2011.06.03

Naohiro Fujie

Microsoft MVP for Identity Lifecycle Manager

twitter : @phr_eidentity

Blog IdM実験室 : http://idmlab.eidentity.jp

1

これまで学術的なイメージが強く、エンタープライズ分野では登場の機会が少なかったアイデンティティ・フェデレーションやプライバシへの取組みに関連する 技術がクラウドの台頭を一つのきっかけとして身近なものとなってきています。

マイクロソフトも既にエンタープライズに広く浸透しているActive Directoryを中心としてそれらの技術を展開

してきており、本資料ではその概要を知っていただくことを目的としています。

2

根底に流れるもの Vision, Principle / The Laws of Identity

Architecture / Identity Metasystem

Solutions, Products

ユースケース 社内ユーザが社外サービスを利用する

コンシューマ向けサービスを広く利用してもらう

高信頼性への取り組み

3

Vision, Principle

• The Laws of Identity

Architecture • Identity Metasystem

Solutions, Products

• AD FS2.0, WIF, U-Prove, etc…

4

http://www.identityblog.com/wp-content/images/2009/06/7_Laws.htm

5

# 原則 内容

1 ユーザによる制御と同意 ユーザの同意があった場合のみ、アイデンティティ情報を開示すべきである

2 限定された用途で最低限の公開

開示するアイデンティティ情報を最小限にし、情報へのアクセスを適切に制限するべきである

3 正当な相手のみへの情報開示 必要かつ正当な相手のみにアイデンティティ情報を開示すべきである

4 方向付けられたアイデンティティ

全方向（公開）と単方向（非公開）の両方のアイデンティティ情報をサポートすることで、検索性を維持しつつ不必要な名寄せを防止する

5 複数のオペレータと技術の相互運用性

複数のアイデンティティ・プロバイダによって実行される複数のアイデンティティ技術の相互運用性を保持すべきである

6 人間との統合 アイデンティティ情報を保護するため、利用者をシステムのコンポーネントの一つとして定義し、明確なインターフェイスを策定すべきである

7 一貫性のあるユーザ・エクスペリエンス

様々な状況下において一貫性のあるユーザとテクノロジのインターフェイスを提供すべきである 6

相互運用を行うためのアーキテクチャ

http://www.identityblog.com/stories/2005/07/05/IdentityMetasystem.htm 7

Security Token Service ( STS )

セキュリティ・トークン を処理（発行／変換）

On-Premise AD FS 2.0 ( Active Directory Federation Service 2.0 )

Online / Cloud ACS v2 (Windows Azure Platform AppFabric Access Control

Service v2 )

MFG (Microsoft Federation

Gateway )

8

SAML 2.0 / ws-federation 等のFederation Protocol対応

AuthN Authority として Active Directory を利用

Attribute Authority として Active Directory / SQL Server / LDAP を利用可能

9

システム エンティティ

STS AD FS 2.0

Token要求 認証 オーソリティ

属性 オーソリティ

Security Token ユーザ

Webサーバ等

AD DS

AD DS SQL

LDAP

ws-federation / OAuth 2.0 / OpenID 等のFederation Protocol対応

各種 Identity Provider から発行されたトークンを変換

10

システム エンティティ

ユーザ Webサーバ等

各種オンライン IdP

オンプレミス IdP ( AD FS 2.0 )

カスタム IdP ( OpenID )

STS ACS v2

Token要求

Security Token

Token要求

Security Token

Microsoft Online Service 用の Federation Gateway

On-Premise の AD FS 2.0 との Federation 用

11

Directory Store

AuthN Platform

Federation Gateway

Microsoft Identity Platform

AD FS 2.0

AD DS

AD FS 2.0 SAML 2.0 / IDP Lite, SP Lite, eGov 1.5

Windows Live vNext / IIW#12 OAuth 2.0

12

Windows Identity Foundation

ws-federation / ws-trust 対応の token ハンドリング ライブラリ

各種 Extension ( 現状 Community Technology Preview ) Extension for SAML 2.0 protocols

Extension for OAuth

Extension for U-Prove

13

14

ASP.NET

Windows Identity Foundation

.NET Framework 4

クレーム取出し

クレーム評価

各種処理

各種 STS AD FS 2.0

ACS v2

ブラウザ

ASP.NET Web アプリケーション

User Centric Identity / Minimal Disclosure CardSpace

U-Prove ( 現状 Community Technology Preview )

