SaaS としての IdM の役割 ~マイクロソフトの IdMaaS 構想 日本マイクロソフト株式会社 エバンジェリスト 安納 順一 http://blogs.technet.com/junichia/ Facebook :Junichi Anno Microsoft Architect Forum 2013 1 Consumer Enterprise Windows Azure Active Directory Microsoft Account (Windows Live ID) Microsoft 全製品 Windows 8 Microsoft 全 OS Sync Sync Windows Server Active Directory Metadata Sync HR 他社 IdP Identity Technology の課題 • • • • ROI(投資収益率) が見えずらい アーキテクチャが複雑でエンジニアがいない 導入コストと管理コストが結構大きい “変化”が外部に与える影響が大きい Forefront Identity Manager OTP ldap NTLM radius SMB IRM nis OAuth セキュリティトークン 802.1x 同期 ACL メタディレクトリ SAML WS-Federation Kerberos フェデレーション Nis+ ACS CHAP PIN クレーム認証 Provisioning Active Directory Service for UNIX 統合認証 マルチマスター ACE SCIM パスワード 認可 OpenID ICカード 信頼関係 IdM 信頼関係 証明書 NDS SSO ACE アサーション 2要素認証 OpenID Connect WS-Trust ADSI 3 Agenda & Takeaway 2000 年以降、ID 管理(IdM)の手法に”大きな変化”はありませんでした。しかし パブリッククラウドの登場により、あらゆる面で“大きな変化”を強いられようと しています。 それには ID 管理基盤自身のみならず、アプリケーション側の変革も含まれていま す。 本セッションでは、 • • • IdM に求められる役割の変化 ドメインベース管理では対応が難しいこと Enterprise なパブリッククラウドにおける IdM as a Service の重要性 を通して、パブリッククラウドへの移行初期から完成期に向けた IdM のあり方に ついてお話します。 4 Windows Azure Active Directory ~2013年4月リリース IdM as a Service • マルチテナント • 認証 HUB(トークンゲートウェイ) • ID ストア External IdP • REST API LIVE 連携 Sync Windows Server Active Directory or Shibboleth or PingFederate Access Control Directory Graph API Windows Azure Auth. Library Active Directory 3rd Party Services Apps in Azure 5 Windows Azure Active Directory definitely not ! Windows Server Active Directory (on premise / on Azure IaaS) 6 CoreIO(Core Infrastructure Optimization) • ID を中心に、すべてのリソースを結合 • End to End のセキュリティポリシー • IdM により関係性が管理されている IdM の役割 Network Devices IdM • Digital Identity の Provisioning • Create Users, Devices, Services • Retrieve(Read) Groups • Update Attributes • Delete • 最新状態の維持 IdM の目的 Digital Identity Data Services • • • • ただしく認証、ただしく認可 適切なアクセス権管理 リソースの保護 セキュリティポリシーの管理 7 従来の ID 管理 ~ Domain-based Identity Management • ドメイン境界内の保護 • ID による企業統制 • セキュリティポリシーの集中管理 ドメイン境界(Firewall) Active Directory ドメイン 8 IdP の乱立問題をどう回避したのか? 回避は........できませんでした... そのかわり...こんな方法で対応してきました 統合認証 同期 認証サーバー 業務 業務 Metadata 業務 業務 業務 9 組織間、企業間連携のニーズ サービス(Service Provider: SP)には、認証と認可がつきもの • ドメインの異なる組織、企業間でサービス連携を行いたい • Active Directory 以外のドメインとの連携 Active Directory ドメイン Active Directory ドメイン 連携 10 パブリッククラウド連携へのニーズ • 企業向け サービス(Service SaaS(Office 365, GAE, Saleceforce など) Provider: SP)には、認証と認可がつきもの • SNS との連携 Web Service Web Service Salesforce.com Web Service office365 Web Service Google.com Web Service Facebook.com Web Service Web Service Outlook.com Active Directory ドメイン 11 新たな課題 IdP(Identity Provider)として • 企業ドメインの ”境界” を超えたリソース利用 • パブリッククラウド上での Identity 管理 SP(RP)として • 複数企業の受け入れ方法(コードを書き換える!?) • テナントごとのアクセス管理 • 受け入れ企業の Digital Identity 管理、保守 • 「パスワード管理なんてやってられっか!」 