The Microsoft Conference 2014

【営業職・初心者歓迎】

ハイブリッドな認証基盤で生産性を高めるために必要な基礎知識知っていることを自慢したくなる「クレーム認証」「アイデンティティ フェデレーション」の世界

MN222

ROOM F

このセッションの対象は、

• IAM 初心者• 営業職

の方々です。

どのようなストーリーを展開するとIT部門の上司やお客様にIAMの重要性を理解していただけるか？についてお話します。

はじめに

サービスを使用するには

自分が”怪しい訪問者”でないことを証明しなければならない

どうやって自分自身を証明する？

本人が知っていること 本人が持っているもの

Smart

card

Smart

PhonePC

本人の特性など

場所行動履歴

第三者による認証

IDPass

word

秘密の質問

生体情報

どこまでやれば完璧なのかが悩ましい....

友達かどうか

目標の設定が重要

• 確実に本人であることが保障できること（認証）• 利用者の権限を明確にできること（認可）

この2つを、できるだけシンプルに実現することが重要

• 「認証」は唯一の認証基盤が行う• 「認可」はアプリケーションが行う

その結果、生産性が高まる

企業が IT に投資してでも実現したいのは

生産性向上自由度の高い働き方

リスク低減（IT ガバナンス）

場所 時間 ツール

紛失 漏洩 煩雑

つまりニーズは？

許可された場所で、（基本的に）時間を問わず、適切なユーザーが、適切なデバイスから、常に同じアプリケーションを利用して、与えられた権限の範囲でデータを参照、編集する

以上の動作をストレスなく遂行できることが生産性を高める。IT は上記を実現できるインフラストラクチャーでなければならない。

フレキシブルなワークスタイル

People-Centric IT という考え方

デバイス アプリケーション データユーザーID

Active Directory 製品群

• 「利用者」が「ツール」を使って「業務」を遂行するプロセスからストレスを取りのぞくには、IAM が重要だということ

Identity and Access Management

ツール 業務利用者

Office 365 の認証/認可ってどうなっている？

Azure Active DirectoryWS-Federation

• Office 365 の認証基盤（IdP, Identity Provider）は Azure Active Directory

である。• WS-Federation による信頼関係が存在する

ポータル

Exchange

Online

SharePoint

Online

Lync

Online

Azure Active Directory

portal.office.com

outlook.office365.com

login.microsoftonline.com

<テナント名>-my.sharepoint.com

Mail

Calender

連絡先（People）

タスク

Exchange 管理センター

ニュースフィード

OneDrice

サイト

Default

Admin（Office 365 管理センター）

WS-Federation

SharePoint 管理センター<テナント名>-admin.sharepoint.com

Lync 管理センター

admin0f.online.lync.com

WS-Federation により信頼関係が構築されているため、いずれか 1 つの URL にサインインすることで、他の URL に SSO できる。

社内のユーザー認証/認可と何が違うのか

Active Directoryドメインサービス

Azure Active Directory

業務サービス

Active Directoryドメイン

ADドメインに参加できない

ここで問題が起きます

• 認証は社内（Kerberos）で行いたい！

• Office 365 や Salesforce は Active Directory ドメインに参加できない！

矛盾

異なる組織間で認証情報を伝達する手段がないだろうか？

• 異なるIdP の ユーザーID を「同じユーザー」としてマッピングする

• 認証はオンプレミスで行う• クレームを使って認証結果を伝達、ID マッピング

「ID フェデレーション（連携）」というテクノロジー

Active Directoryドメインサービス

Active Directoryフェデレーションサービス

Azure AD

ID同期

パスワードはオンプレミスで集中管理

クレーム

フェデレーション信頼

社内セキュリティ ドメイン

IT が直面している課題

業務アプリ業務サービス

業務データ

SaaS

モバイルデバイス

社内 PC

IT ガバナンスLOB

IT ガバナンス

Azure AD とWindows Server AD の役割の違い

Azure Active Directory

Windows Server Active Directory

業務サービス運用管理サービス業務データ

社内 PC社員

• 社内リソースに対する IT ガバナンス

• クラウドサービスの認証基盤

• 他社サービスへの HUB

SaaS LOB

Kerberosの世界

HTTPの世界

16

注意

AD ドメインの構成

Windows ログオンが可能

グループポリシーが利用できる

社内ガバナンス

Office 365 や Windows Intuneなどが使用しているマルチテナント型の認証サービス

AD ドメインは作れない

Windows ログオンできない

クラウドサービスの認証 HUB

IDaaS / IDMaaS

Windows Server AD Microsoft Azure AD

両者は全く別物です!!!