15

• ユーザ自身による提供する情報の選択・確認 • より少ない情報の提供で高い信頼性を得る → セキュリティ と プライバシの両立

オンプレミス

クラウド連携

• 社内ユーザが社外サービスを利用する （ シングルサインオン ）

オンライン

IdP 連携

• コンシューマ向けサービスを広く利用してもらう （ 他社オンライン ID でログオン ）

高信頼性

への取組み

• 失業手当を申請する

• オンライン オークションで車を売る

16

社内にある Active Directory で管理しているユーザでクラウド・サービスを利用する IdP : AD FS 2.0

メール : Google Apps / GMail

情報共有 : Office365 / SharePoint チームサイト

SFA : salesforce.com CRM

17

メール、カレンダー

情報共有

SFA

AD FS 2.0

Federation

AD DS SAML 2.0 ws-federation

1. PCにログオンし、メールチェックを行う

2. 取引の状況を確認する

3. チームサイトでファイルを共有する

18

PCにログオンし、メールをチェックする ブラウザを起動し、GMail サイトへアクセス

19

① AD FS 2.0 へリダイレクト、認証に成功するとToken が発行される ※Windows 統合認証 環境では認証画面は出ない

② Google Apps へ Token が POST されログイン できる

取引の状況を確認する そのままブラウザで salesforce.com へアクセスする

20

※ salesforce.com は SAML IdP Initiated POST binding なので先に AD FS 2.0 で Token 発行が必要（ブラウザ

ショートカットの工夫で対応可能）

チームサイトでファイルを共有する そのままブラウザで Office 365 へアクセスする

21

① Office 365 へのサインイン画面で社内のドメイン名を入力するとサインイン先（ AD FS 2.0 ）へのリンクが表示される

② AD FS 2.0 にリダイレクト

されると既に認証されているのでそのまま Token が発行されて Office 365 へ POSTされログオンできる

他社オンラインIDでサービスを利用してもらう アプリケーション（ .NET / WIF on Windows Azure )

IdP : Facebook、Google、Yahoo! Japan

22

SAML 2.0 OpenID OAuth

Federation Federation

ACS v2 .NET / WIF アプリケーション

認証 アイデンティティ情報提供

1. Facebook の アイデンティティ情報を利用してサービスを提供する

2. Google の アイデンティティ情報を利用してサービスを提供する

3. Yahoo! Japan のアイデンティティ情報を利用してサービスを提供する

23

Facebook へログインしてアプリケーションを利用

24

① .NET アプリケーションにアクセスすると ACS v2 のホームレルムディスカバリ（利用する IdP 選択）画面へリダイレクトされる ② Facebook を選択する

③ Facebook のログイン画面へリダイレクトされるのでログインする

25

④ Facebook の情報へのアクセスを許可

⑤ アプリケーションへ情報が渡される

Google へログインしてアプリケーションを利用

26

① .NET アプリケーションにアクセスすると ACS v2 のホームレルムディスカバリ（利用する IdP 選択）画面へリダイレクトされる ② Google を選択する

③ Google アカウントのロ

グイン画面へリダイレクトされるのでログインする

27

④ Google アカウントの情報へのアクセスを許可

⑤ アプリケーションへ情報が渡される

Yahoo! Japan へログインしてアプリケーションを利用

28

① .NET アプリケーションにアクセスすると ACS v2 の ホームレルムディスカバリ（利用する IdP 選択）画面へ リダイレクトされる ② Yahoo Japan OpenID を選択する（カスタム設定が必要）

③ Yahoo! Japan のログイン画面へリダイレクトされるのでログインする

29

④ Yahoo! Japan アカウントの情報へのアクセスを許可

⑤ アプリケーションへ情報が渡される

より少ないアイデンティティ情報だけで高い信頼を得るための取組み（ U-Prove 暗号化技術 ） アプリケーション（ .NET / WIF Extension for U-Prove )

Token の正当性の確認（ U-Prove Agent )

Claim Provider ( U-Prove Token Issuer )

30

U-Prove Agent .NET / WIF Extension アプリケーション

Claim Provider

U-Prove Token Proof Token

1. 失業手当を申請する

2. オンライン・オークションで車を売る

31

確かな身元情報を確認する

32

① 申請サイトにアクセスする

② 身元保証を行うサイトを選択

する（必要な情報を提供可能なサイトから選択する）

33

③ 情報提供元サイトへログオンする

④ 提供される情報を確認する ⑤ 確認済み情報として情報が提供される

確認済み マーク

オークション詐欺を防止するために身元を保証する

34

① サイトにアクセスする

② 身元保証サイトへアクセスする（手動で情報を入力する場合はより詳細な情報が必要となる）

35

③ 身元保証を行うサイトを選択

する（必要な情報を提供可能なサイトから選択する）

④ 情報提供元サイトへログオンする

⑤ 提供される情報を確認する

36

⑥ 確認済み情報として情報が提供される

エンタープライズの社内インフラのイメージが大きかったマイクロソフトのアイデンティティ関連技術ですが、標準技術への対応により各種サービスとの連携が出来るようになってきています

コンシューマ向けオンラインサービスや高い信頼性が要求される電子商取引などに対応する取組みも進んできています

37

Kim Cameron 氏 blog http://www.identityblog.com/

日本マイクロソフト エバンジェリスト 安納氏 blog http://blogs.technet.com/b/junichia/

@IT記事：Windows で構築する、クラウド・サービスと社内システムの SSO 環境（以前書いた記事） http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01

/adsf2sso01_01.html

私のblog：IdM実験室 http://idmlab.eidentity.jp/

38