ADFSによる認証の応用 株式会社アイ・ティ・フロンティア 株式会社ポータルアイランド 指崎則夫 登壇者紹介 現職 • 株式会社アイ・ティ・フロンティアから、株式会社ポータルアイランドに出向中 主な技術分野 • MCITP • Enterprise Administrator(Windows Server 2008) • Server Administrator(Windows Server 2008) • Database Administrator(SQL Server 2005) • MCSE • Microsoft Windows Server 2003 • MCTS • • • • Microsoft System Center Operations Manager 2007, Configuring Windows 7, Configuration Windows Server 2008 R2, Server Virtualization System Center Virtual Machine Manager 2008, Configuration • LPIC Level 2 ©Copyright IT Frontier Corporation 2011 ©Copyright Portalisland Corporation 2011 1 セッションの目的とゴール セッションの目的 • フェデレーション認証の概要を知る • ADFSを使った認証の概要を知る セッションのゴール • ADFSによる認証で、実際の利用イメージを理解いただく ©Copyright IT Frontier Corporation 2011 ©Copyright Portalisland Corporation 2011 2 フェデレーション認証とは 企業、学術機関など、異なる組織同士が、 それぞれ認証を行った結果をもとに、 相手に対してIdentity(ID)を保証する仕組み • 異なる組織間で、パスワードをやりとりしません。 • Webシングルサインオン、クラウドの認証で使われるケースが増 えています。 ©Copyright IT Frontier Corporation 2011 ©Copyright Portalisland Corporation 2011 3 クレームベースセキュリティ とは パスポートを使って、入国するのと似ています。 諸外国の入国審査は、 日本のパスポート発行機関を信頼する ②パスポート発行 ①本人証明とと もにパスポート 発行依頼 日本の パスポート発行 機関 ©Copyright IT Frontier Corporation 2011 ©Copyright Portalisland Corporation 2011 ③パスポート 提示 ⑤入国許可 ④ID情報を紐付ける 諸外国の 入国審査 4 ADFSとは Active Directory Federation Service • マイクロソフトにおけるフェデレーション認証およびクレームベース セキュリティの実装 • 現在は、バージョン2.0を提供中。 • ダウンロード先 http://www.microsoft.com/downloads/details.aspx?familyid=11 8C3588-9070-426A-B655-6CEC0A92C10B&displaylang=ja ©Copyright IT Frontier Corporation 2011 ©Copyright Portalisland Corporation 2011 5 ADFSによる クレームベースセキュリティ ③ID (クレーム) 情報 収集 アプリケーションは、 セキュリティトークンサービスを信頼する ④セキュリティ トークン発行 ②認証& ID証明依頼 セキュリティトー クンサービス =STS=ADFS ©Copyright IT Frontier Corporation 2011 ©Copyright Portalisland Corporation 2011 ⑤セキュリティ トークン提示 ⑦アクセス許可 ①アクセス アプリケーション ⑥ID情報を紐付ける 6 ADFSによる ID情報提供の基本パターン サービス提供側 ID情報の提供側 ADFS ①ID 情報 収集 Web アプリケーション ADFS ②セキュリティトー クン発行 ③セキュリティ トークン提示 ^o^ Active Directory ©Copyright IT Frontier Corporation 2011 ©Copyright Portalisland Corporation 2011 7 ADFSによる ID情報提供の応用パターン サービス提供側 ID情報の提供側 認可 情報 ADFS ①ID 情報 収集 ADFS ②セキュリティトー クン発行 ③認可 情報 追加 Web アプリケーション ④セキュリティ トークン提示 ^o^ Active Directory ©Copyright IT Frontier Corporation 2011 ©Copyright Portalisland Corporation 2011 8 応用パターンは どのように使える? ID情報の提供側 サービス提供側 頂いたIDを基に、認可情報の 照会をアプリケーションに実装 する手もあるけど。。。 ID情報だけ 出しますよ Web アプリケーション 利用認可はそちら で管理してね もちろん、そちらへ認可の申請 は出しますよ。 ©Copyright IT Frontier Corporation 2011 ©Copyright Portalisland Corporation 2011 フェデレーションの中で、認可情報を付加で きたらアプリケーションの実装を軽くできる! 9 応用パターンで 追加した信頼関係や設定 サービス提供側 ID情報の提供側 属性 認可 ストア 情報 要求プロバイ ダー信頼 ADFS 証明書 利用者 信頼 ADFS 証明書 利用者 信頼 Web アプリケーション こちらで認証しないように、Web.configを以下のように変更 Active Directory ©Copyright IT Frontier Corporation 2011 ©Copyright Portalisland Corporation 2011 <localAuthenticationTypes> <!-- add name="Integrated" page="auth/integrated/" /> <add name="Forms" page="FormsSignIn.aspx" /> <add name="TlsClient" page="auth/sslclient/" /> <add name="Basic" page="auth/basic/" / --> </localAuthenticationTypes> 10 応用パターンでの 情報のやり取り ID情報の提供側 ID情報を 収集 ID情報に応じ た認可情報を 収集 属性 認可 ストア 情報 要求プロバイ ダー信頼 ADFS 証明書 利用者 信頼 ID情報をActive Directoryから 取り出して発行 サービス提供側 ADFS 証明書 利用者 信頼 Web アプリケーション ID情報と認可情報をWebアプリケー ションへ発行 Active Directory ©Copyright IT Frontier Corporation 2011 ©Copyright Portalisland Corporation 2011 11 参考情報 Cloud で Active Directory を活用するには • http://www.slideshare.net/junichia/cloud-active-directory BoF-09 Silverlight and WIF /TechEd Japan 2010 • http://www.slideshare.net/naohiro.fujie/bof09-silverlight-andwif-teched-japan-2010 IdM実験室 • http://idmlab.eidentity.jp/ AD FS 2.0: How to Change the Local Authentication Type • http://social.technet.microsoft.com/wiki/contents/articles/ad-fs2-0-how-to-change-the-local-authentication-type.aspx Authentication Handler Overview • http://msdn.microsoft.com/en-us/library/ee895365.aspx ©Copyright IT Frontier Corporation 2011 ©Copyright Portalisland Corporation 2011 12 商標等について 会社名および製品名は、それぞれの会社の商標または登録商標で す。 ©Copyright IT Frontier Corporation 2011 ©Copyright Portalisland Corporation 2011 13
© Copyright 2024 ExpyDoc
