Post on 28-May-2015
2011.06.03
Naohiro Fujie
Microsoft MVP for Identity Lifecycle Manager
twitter : @phr_eidentity
Blog IdM 実験室 : http://idmlab.eidentity.jp
マイクロソフト の アイデンティティ 関連技術概要
1
これまで学術的なイメージが強く、エンタープライズ分野では登場の機会が少なかったアイデンティティ・フェデレーションやプライバシへの取組みに関連する 技術がクラウドの台頭を一つのきっかけとして身近なものとなってきています。 マイクロソフトも既にエンタープライズに広く浸透している Active Directory を中心としてそれらの技術を展開してきており、本資料ではその概要を知っていただくことを目的としています。
はじめに
2
根底に流れるものVision, Principle / The Laws of IdentityArchitecture / Identity MetasystemSolutions, Products
ユースケース社内ユーザが社外サービスを利用するコンシューマ向けサービスを広く利用してもらう高信頼性への取り組み
Contents
3
Vision, Principle
• The Laws of Identity
Architectur
e
• Identity Metasystem
Solutions,
Product
s
• AD FS2.0, WIF, U-Prove, etc…
根底に流れるもの
4
Vision, Principle / The Laws of Identity
http://www.identityblog.com/wp-content/images/2009/06/7_Laws.htm
5
# 原則 内容1 ユーザによる制御と同意 ユーザの同意があった場合のみ、アイデンティティ
情報を開示すべきである2 限定された用途で最低限の公開 開示するアイデンティティ情報を最小限にし、情報
へのアクセスを適切に制限するべきである3 正当な相手のみへの情報開示 必要かつ正当な相手のみにアイデンティティ情報を
開示すべきである4 方向付けられたアイデンティ
ティ全方向(公開)と単方向(非公開)の両方のアイデンティティ情報をサポートすることで、検索性を維持しつつ不必要な名寄せを防止する
5 複数のオペレータと技術の相互運用性
複数のアイデンティティ・プロバイダによって実行される複数のアイデンティティ技術の相互運用性を保持すべきである
6 人間との統合 アイデンティティ情報を保護するため、利用者をシステムのコンポーネントの一つとして定義し、明確なインターフェイスを策定すべきである
7 一貫性のあるユーザ・エクスペリエンス
様々な状況下において一貫性のあるユーザとテクノロジのインターフェイスを提供すべきである
Vision, Principle / The Laws of Identity
6
相互運用を行うためのアーキテクチャ
Architecture / Identity Metasystem
http://www.identityblog.com/stories/2005/07/05/IdentityMetasystem.htm
7
Security Token Service ( STS )セキュリティ・トークン を処理(発行/変換)On-Premise
AD FS 2.0 ( Active Directory Federation Service 2.0 )
Online / CloudACS v2 (Windows Azure Platform AppFabric Access
Control Service v2 )MFG (Microsoft Federation Gateway )
Identity Provider / Claim Provider
8
SAML 2.0 / ws-federation 等の Federation Protocol 対応
AuthN Authority として Active Directory を利用Attribute Authority として Active Directory /
SQL Server / LDAP を利用可能
AD FS 2.0
9
システムエンティティ
STSAD FS 2.0
Token 要求 認証オーソリティ
属性オーソリティ
AuthN
Claim 取得SecurityTokenユーザ
Web サーバ等
AD DS
AD DSSQL
LDAP
ws-federation / OAuth 2.0 / OpenID 等のFederation Protocol 対応
各種 Identity Provider から発行されたトークンを変換
ACS v2
10
システムエンティティ
ユーザWeb サーバ等
各種オンライン IdP
オンプレミス IdP( AD FS 2.0 )
カスタム IdP( OpenID )
STSACS v2
Token 要求Securit
yToken
Token 要求Securit
yToken
Microsoft Online Service 用の Federation Gateway
On-Premise の AD FS 2.0 との Federation 用
MFG
11Directory Store
AuthN Platform
Federation Gateway
Microsoft Identity Platform
AD FS 2.0
AD DS
同期
Federation
AD FS 2.0SAML 2.0 / IDP Lite, SP Lite, eGov 1.5
Windows Live vNext / IIW#12OAuth 2.0
Interoperability
12
Windows Identity Foundationws-federation / ws-trust 対応の token ハンドリン
グ ライブラリ各種 Extension ( 現状 Community Technology
Preview )Extension for SAML 2.0 protocolsExtension for OAuthExtension for U-Prove
Relying Party Library
13
Windows Identity Foundation
14
ASP.NET
Windows Identity Foundation
.NET Framework 4
クレーム取出しクレーム評価
各種処理ト
ーク
ン
各種 STSAD FS 2.0
ACS v2
ブラウザ
ASP.NETWeb アプリケーション
User Centric Identity / Minimal DisclosureCardSpaceU-Prove ( 現状 Community Technology Preview
)
Identity Selector
15
• ユーザ自身による提供する情報の選択・確認• より少ない情報の提供で高い信頼性を得る→ セキュリティ と プライバシの両立
オンプレミスクラウド連携
• 社内ユーザが社外サービスを利用する ( シングルサインオン )
オンライ
