アイデンティティ プロバイダーとの 連携手法 Tsuyoshi Matsuzaki (Microsoft, Japan) Manabu Kondo (Ping Identity, Japan) Microsoft Architect Forum 2013 1 本セッションの位置づけ 「SaaS としての アイデンティティ プロバイダーの役割」 前セッション IT Pro、SI エンジニア (アーキテクト) にとっての 認証・認可の動向と技術 本セッション 「アイデンティティ プロバイダーとの 連携手法」 上記技術を活用したシステム (アプリケーション) 構築 の立場から解説 2 Agenda 3 Domain-based IdM から Federation Model へ Web 標準がベース もはや事実上のデファクトへ (Google, Facebook, twitter, mixi 等) 多数のコピー, 使いまわし ただし、すべてが解決された わけではない ! (今後も進化 . . .) 認証 認可 IdP(CP) SP(RP) CLAIMS クレームベースのフェデレーション Microsoft Architect Forum 2013 4 利用者にとって使いやすく ≠ 開発者にとって作りやすく 開発者にとってのハードルは、 むしろ 10 年前より各段にあがっている 開発の 1 要素から、より専門的な分野へ 高度化と分散化の同時進行 ~ 単一の技術はより高度化し、関心はより多様化へ 一般的な産業成熟の波 (今後もこの流れは続くであろう. . .) 5 アーキテクトにとって必要なスキル ~ すべての仕様、すべての実装を知る必要はない… 現実の理解と問題意識の共有 ネット上は、無駄な Spam, Malware, etc で溢れている. . . 各技術の背景にある課題と「何を解決するものか」の理解 トレンドの追跡 (将来、どこへ向かうのか) 6 Microsoft が提供する各開発技術と その使い分け 7 最新のプロジェクト・テンプレートが提供する フェデレーション開発ライブラリー (DotNetOpenAuth) OAuth, OpenID の認証・認可を扱うプロ トコル・ライブラリー ソーシャル・アイデンティティ系の認証・認可 連携であれば、これで充分 … ただし、WS-* の扱いは不可 (AD FS 連携も不可 !) Visual Studio 2012 の下記テンプレートで 使用可能 ASP.NET MVC 4 インターネット アプリケー ション ASP.NET Webフォーム ASP.NET Webサイト(Razor) プロジェクトは、複数の IdP に対応 8 開発者にとっての Windows Azure AD – Access Control STS によるアイデンティティ系処理分割 (モジュール化) 開発時のメリット アプリケーションは、単一 のプロトコル (WS-Fed) とセキュリティ・フォーマッ ト(RP ごとに選択可能) のみ を意識すれば良い IdPの変更 (追加など) に再 コンパイルは不要 WS-Fed (AD FS 2.0 -) にも 対応可能 クレームも変換 (特定 IdP に依存したコードを排除) 9 WS-Fed, WS-Trust の開発用に Windows Identity Foundation (WIF) を提供 DotNetOpenAuth に対し、WS-Fed, WS-Trust のプロトコル・ ライブラリー的性格 MS は、従来、これらのプロトコルに投資 (AD FS, ACS, など) .Net 4.5 で標準ライブラリーへ組み込み SSO 開発については、Non-Programming で利用可能 (Identity and Access Tool による構成ファイルへの反映) セキュリティ・フォーマットは、SAML Assertion に対応。 JWT を使用する場合は、別途のライブラリーを取得 今後は、Server-to-server 認証 (OAuth2) のライブラリーとし ても拡張 (現在、拡張ライブラリーとして別途提供) SharePoint 2013 用アプリ開発テンプレートでは、既に使用 10 シナリオ・ベースのヘルパー・ライブラリー Windows Azure Authentication Library (AAL) シナリオ・ベースの各種認証処理をヘルプ (Not a protocol library !) インタラクティブ UI によるトークン取得、User Credential 連携、 など Server-to-server 認証 (OAuth2) は、将来 WIF へ分離予定 特に、リッチ・クライアント (Non-Web クライアント) を対象 AAD (ACS, Directory 双方) 用 現在、Beta 版 11 Windows Azure AD – ディレクトリ (Directory) の開発者向けトピック SSO は「Microsoft ASP.NET Tools for Windows Azure Active Directory – Visual Studio 2012」を使用すると便利 本ツールを使用すると、RP のサーバー側の Provisioning を自動化 Identity and Access Tool でも SSO 可能 Windows Azure AD Graph LOB アプリ (ユーザー一覧の表示、など) 管理アプリ (追加・変更・削除、同期機能、など) マルチテナント対応サービス構築など、応用的な開発にも対応 ただし、高度なスキル (ISV 向けエンドポイントの利用など) とセット アップ (Windows Azure Marketplace への製品登録) が必要 12 アイデンティティ連携開発の実例 ~ 仕組みを知れば、ここまでできる ! ~ 近藤 学(Ping Identity, Japan) 13 Office 365 との認証連携例 Ping Identity Managing Director of APAC & Japan 近藤学 14 14 Copyright ©2013 Ping Identity Corporation. All rights reserved. 弊社のご紹介 認証連携・アイデンティティセキュリティの専門企業 15 • 2002年に会社設立、本社は米国デンバーで世界各地に拠点 • 日本では、2012年4月から、一次代理店を通じて販売開始 • 業界標準プロトコルの仕様策定に関与 • 今年2月、米フォーブス誌で米国で最も有望な企業の56位に選出 • その他、最近も続々と新たな連携/パートナーシップを発表 • Dropbox、Box、Concur、Cisco • フォーチュン100の45社が顧客 Copyright ©2013 Ping Identity Corporation. All rights reserved. 900 以上の顧客と、280 以上のパートナー Fortune 100(米国の売上高トップ100企業)の 45 社にご採用いただいています。 主なお客様 主な SaaS パートナー 280 以上のパートナーシップ 16 Copyright ©2013 Ping Identity Corporation. All rights reserved. What Ping Identity Does 18 Copyright ©2013 Ping Identity Corporation. All rights reserved. 認証連携ソフトウェア「PingFederate」 既存の ID 体系/製品の 統合や変更は不要 IdP Active Directory Web SSO から API to API の認証連携まで一元管理 100% 業界標準に準拠した 「Identity Bridge」 LDAP 各社 ID 管理製品 パートナー企業 19 SAML 非対応の社内 Web アプリとも簡単に連携 SP Office365 Dynamics CRM SAML / OpenID / OAuth WS-Federation / WS-Trust クラウドサービス 社内業務アプリ クラウドサービス B2B ポータル SNS など B2C ポータル Copyright ©2013 Ping Identity Corporation. All rights reserved. これからご覧頂くデモについて • IdP –OpenID プロバイダ (mixi) –Facebook • SP –Office 365 20 Copyright ©2013 Ping Identity Corporation. All rights reserved. 2 OpenID Provider 1 3 6 4 5 DirSync Active Directory 21 Copyright ©2013 Ping Identity Corporation. All rights reserved. Thank you Visit www.pingidentity.jp 22 22 Copyright ©2013 Ping Identity Corporation. All rights reserved. この中で、本日紹介した各技術をサンプル・コード付きで掲載します http://www.buildinsider.net/ 新時代を切り開くソフト開発者のためのサイト (株)デジタル アドバンテージ主催 日本マイクロソフト(株) 他 協賛23
© Copyright 2024 ExpyDoc
