Windows Azure ハンズオントレーニング

1

セミナー＆ハンズオン ラボ シリーズ

シングル・サインオンを使用したクラウド アプリケーション開発編

2

アジェンダ

❖クレームベース認証とシングル・サインオン (Web SSO)

❖Windows Azure アクセス制御サービス (ACS) を使った連携

❖クレーム情報の受け渡し❖企業向け連携シナリオと

Active Directory Federation Service (AD FS) 2.0

❖Windows Azure Active Directory

クレームベース認証とシングル・サインオン (Web SSO)

アプリ A アプリ B

アイデンティティ・プロバイダー(IdP)

認証要求( リダイレクト )

接続

権限がない！

ユーザーへのログイン画面表示

サインイン 成功 ! ( 認証チケット発行 )

リダイレクト

認証チケット発行！

Relying Party(RP, 証明書利用者アプリ )

・・・

接続

既にログイン済 ! ( 認証チケット発行済 )

リダイレクト

認証チケット発行！

OAuth, OpenID など

クレームベース認証とシングル・サインオン (Web SSO)

アプリ A アプリ B

アイデンティティ・プロバイダー(IdP)

・・・

Microsoft Account(Windows Live ID)

SkyDriveOutlook.co

m(Hotmail)

Windows Azure アクセス制御サービス (ACS) を使った連携

ACS

STS

STS

IdPMicrosoft Account,Google,Facebook など

WEBアプリ

(RP)

情報の整形

情報

情 報

情報

信頼

WIF ： Windows Identity Foundation (Library, API)STS ： Security Token Service

WIF

ACS ： Windows Azure アクセス制御サービス

Windows Azure アクセス制御サービス (ACS) を使った連携

❖アプリケーション側の変更をせずに、アイデンティティ プロバイダーの切り替えが可能( 制御の分離 )❖リリース後に、認証基盤を別途管理・変更

❖複数のアイデンティティ プロバイダーへの対応が可能

❖クレーム情報の柔軟な変換が可能❖認証基盤ごとの煩雑化を隠ぺい

(RP は、 ACS さえ理解すれば良い )

など

クレーム情報の受け渡し

ACS

IdP

WEBアプリ

(RP)メール

アドレス

ID

名前

「 ID 」 , 「名前」 , 「メールアドレス」を使ったプログラム

クレーム情報の受け渡し

ACS

別のIdP

WEBアプリ

(RP)E- メール

ID

名前

「 ID 」 , 「名前」 , 「メールアドレス」を使ったプログラム

「 ID 」 , 「名前」 , 「メールアドレス」を使ったプログラム

バグ発生

クレーム情報の受け渡し

ACS

別のIdP

WEBアプリ

(RP)E- メール

ID

名前

「 ID 」 , 「名前」 , 「メールアドレス」を使ったプログラム

メールアドレス

クレーム情報の受け渡しの方針 ( 変換など ) を細かく制御可能

企業向け連携シナリオとActive Directory Federation Service 2.0

ACS

WEBアプリ

(RP)

情報の整形

信頼

WIF

AD

FS

2.0

AD

DS

情報の整形

信頼

相互信頼

Intranet

SAMLAssertion

Windows認証

Internet

Basic 認証やフォーム認証

SAMLAssertion

さまざまなシナリオへの対応

プロトコルは、

WS-Federation

Windows AzureVirtual Machines

今回のハンズオン・ラボの環境

Windows Server 2012(contoso-adfs.cloudapp.net)

Windows Azureアクセス制御

サービス

Windows AzureWeb Sites

Namespace A

Web App 1

AD DSAD FS

2.0

WIF

Custom code

Windows Azure

既に稼働済み

RP の設定 配置( アップロード )

名前空間の作成と設定

Windows Azure Active Directory (Preview)

❖ Identity as a Service❖契約ベースの IdP ( インストール不要 )❖マルチ テナント

❖さまざまな利用シーンへの対応❖さまざまなプロトコル サポート❖PHP, Java 開発環境への対応 ❖多要素認証

❖豊富な機能とユーティリティ❖管理 UI❖Graph API❖DirSync

❖統一的 ID 管理基盤❖Office 365, Dynamics CRM Online, Windows Intune

※ 現在、 Developer Preview 版です ( 今後、予告なく変更される可能性があります )

© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a

commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.