ンIdP 連携
• コンシューマ向けサービスを広く利用してもらう ( 他社オンライン ID でログオン )
高信頼性への取組
み
• 失業手当を申請する• オンライン オークションで車を売る
ユースケース
16
社内にある Active Directory で管理しているユーザでクラウド・サービスを利用するIdP : AD FS 2.0メール : Google Apps / GMail情報共有 : Office365 / SharePoint チームサイトSFA : salesforce.com CRM
17
社内ユーザが社外サービスを利用する
メール、カレンダー
情報共有
SFA
AD FS 2.0
Federation
AD DS SAML 2.0ws-federation
1. PC にログオンし、メールチェックを行う2. 取引の状況を確認する3. チームサイトでファイルを共有する
18
シナリオ
PC にログオンし、メールをチェックするブラウザを起動し、 GMail サイトへアクセス
19
① AD FS 2.0 へリダイレクト、認証に成功すると Token が発行される※Windows 統合認証 環境では認証画面は出ない
② Google Apps へ Token が POST されログイン できる
取引の状況を確認するそのままブラウザで salesforce.com へアクセスす
る
20
※ salesforce.com は SAML IdP Initiated POST bindingなので先に AD FS 2.0 で Token 発行が必要(ブラウザショートカットの工夫で対応可能)
チームサイトでファイルを共有するそのままブラウザで Office 365 へアクセスする
21
① Office 365 へのサインイン画面で社内のドメイン名を入力するとサインイン先( AD FS 2.0 )へのリンクが表示される
② AD FS 2.0 にリダイレクトされると既に認証されているのでそのまま Token が発行されて Office 365 へ POST されログオンできる
他社オンライン ID でサービスを利用してもらうアプリケーション( .NET / WIF on Windows
Azure )IdP : Facebook 、 Google 、 Yahoo! Japan
22
コンシューマ向けサービスを広く利用してもらう
SAML 2.0OpenIDOAuth
FederationFederation
ACS v2.NET / WIFアプリケーション
認証アイデンティティ情報提供
利用 ログイン
1. Facebook の アイデンティティ情報を利用してサービスを提供する
2. Google の アイデンティティ情報を利用してサービスを提供する
3. Yahoo! Japan のアイデンティティ情報を利用してサービスを提供する
23
シナリオ
Facebook へログインしてアプリケーションを利用
24
① .NET アプリケーションにアクセスすると ACS v2 のホームレルムディスカバリ(利用する IdP 選択)画面へリダイレクトされる
② Facebook を選択する
③ Facebook のログイン画面へリダイレクトされるのでログインする
25
④ Facebook の情報へのアクセスを許可
⑤ アプリケーションへ情報が渡される
Google へログインしてアプリケーションを利用
26
① .NET アプリケーションにアクセスすると ACS v2 のホームレルムディスカバリ(利用する IdP 選択)画面へリダイレクトされる
② Google を選択する
③ Google アカウントのログイン画面へリダイレクトされるのでログインする
27
④ Google アカウントの情報へのアクセスを許可
⑤ アプリケーションへ情報が渡される
Yahoo! Japan へログインしてアプリケーションを利用
28
① .NET アプリケーションにアクセスすると ACS v2 の ホームレルムディスカバリ(利用する IdP 選択)画面へ リダイレクトされる
② Yahoo Japan OpenID を選択する(カスタム設定が必要)
③ Yahoo! Japan のログイン画面へリダイレクトされるのでログインする
29
④ Yahoo! Japan アカウントの情報へのアクセスを許可
⑤ アプリケーションへ情報が渡される
より少ないアイデンティティ情報だけで高い信頼を得るための取組み( U-Prove 暗号化技術 )アプリケーション( .NET / WIF Extension for U-
Prove )Token の正当性の確認( U-Prove Agent )Claim Provider ( U-Prove Token Issuer )
30
高信頼性への取組み
U-Prove Agent.NET / WIF Extensionアプリケーション
利用 ログインClaim Provider
U-Prove Token
Proof Token
確認
1. 失業手当を申請する2. オンライン・オークションで車を売る
31
シナリオ
確かな身元情報を確認する
失業手当を申請する
32
① 申請サイトにアクセスする
② 身元保証を行うサイトを選択する(必要な情報を提供可能なサイトから選択する)
33
③ 情報提供元サイトへログオンする
④ 提供される情報を確認する ⑤ 確認済み情報として情報が提供される
確認済みマーク
オークション詐欺を防止するために身元を保証する
オンライン オークションで車を売る
34
① サイトにアクセスする
② 身元保証サイトへアクセスする(手動で情報を入力する場合はより詳細な情報が必要となる)
35
③ 身元保証を行うサイトを選択する(必要な情報を提供可能なサイトから選択する)
④ 情報提供元サイトへログオンする
⑤ 提供される情報を確認する
36
⑥ 確認済み情報として情報が提供される
エンタープライズの社内インフラのイメージが大きかったマイクロソフトのアイデンティティ関連技術ですが、標準技術への対応により各種サービスとの連携が出来るようになってきています
コンシューマ向けオンラインサービスや高い信頼性が要求される電子商取引などに対応する取組みも進んできています
まとめ
37
Kim Cameron 氏 bloghttp://www.identityblog.com/
日本マイクロソフト エバンジェリスト 安納氏 bloghttp://blogs.technet.com/b/junichia/
@IT記事:Windows で構築する、クラウド・サービスと社内システムの SSO 環境(以前書いた記事)http://
www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html
私の blog: IdM 実験室http://idmlab.eidentity.jp/
参考情報
38
4/21 インプレス R&D より「クラウド環境におけるアイデンティティ管理ガイドライン」が出てます。(日本ネットワークセキュリティ協会 アイデンティティ管理 WG著)
39
ちょこっと宣伝
https://store.libura-pro.com/purchase/index/id/1j05hhywem8h/pageNo/1