実験室 : - Kantara Initiativekantarainitiative.org/confluence/download/... · 2011. 5. 31. ·...
Transcript of 実験室 : - Kantara Initiativekantarainitiative.org/confluence/download/... · 2011. 5. 31. ·...
2011.06.03
Naohiro Fujie
Microsoft MVP for Identity Lifecycle Manager
twitter : @phr_eidentity
Blog IdM実験室 : http://idmlab.eidentity.jp
1
これまで学術的なイメージが強く、エンタープライズ分野では登場の機会が少なかったアイデンティティ・フェデレーションやプライバシへの取組みに関連する 技術がクラウドの台頭を一つのきっかけとして身近なものとなってきています。
マイクロソフトも既にエンタープライズに広く浸透しているActive Directoryを中心としてそれらの技術を展開
してきており、本資料ではその概要を知っていただくことを目的としています。
2
根底に流れるもの Vision, Principle / The Laws of Identity
Architecture / Identity Metasystem
Solutions, Products
ユースケース 社内ユーザが社外サービスを利用する
コンシューマ向けサービスを広く利用してもらう
高信頼性への取り組み
3
Vision, Principle
• The Laws of Identity
Architecture • Identity Metasystem
Solutions, Products
• AD FS2.0, WIF, U-Prove, etc…
4
http://www.identityblog.com/wp-content/images/2009/06/7_Laws.htm
5
# 原則 内容
1 ユーザによる制御と同意 ユーザの同意があった場合のみ、アイデンティティ情報を開示すべきである
2 限定された用途で最低限の公開
開示するアイデンティティ情報を最小限にし、情報へのアクセスを適切に制限するべきである
3 正当な相手のみへの情報開示 必要かつ正当な相手のみにアイデンティティ情報を開示すべきである
4 方向付けられたアイデンティティ
全方向(公開)と単方向(非公開)の両方のアイデンティティ情報をサポートすることで、検索性を維持しつつ不必要な名寄せを防止する
5 複数のオペレータと技術の相互運用性
複数のアイデンティティ・プロバイダによって実行される複数のアイデンティティ技術の相互運用性を保持すべきである
6 人間との統合 アイデンティティ情報を保護するため、利用者をシステムのコンポーネントの一つとして定義し、明確なインターフェイスを策定すべきである
7 一貫性のあるユーザ・エクスペリエンス
様々な状況下において一貫性のあるユーザとテクノロジのインターフェイスを提供すべきである 6
相互運用を行うためのアーキテクチャ
http://www.identityblog.com/stories/2005/07/05/IdentityMetasystem.htm 7
Security Token Service ( STS )
セキュリティ・トークン を処理(発行/変換)
On-Premise AD FS 2.0 ( Active Directory Federation Service 2.0 )
Online / Cloud ACS v2 (Windows Azure Platform AppFabric Access Control
Service v2 )
MFG (Microsoft Federation
Gateway )
8
SAML 2.0 / ws-federation 等のFederation Protocol対応
AuthN Authority として Active Directory を利用
Attribute Authority として Active Directory / SQL Server / LDAP を利用可能
9
システム エンティティ
STS AD FS 2.0
Token要求 認証 オーソリティ
属性 オーソリティ
Security Token ユーザ
Webサーバ等
AD DS
AD DS SQL
LDAP
ws-federation / OAuth 2.0 / OpenID 等のFederation Protocol対応
各種 Identity Provider から発行されたトークンを変換
10
システム エンティティ
ユーザ Webサーバ等
各種オンライン IdP
オンプレミス IdP ( AD FS 2.0 )
カスタム IdP ( OpenID )
STS ACS v2
Token要求
Security Token
Token要求
Security Token
Microsoft Online Service 用の Federation Gateway
On-Premise の AD FS 2.0 との Federation 用
11
Directory Store
AuthN Platform
Federation Gateway
Microsoft Identity Platform
AD FS 2.0
AD DS
AD FS 2.0 SAML 2.0 / IDP Lite, SP Lite, eGov 1.5
Windows Live vNext / IIW#12 OAuth 2.0
12
Windows Identity Foundation
ws-federation / ws-trust 対応の token ハンドリング ライブラリ
各種 Extension ( 現状 Community Technology Preview ) Extension for SAML 2.0 protocols
Extension for OAuth
Extension for U-Prove
13
14
ASP.NET
Windows Identity Foundation
.NET Framework 4
クレーム取出し
クレーム評価
各種処理
各種 STS AD FS 2.0
ACS v2
ブラウザ
ASP.NET Web アプリケーション
User Centric Identity / Minimal Disclosure CardSpace
U-Prove ( 現状 Community Technology Preview )
15
• ユーザ自身による提供する情報の選択・確認 • より少ない情報の提供で高い信頼性を得る → セキュリティ と プライバシの両立