12 Identity Federation Model • ドメインベースモデルの大いなる拡張! • ドメイン外サービスとの連携 • 認証と認可の分離(IDとリソースが同一ドメイン内でなくてもよい) 認可 認証 同一人物 IdP(CP) PROVES WHO SHE IS SP(RP) CLAIMS WHO AM I? 13 クレーム ベース の認証と認可 IdP :ユーザー認証、デバイス認証を行いトークン(アサーション)を発行 SP :トークンから本人を識別し、ロールを決定してアクセスを認可する クレーム ベースの認証と認可 IdP(認証) 信頼 クレームを格納 ユーザー 情報 トークン トークン SP(認可) 業務 ロール 管理簿 トークンを解析 • 本人識別 • ロール決定 属性ストア 利用者 プロトコルが存在する 14 アクセス権はロールによって決定される • ロールを決定するための「クレーム」は SP が提示する • アプリケーションには「ロール」決定のためのロジックを実装 Token IdP(認証) Claims mail 値 ユーザー 情報 属性ストア SP(認可) 値 name 値 company 値 title 提 示 業務 ロール 管理簿 トークンを解析 • 本人識別 • ロール決定 署名 15 アイデンティティフェデレーションのメリット • ドメイン(Firewall)を超えたリソースの利用 • 以下の2要素が一致しており、相互に信頼関係が成立していれば連携が可能 • プロトコル(SAML 2.0、WS-Federation、WS-Trust)& プロファイル • トークン(アサーション)のフォーマット(SAML 1.1、SAML 2.0) • IdP の違い(認証方式の違い)がアプリケーションに影響しない C 社 IdP B 社 IdP A 社 IdP Security Token Service(STS) SP 側は STS に IdP を登録。STS が IdP の違いを吸収する。 必要なクレームは SP 側が IdP に 提示する。 CRM ロール 管理簿 Domain-Based Identity Management モデルの延長でしかない Active Directory ドメイン トークンの やり取り 業務サービス クラウド上の 業務サービス クラウド上の 業務サービス IdM as a Service CoreIO Network Devices IdM Digital Identity Data Services Windows Azure Active Directory IdM as a Service • マルチテナント • 認証 HUB(トークンゲートウェイ) • ID ストア External IdP • REST API LIVE 連携 Sync Windows Server Active Directory or Shibboleth or PingFederate Access Control Directory Graph API Windows Azure Auth. Library Active Directory 3rd Party Services Apps in Azure 19 WAAD ー Directory Service • ユーザー情報の格納庫 • ユーザー認証 • トークン発行 Directory Service Graph アカウント情報への (REST API) アクセス • ユーザー • グループ • デバイス ID Store Federation Gateway (STS) SAML2.0 WS-Fed OAuth 2.0 Application Web Service SAML 2.0(限定的サポート) WS-Fed STS IdP • • • Windows Server Active Directory Shibboleth PingFederate 20 マルチテナント対応アプリケーションの実現 http://msdn.microsoft.com/en-us/library/windowsazure/dn151789.aspx 21 WAAD ー Directory Service 2要素認証(プレビュー) • Windows Azure Active Directory の追加認証要素として実装 • サービスプロバイダーから透過的 • 携帯電話(スマートフォン)を使用することで認証チャネルを分離 • 現時点では WAAD で認証を行うユーザーにのみ適用可能 • ブラウザ利用のみ Token Directory Service SP Token Access IE ID/Password PhoneFactor # Application Web Service 22 WAAD - Access Control Service • 外部 IdP から SP に対するトークンゲートウェイ • オンプレミス Active Directory との ID フェデレーション OpenID WAAD Application IdP STS Directory Service Oauh 2.0 WS-Fed トークン 変換 WS-Fed SP OAuth Wrap STS IdP WS-Fed をサポートしている IdP Application Access Control Service 23 24 Graph API • API 認可(OAuth 2.0)による情報保護 • RESTful Graph API を使用した Directory へのアクセス • JSON/XML で応答を受信 • API エコノミーを支えるアセット 対称キーや証明書を共有 OAuth 2.0 Endpoint Graph API Endpoint Check Token Request JWT Request w/ JWT Response LOB Windows Azure Active Directory 25 Top-Level Resources Query Results URI (for contoso.com) Top-level resources Returns URI list of the top-level resources for directory https://graph.windows.net/contoso.com/ services (also listed below) Company information Returns company information https://graph.windows.net/contoso.com/Tenant Details Contacts Returns contact information https://graph.windows.net/contoso.com/Contac ts Users Returns user information https://graph.windows.net/contoso.com/Users Groups Returns group data https://graph.windows.net/contoso.com/Groups Roles Returns all roles that have users or groups assigned to them https://graph.windows.net/contoso.com/Roles 26 まとめ IdMaaS は • 企業ドメインの枠を超えて、あらゆる Digital Identity と あらゆ る Service を結び付け、パブリッククラウド上の様々なサービス (API)とともに “API エコノミー” を構成します • 将来、企業のソーシャルグラフとなり、Enterprise Social Network を実現します 27 まとめ IdMaaS は企業組織のソーシャルグラフである Enterprise Social Network Partners IdMaaS 業務 システム IdM Customers Digital Identity Employees 顧客 サービス 28
© Copyright 2024 ExpyDoc