Windows Server AD

Azure Active Directory

業務サービス運用管理サービス

業務データ

社内 PC社員

両者を結合させて１つのディレクトリ（Hybrid IdP）化する

SaaS

• オンプレミス IdPへのゲートウェイ

セキュリティポリシーを集中管理

LOB

Kerberosの世界

HTTPの世界

18

Windows Server AD

Azure Active Directory

業務データ

社員

モバイルデバイス認証も Active Directory で

SaaS

LOB

HTTP の世界

モバイルデバイス

19

実は AD FS にも限界がありまして...（汗）

Active Directoryドメインサービス

Active Directoryフェデレーションサービス

Azure AD

• AD FS から見えるのは、Azure AD まで• Azure AD から先の制御は Azure ADで行う

クラウドに出て行けるかどうかまでを判定

AD FS の限界というよりは、「フェデレーション」テクノロジーの限界

AD FSからは見えない

20

Windows Server AD

Azure Active Directory

業務データ

社員

クラウドサービスへのアクセス制御～Azure Active Directory Premium

SaaS

LOB

HTTP の世界

＋

同期

グループに対してアクセス権を設定

モバイルデバイスグループ情報を同期

アクセスのためのユーザーグループを管理

21

Windows Server AD

Azure Active Directory

業務データ

社員

認証を強化するには～マルチファクター認証

HTTP の世界

モバイルデバイス

Microsoft Azure AD

MFA Provider

＋

22

Windows Server AD

Azure Active Directory

業務データ

社員

モバイルデバイスのガバナンス（セキュリティポリシー適用）は？

HTTP の世界

モバイルデバイス

Microsoft Azure AD

MFA Provider

Microsoft

Intune

PO

LICY

＋

23

Windows Server AD

Azure Active Directory

業務データ

社員

組織を超えたデータガバナンス～Azure Rights Management Services

HTTP の世界

モバイルデバイス

Microsoft

Intune

PO

LICY

＋

Azure RMS

Security Policy

Policy

Policy

PolicyMicrosoft Azure AD

MFA Provider

24

まとめ

People-Centric IT という考え方

デバイス アプリケーション データユーザーID

ツール 業務利用者

確実な識別 デバイスの識別

MDM

アプリ配信 暗号化と権限管理

多要素認証

Workplace Join

Windows Intune

RDS / RD Client Azure RMS

認証、証跡、アクセス制御（Identity Provider）Windows Server Active Directory

Microsoft Azure Active Directory Premium

Azure RemoteApp※Preview

UserID/Pass

完璧なモビリティを実現するために～ Enterprise Mobility Suite（EMS）

Enterprise Mobility Suite

Azure AD Premium

Windows Intune

Azure AD RMS

クラウド上の高機能なIdP と多要素認証

モバイルデバイス管理（MDM）

暗号化/権限管理

＋ Microsoft Forefront Identity Manager

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on

the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

健保番号/免許証番号/住民票

入国

日本国政府

出国

発行

パスポート• 発行国• 氏名• 有効期限• 旅券番号• 写真• 出国印

米国政府本人• 顔• 指紋

入国申請書• 滞在期間• 滞在先

パスポート・・

空港

信頼

ビザ• 滞在可能期間

信頼

入国

日本国政府

出国

発行

パスポート• 発行国• 氏名• 有効期限• 旅券番号• 写真• 出国印

米国政府

本人• 顔• 指紋

入国申請書• 滞在期間• 滞在先

パスポート・・

健保番号/免許証番号/住民票

信頼

ビザ• 滞在期間

IdP/CP RP/SP

空港

信頼

リソース

署名

主体セキュリティトークン

/アサーションクレームクレーム

クレーム

クレームクレーム

署名

オーソリティ（各種機関）

オーソリティ（各種機関）

どこからでもサインイン（ログオン）できる 同じ ID を使ってサインインできる