クラウドサービスとしてのデジタル・アイディンティティ～ Windows Azure Active Directory の役割 ～

日本マイクロソフト株式会社エバンジェリスト

安納 順一http://blogs.technet.com/junichia/

Facebook :Junichi Anno

Agenda & Takeaway

パブリック クラウド上の Identity Provider（IdP）の役割とは？• IdP の乱立時代は続くのか？• IdP の乱立時代を回避する方法は用意されているのか？• パブリック クラウドは Digital Identity の利用に何をもたらすのか？

Windows Azure Active Directory とは？• マイクロソフト テクノロジーにおける位置づけ• 既存テクノロジーとの連携

業務

サービス あるところ IdP あり

FacebookWindows

LiveSalesforcegoogle

Microsoft

Office 365

サービス（Service Provider: SP）には、認証と認可がつきもの

業務 業務 業務 業務 業務 業務

業務業務業務業務

パブリッククラウドにもIdentity Provider の乱立時代が !?

オンプレミスでは”乱立”をどう回避したのか？

回避は........できませんでした...

そのかわり...こんな方法で対応してきました

同期

Metadata

業務 業務業務

統合認証

業務 業務

認証サーバー

クレーム ベースの認証と認可

IdP（認証） SP（認可）

クレーム ベース（認証と認可の分離）

IdP ：ユーザー認証、デバイス認証を行いトークン（アサーション）を発行

SP ：トークンから本人を識別し、ロールを決定してアクセスを認可する

業務

トークン トークンユーザー情報

利用者

ロール管理簿

トークンを解析• 本人識別• ロール決定

信頼クレーム

最近ではこんな方法も浸透しつつあります

クレームベースのメリット

• 以下の２要素が一致していれば、相互連携が可能• プロトコル• トークン（アサーション）のフォーマット

• IdP の違い（認証方式の違い）がアプリケーションに影響しない

A社 IdP

B社 IdP

Ｃ 社 IdPD社 IdP

業務 ロール管理簿

SAML 2.0 World

パブリック クラウド上の IdP はどうなっているのか？

• 孤立した IdP は少ない（ように思える）

• 共通の「認可」プロトコルによる ID Federation が可能(な場合が多い)

• SAML 2.0

• WS-Federation

• OpenID Connect

• “IdP の乱立”が問題になりずらくなりつつある

Identity Federation

A 社 SaaS

サービス

B社 IdP

トークン トークン

認証 HUB 的な役割

SaaS としての認証 HUB

• IdP と SP を相互に連携させるための HUB• マルチテナントに対応• 複数の認可プロトコルへの対応• 外部 IdP とのフェデレーション機能• サービスに対して「統一フォーマットのトークン」を生成

• アプリケーションは IdP を意識する必要がない

サービス

サービス

認証HUB

マイクロソフトの IdP プラットフォーム全体像

Windows Azure

Active Directory

Microsoft全製品

Microsoft全 OS

Windows 8

Microsoft Account

(Windows Live ID）

Consumer Enterprise

Metadata

Syn

c

Sync

他社 IdP

HR

Syn

c

Windows Server

Active Directory

（脱線）Active Directory の三形態

Windows Azure

Active Directory

(SaaS)

Windows Server

Active Directory

(On-premise)

Windows Server

Active Directory

on

Windows Azure VM

(IaaS)

3rd Party Services

Apps in Azure

Windows Azure Active Directory

Access Control

Directory

Graph API

Auth. Library

Windows ServerActive DirectoryorShibbolethorPingFederate

Windows Azure

Active Directory

Sync

連携

クラウドサービスに最適化された Identity Provider

• 認証HUB

• IDストア

LIVE

External IdP

Directory

• マルチテナントに対応したディレクトリサービス

• マイクロソフトの SaaS、Azure 上のアプリケーション、非マイクロソフトのクラウドサービスからも利用可能

• オンプレミスの Active Directory 等との同期、ID フェデレーションが可能

• ユーザー/デバイス管理のハブ機能を提供- 登録/削除/管理

• Office 365 との連携で二要素認証をサポート

二要素認証

Azure AD

Office365

①ID/

Passwo

rd

Azure AD

Office365

①ID/

Passwo

rd

User :どの IdP でログオンしてもアプリケーションが使える

Developer :Access Control 用のコードを1種類書けば自動的にすべての IdP に対応

Access

Control WS AD

ADFS 2.0

Access Control• 外部 IdP との ID フェデレーション

• OAuth 2.0• OpenID（※ OpenID Connect にも対応予定、時期未定）• SAML 2.0（予定）

• WS-Federation• オンプレミス Active Directory との ID フェデレーション

LOB

WAAD

コンシューマー向け IdP と企業向け IdP の違い (1)

• “本人”であることの担保

SNS

業務

厳格ではない（厳格にできない） 個人の特定、厳格な「認証」が命 ユーザー情報の最新性

SNSSNS

HR

業務 業務

Metadata

一意性を担保

最新性を担保

コンシューマー向け IdP と企業向け IdP の違い (2)

• 個人情報の利用ポリシー

利用者自身が決定 API認可

社内セキュリティポリシー 「業務システム」が何を使用するかを決める

サービスサービス

API

利用

認可

ユーザー

利用

ユーザー

特権

信頼関係

認証 認証

Graph API• RESTful Graph API を使用した Directory へのアクセス

• JSON/XMLで応答を受信

• Odata V3 にも対応

• API認可は OAuth 2.0 を使用

Graph API EndpointLOB

Request w/ JWT

Windows Azure

Active Directory

OAuth 2.0 EndpointToken Request

Response

JWT

Check

オンプレミス Active Directory との連携

Windows Azure

Active Directory

Windows Server

Active Directory

同期

Web Portal

• Digital Identity 情報の自動同期• Digital Identity のフェデレーションにより、オンプレミスとクラウドの SSO

Windows Intune

管理者 ：自動同期によりオンプレミス AD のみの管理でOKユーザー ：ID フェデレーションにより、オンプレミスとの SSO が可能

その他業務

Fed

era

tion

SSO World

• Graph API

• Windows PowerShell

• DirSync Tool

• Forefront Identity Manager

まとめ

• アイデンティティ フェデレーション を理解しましょう

– IdP の役割を SP から分離

• パブリック クラウドの IdP をうまく使うには

– アプリをクレームベースに対応

– アプリとの互換性（プロトコル、トークンフォーマット）を確認

– 運用をイメージする

• 自動化できる手法が用意されているか

• オンプレミスとの連携が可能か

• 常に ID 情報を最新の状態に保てるか