オンプレミス
クラウド連携
• 社内ユーザが社外サービスを利用する ( シングルサインオン )
オンライン
IdP 連携
• コンシューマ向けサービスを広く利用してもらう ( 他社オンライン ID でログオン )
高信頼性
への取組み
• 失業手当を申請する
• オンライン オークションで車を売る
16
社内にある Active Directory で管理しているユーザでクラウド・サービスを利用する IdP : AD FS 2.0
メール : Google Apps / GMail
情報共有 : Office365 / SharePoint チームサイト
SFA : salesforce.com CRM
17
メール、カレンダー
情報共有
SFA
AD FS 2.0
Federation
AD DS SAML 2.0 ws-federation
1. PCにログオンし、メールチェックを行う
2. 取引の状況を確認する
3. チームサイトでファイルを共有する
18
PCにログオンし、メールをチェックする ブラウザを起動し、GMail サイトへアクセス
19
① AD FS 2.0 へリダイレクト、認証に成功するとToken が発行される ※Windows 統合認証 環境では認証画面は出ない
② Google Apps へ Token が POST されログイン できる
取引の状況を確認する そのままブラウザで salesforce.com へアクセスする
20
※ salesforce.com は SAML IdP Initiated POST binding なので先に AD FS 2.0 で Token 発行が必要(ブラウザ
ショートカットの工夫で対応可能)
チームサイトでファイルを共有する そのままブラウザで Office 365 へアクセスする
21
① Office 365 へのサインイン画面で社内のドメイン名を入力するとサインイン先( AD FS 2.0 )へのリンクが表示される
② AD FS 2.0 にリダイレクト
されると既に認証されているのでそのまま Token が発行されて Office 365 へ POSTされログオンできる
他社オンラインIDでサービスを利用してもらう アプリケーション( .NET / WIF on Windows Azure )
IdP : Facebook、Google、Yahoo! Japan
22
SAML 2.0 OpenID OAuth
Federation Federation
ACS v2 .NET / WIF アプリケーション
認証 アイデンティティ情報提供
1. Facebook の アイデンティティ情報を利用してサービスを提供する
2. Google の アイデンティティ情報を利用してサービスを提供する
3. Yahoo! Japan のアイデンティティ情報を利用してサービスを提供する
23
Facebook へログインしてアプリケーションを利用
24
① .NET アプリケーションにアクセスすると ACS v2 のホームレルムディスカバリ(利用する IdP 選択)画面へリダイレクトされる ② Facebook を選択する
③ Facebook のログイン画面へリダイレクトされるのでログインする
25
④ Facebook の情報へのアクセスを許可
⑤ アプリケーションへ情報が渡される
Google へログインしてアプリケーションを利用
26
① .NET アプリケーションにアクセスすると ACS v2 のホームレルムディスカバリ(利用する IdP 選択)画面へリダイレクトされる ② Google を選択する
③ Google アカウントのロ
グイン画面へリダイレクトされるのでログインする
27
④ Google アカウントの情報へのアクセスを許可
⑤ アプリケーションへ情報が渡される
Yahoo! Japan へログインしてアプリケーションを利用
28
① .NET アプリケーションにアクセスすると ACS v2 の ホームレルムディスカバリ(利用する IdP 選択)画面へ リダイレクトされる ② Yahoo Japan OpenID を選択する(カスタム設定が必要)
③ Yahoo! Japan のログイン画面へリダイレクトされるのでログインする
29
④ Yahoo! Japan アカウントの情報へのアクセスを許可
⑤ アプリケーションへ情報が渡される
より少ないアイデンティティ情報だけで高い信頼を得るための取組み( U-Prove 暗号化技術 ) アプリケーション( .NET / WIF Extension for U-Prove )
Token の正当性の確認( U-Prove Agent )
Claim Provider ( U-Prove Token Issuer )
30
U-Prove Agent .NET / WIF Extension アプリケーション
Claim Provider
U-Prove Token Proof Token
1. 失業手当を申請する
2. オンライン・オークションで車を売る
31
確かな身元情報を確認する
32
① 申請サイトにアクセスする
② 身元保証を行うサイトを選択
する(必要な情報を提供可能なサイトから選択する)
33
③ 情報提供元サイトへログオンする
④ 提供される情報を確認する ⑤ 確認済み情報として情報が提供される
確認済み マーク
オークション詐欺を防止するために身元を保証する
34
① サイトにアクセスする
② 身元保証サイトへアクセスする(手動で情報を入力する場合はより詳細な情報が必要となる)
35
③ 身元保証を行うサイトを選択
する(必要な情報を提供可能なサイトから選択する)
④ 情報提供元サイトへログオンする
⑤ 提供される情報を確認する
36
⑥ 確認済み情報として情報が提供される
エンタープライズの社内インフラのイメージが大きかったマイクロソフトのアイデンティティ関連技術ですが、標準技術への対応により各種サービスとの連携が出来るようになってきています
コンシューマ向けオンラインサービスや高い信頼性が要求される電子商取引などに対応する取組みも進んできています
37
Kim Cameron 氏 blog http://www.identityblog.com/
日本マイクロソフト エバンジェリスト 安納氏 blog http://blogs.technet.com/b/junichia/
@IT記事:Windows で構築する、クラウド・サービスと社内システムの SSO 環境(以前書いた記事) http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01
/adsf2sso01_01.html
私のblog:IdM実験室 http://idmlab.eidentity.jp/
38