プライベートクラウドとパブリッククラウドを連携する認証基盤の構築とその応用 T3-205 日本マイクロソフトクラウド＆ソリューションビジネス統括本部中村仁吏セッションの目的 Session Objectives セッションの目的クラウドサービスにおいての ID の位置づけの理解既存の認証基盤との統合方法の紹介クラウド対応として認証基盤に求められる要件の確認アジェンダクラウド連携の課題と要件認証基盤の課題を解決 AD FS によるシングルサインオンの実現と適正なアクセス制御 AD FS を利用した連携 ID 情報の統合管理まとめクラウド連携による ID 情報の課題 ID が基盤となるクラウドクラウドサービス DLP ウィルス/ スパム対策データ管理アプリケーション ID 情報監査アクセス制御 ID 情報の氾濫 ID の氾濫 ID 情報の共通化 ID 情報の連携クラウドサービスクラウドサービスアプリケーションクラウドサービスアプリケーションアプリケーション ID 情報 ID 情報 ID 情報インターネット社内利用者アプリケーション利用者認証基盤クラウド連携で認証基盤に求められる要件シングルサインオンによる認証適正な権限管理シンプルなユーザー管理認証基盤の課題を解決 Active Directory Federation Services(AD FS) によるシングルサインオンの実現と適正なアクセス制御クラウド連携で認証基盤に求められる要件シングルサインオンによる認証適正な権限管理シンプルなユーザー管理 AD FS を利用した認証の流れ組織間でトークンを利用したシングルサインオンによる認証を実現 Active Directory AD FS サーバーフェデレーション信頼 ③チケット（トークン）発行を要求 ⑤トークンの送信利用者アプリケーション利用者 ①アプリケーションにアクセス AD FS サーバーアプリケーションアプリケーション提供者（クラウドサービス） AD FS を利用したシングルサインオンによる認証フェデレーション信頼の設定送付されてくるトークンの正当性を検証トークンに含まれる情報やキーを共有自組織で利用している ID ストアからチケットを取得 Active Directory Active Directory ライトウェイトディレクトリサービス SQL Server クラウド連携で認証基盤に求められる要件シングルサインオンによる認証適正な権限管理シンプルなユーザー管理トークンによる権限情報の提供トークンは複数のクレームから構成クレームは Active Directory などの属性情報アプリケーションはクレームから ID 情報とそれ以外の情報の取得が可能アプリケーション側でクレームを利用した権限の設定クレーム 1 クレーム 2 トークンクレーム 3 ... クレーム n デジタル署名名前グループ役職トークンの生成元を示し、改ざんを防ぐ認証基盤の課題を解決 AD FS を利用した連携 AD FS が連携するアプリケーション Office SharePoint Server 2007 / 2010, WSS 3.0 外部ユーザーへのサイト公開 Exchange Server 2010 予定表, 連絡先の共有 Active Directory Rights Management Services(AD RMS) 外部ユーザーへの RMS ドキュメントの公開 Office 365 Windows Azure Windows Identity Foundation で独自認証・認可ロジックを実装したアプリケーション AD FS が連携するフェデレーションサーバー HP IceWall Sun OpenSSO Novell Access Manager CA SiteMinder CA Federation Manager 標準規格へのアライン SAML 1.1 / 2.0 WS-Federation WS-Trust AD FS を利用したクラウドサービスとの連携 Office 365 との連携例社内認証基盤 AD FS 2.0 サーバーフェデレーション信頼 Microsoft Federation Gateway 利用者アプリケーション利用者シングルサインオンによるアクセス認証基盤の課題を解決 ID 情報の統合管理クラウド連携で認証基盤に求められる要件シングルサインオンによる認証適正な権限管理シンプルなユーザー管理社内の ID 情報の管理ユーザーアカウントの適正な管理サービスを利用するユーザーアカウントの作成退社などに伴うユーザーアカウントの削除ゴーストアカウントによる不正アクセスへの対応迅速な人事情報の適用人事情報をユーザー属性に反映組織の情報をグループオブジェクトに適用最新の情報を提供する事でユーザーの生産性を向上 Forefront Identity Manager 2010 の利用 Forefront Identity Manager 2010(FIM 2010) とは社内に存在する様々な ID 情報を一元化し統合的に管理 ID 情報のライフサイクル管理を自動化ルールに基づいた ID 管理環境を提供削除退職作成入社人事異動更新ロール変更パスワードリセット権限リクエスト/ 承認 FIM 2010 を利用した ID 管理社内に存在する様々な ID ストアの ID 情報を一元管理社員情報 ID 情報に加工 FIM ID 管理ポータル Active Directory 人事システム様々な ID ストア FIM 2010 を利用した ID 管理属性情報に基づいた自動的なグループのメンバ管理ワークフローによるグループ参加申請ポータル / Outlook からの申請および承認 Sales Group 承認承認依頼ユーザー承認者承認依頼承認 1 FIM 2010 4 メンバ追加 2 3 Sales Group のファイルサーバー Sales Group アクセス可能 FIM 2010 を利用した ID 管理パスワード忘却時のセルフリセット秘密の質問を使用したセルフリセットログオン画面から直接リセット可能出題数 / 必須回答数などは FIM ワークフローが制御 ID 管理を含めたクラウドサービスとの連携 Office 365 との連携例社内 Active Directory AD FS サーバー人事システム利用者アプリケーション利用者フェデレーション信頼 Microsoft Federation Gateway シングルサインオンによるアクセスまとめセッションのまとめ Session wrap up セッションの目的クラウドサービスにおいての ID の位置づけの理解クラウドサービスにおいても ID は基盤となる情報 AD FS により ID 以外にもアクセス制御に利用できる情報の提供が可能既存の認証基盤との統合方法の紹介既存の認証基盤にはより適正な管理が求められるクラウド対応として認証基盤に求められる要件の確認シングルサインオンによる認証適正なアクセス制御シンプルなユーザー管理リファレンス機能概要 Active Directory http://www.microsoft.com/japan/windowsserver2008/r2/technolo gies/ad-main.mspx Technet ライブラリ AD フェデレーションサービス http://technet.microsoft.com/ja-jp/library/cc736690(WS.10).aspx Forefront Identity Manager 2010 製品ホームページ http://www.microsoft.com/japan/forefront/identitymanager/defa ult.mspx Microsoft Forefront TechCenter http://technet.microsoft.com/ja-jp/forefront/default.aspx ご清聴ありがとうございました T3-205 アンケートにご協力ください