider)として• 企業ドメインの ”境界” を超えたリソース利用• パブリッククラウド上での Identity 管理
SP(RP)として• 複数企業の受け入れ方法(コードを書き換える!?)• テナントごとのアクセス管理• 受け入れ企業の Digital Identity 管理、保守
• 「パスワード管理なんてやってられっか!」
13
Identity Federation Model
IdP(CP) SP(RP)
• ドメインベースモデルの大いなる拡張!• ドメイン外サービスとの連携• 認証と認可の分離(IDとリソースが同一ドメイン内でなくてもよい)
WHO AM I?
PROVES WHO SHE IS
CLAIMS
認証 認可同一人物
14
クレーム ベースの認証と認可
IdP(認証) SP(認可)
クレーム ベース の認証と認可
IdP :ユーザー認証、デバイス認証を行いトークン(アサーション)を発行
SP :トークンから本人を識別し、ロールを決定してアクセスを認可する
業務トークン トークン
ユーザー情報
利用者
ロール管理簿
トークンを解析• 本人識別• ロール決定
信頼
クレームを格納
プロトコルが存在する
属性ストア
15
Token
アクセス権はロールによって決定される
SP(認可)
業務 ロール管理簿
トークンを解析• 本人識別• ロール決定
IdP(認証)
ユーザー情報
属性ストア
• ロールを決定するための「クレーム」は SP が提示する• アプリケーションには「ロール」決定のためのロジックを実装
Claims
name
company
title
署名
値
値
値
値
提示
アイデンティティフェデレーションのメリット• ドメイン(Firewall)を超えたリソースの利用• 以下の2要素が一致しており、相互に信頼関係が成立していれば連携が可能
• プロトコル(SAML 2.0、WS-Federation、WS-Trust)& プロファイル• トークン(アサーション)のフォーマット(SAML 1.1、SAML 2.0)
• IdP の違い(認証方式の違い)がアプリケーションに影響しない
A 社 IdP
B 社 IdP
C 社 IdP
ロール管理簿
Security Token Service(STS)
SP側は STSに IdPを登録。STS が IdPの違いを吸収する。必要なクレームは SP側が IdPに提示する。
CRM
トークンのやり取り
Active Directory ドメイン
業務サービス
クラウド上の業務サービス
クラウド上の業務サービス
Domain-Based Identity Management モデルの延長でしかない
IdM as a Service
Network
Data Services
Devices
IdM
Digital Identity
CoreIO
19
3rd Party Services
Apps in Azure
Windows Azure Active Directory
Access Control
Directory
Graph API
Auth. Library
Windows ServerActive DirectoryorShibbolethorPingFederate
Windows Azure
Active Directory
Sync
連携
IdM as a Service• マルチテナント• 認証 HUB(トークンゲートウェイ)• ID ストア
• REST API
LIVE
External IdP
20
WAAD ー Directory Service
• ユーザー情報の格納庫• ユーザー認証• トークン発行
Directory Service
ID Store
Federation
Gateway(STS)
Graph
(REST API)アカウント情報へのアクセス• ユーザー• グループ• デバイス Application
Web Service
SAML2.0
WS-Fed
• Windows Server Active Directory• Shibboleth• PingFederate
SAML 2.0(限定的サポート)WS-Fed
IdP
STS
OAuth 2.0
21
マルチテナント対応アプリケーションの実現
http://msdn.microsoft.com/en-us/library/windowsazure/dn151789.aspx
22
• Windows Azure Active Directory の追加認証要素として実装• サービスプロバイダーから透過的
• 携帯電話(スマートフォン)を使用することで認証チャネルを分離• 現時点では WAAD で認証を行うユーザーにのみ適用可能
• ブラウザ利用のみ SP
WAAD ー Directory Service 2要素認証(プレビュー)
Directory Service
Application
Web Service
PhoneFactor
IE ID/Password
Token
Access
Token
#
23
WAAD- Access Control Service
• 外部 IdP から SP に対するトークンゲートウェイ• オンプレミス Active Directory との ID フェデレーション
ApplicationDirectory
Service
WAAD
Access Control Service
WS-Fed
OpenID Oauh 2.0
IdP
STS
STS
WS-Fedトークン変換
OAuth
Wrap
Application
SP
IdP
WS-Fed をサポートしている IdP
24
25
Graph API
• API 認可(OAuth 2.0)による情報保護
• RESTful Graph API を使用した Directory へのアクセス
• JSON/XML で応答を受信
• API エコノミーを支えるアセット
Graph API EndpointLOB
Request w/ JWT
Windows Azure
Active Directory
OAuth 2.0 EndpointToken Request
Response
JWT
Check
対称キーや証明書を共有
26
Top-Level Resources Query Results URI (for contoso.com)
Top-level resources
Returns URI list of the top-level
resources for directory
services (also listed below)
https://graph.windows.net/contoso.com/
Company information Returns company informationhttps://graph.windows.net/contoso.com/Tenant
Details
Contacts Returns contact informationhttps://graph.windows.net/contoso.com/Contac
ts
Users Returns user information https://graph.windows.net/contoso.com/Users
Groups Returns group data https://graph.windows.net/contoso.com/Groups
Roles
Returns all roles that have
users or groups assigned to
them
https://graph.windows.net/contoso.com/Roles
27
まとめ
IdMaaS は
• 企業ドメインの枠を超えて、あらゆる Digital Identity と あらゆる Service を結び付け、パブリッククラウド上の様々なサービス(API)とともに “API エコノミー” を構成します
• 将来、企業のソーシャルグラフとなり、Enterprise SocialNetwork を実現します
28
まとめ
業務システム
Employees
Customers
Partners IdMaaS
Enterprise Social Network
IdMaaSは企業組織のソーシャルグラフである
顧客サービス
IdM
Digital Identity