Azure ADにみるエンタープライズ領域におけるフェデレーションとIDaaSの活用

MVP for Directory Services

Naohiro Fujie / @phr_eidentity / http://idmlab.eidentity.jp

1

自己紹介• Blog

• IdM実験室（Identityに関することを徒然と）：http://idmlab.eidentity.p

• Social

• Facebook Page : eIdentity：https://www.facebook.com/eidentity

• Interest

• Enterprise Identity Management

• 記事

• 企業のID管理／シングルサインオンの新しい選択肢「IDaaS」の活用

（http://www.atmarkit.co.jp/ait/articles/1508/07/news034.html）

• その他

• JNSA アイデンティティ管理WG（書籍：「クラウド環境におけるアイデンティティ管理ガイドライン」etc）

• OpenID Foundation Japan 教育・翻訳WG（OAuth/OpenID Connect仕様翻訳）、エンタープライズ・アイデン

ティティWG

2

Agenda• エンタープライズにおけるID管理の目的と動向

• 企業におけるID基盤のこれまで

• クラウド利用・グローバル化による変化

• 共通部分の外部化とIDaaSの可能性

• Azure Active Directory概要

• エンタープライズにおけるAzure ADの活用

• 共同利用アプリケーションとのID連携

• 企業内ID基盤とのID連携

• まとめ

3

エンタープライズにおけるID管理の目的と動向

• そもそもID基盤を導入したい訳ではない

• 大体のプロジェクトはこんな理由で始まる

• アプリケーションをグループ＆グローバル

で共同利用したい

• 監査に引っかかった

• クラウド・サービス

（Office365,GoogleApps,Salesforce等）

を使いたい

• BYODを導入したいが統制は効かせたい

4

運用効率化

セキュリティ 利便性向上

法令対応／内部統制

グローバル

クラウド

モバイル

企業におけるID基盤のこれまで

5管理者

源泉情報（人事DB等）

ID管理システム

統合認証システム

アプリケーション

- IDライフサイクル管理機能（人事業務/イベントに合わせたアカウント管理）

- ID同期機能（認証用IDの同期）

SSO

利用者

IDメンテナンス- PWDリセット- ID作成/更新/削除

IDメンテナンス- PWDリセット、- プロファイルメンテナンス

認証機能（統合認証システム）• ID/PWDなどでログオン制御を行う• アプリケーションの認証機能を外出し、共同で利用することでシングルサインオ

ンを実現する• 一般に、認証に使うID情報（社員番号やパスワード）はID管理システムを使っ

て管理される

認可機能（アプリケーション）• ログオン後、ユーザの権限（メニューを出す・出さない等）制御を行う• 一般に制御自体はアプリケーション側で行い、認可に必要な情報（役職や所属組

織）はID管理システムを使って管理される

ID同期機能（ID管理システム）• ID管理システムから認証システムへ、認証に使うID情報（社員番号やパスワー

ド）を同期する• ID管理システムからアプリケーションへ、認可に使うID情報（役職や所属組

織）を同期する

- ID同期機能（認可用IDの同期）

IDライフサイクル管理機能（ID管理システム）• ID情報を源泉（人事等）から取り込み、人事イベントに応じて認証システムや

各アプリケーションへ必要なID情報を同期する• 管理者や利用者自身でIDのメンテナンスを行う（パスワード・リセット、プロ

ファイルメンテナンス等）

ID（アイデンティティ）基盤

個別アプリケーションの運用に合わせたID配信ロジックの作り

こみ

アプリケーションと密結合した認証システム

クラウド利用・グローバル化による変化

管理者

源泉情報（人事DB等）

ID管理システム

統合認証システム

アプリケーション

SSO

利用者

親会社

管理者

ID管理システム

アプリケーション

SSO

利用者

源泉情報（人事DB等）

統合認証システム

関係会社

業務要件アプリケーションの共同利用

利用要件SSO継続

管理・運用要件共同利用アプリケーションへ

の複数社からのID同期

共通部分の外部化とIDaaSの可能性（Identity as a Service）

管理者

個社源泉情報（人事DB等）

個社ID管理システム

個社統合認証システム

個社アプリ

SSO

利用者

管理者

個社ID管理システム

個社アプリ

利用者

個社源泉情報（人事DB等）

個社統合認証システム

親会社 関係会社SaaSアプリ（共同利用）

SSO

IDaaS（共同利用）

ID連携（対APL）

ID連携（対認証SYS）

ID同期（対APL）

ID同期（対ID管理）

IDaaSに求められる要件個社のシステムや運用を極力変えずに、共同利用アプリケーションを各社が便利かつセキュアに利用できるようにすること⇒クラウド提供されるコントロールポイント

Azure ADの役割～ Identity as a Service

利用者の利便性と管理コスト低減

• セルフサービス

クラウドアプリへのアクセス制御

• コンディショナルアクセス

証跡管理

• 監査ログ

• セキュリティレポート

クラウド上のディレクトリサービス

• ユーザー管理

• 認証

• 特権管理

出典）日本マイクロソフト安納氏資料https://docs.com/junichia/3924

Azure AD Join

パスワード連携

OMA-DM

オンプレミス

SAML 2.0WS-FederationOpenID Connect

OAuth 2.0

Identity is control plane

ID

管理

認証

ActiveDirectory

ID Sync

SSO

業界標準プロトコルのサポート

他社 SaaS との ID 連携

Microsoft

Passport

Windows Hello

Windows 10Browser

セキュリティポリシー

アプリ配布/利用制限

暗号化,権限追跡

BYOD/CYOD

社内業務 SAML 2.0WS-Fed.

監査ﾛｸﾞ解析ｼｬﾄﾞｳIT検出

Azure Machine

Learning

Intune

Azure RMS

Subscription

RBA

C

…

Proxy

Connector

KCD

ID 同期

アクセス制御特権 ID 管理RBAC

多要素認証必須

アクセスOK

アクセス不可ID連携

Rights

Management

MDM/

MAM/

MCM

B2B

Azure IaaSDomain

Services

VPN

2015.10.27版

Kerberos

ldap

NTLM

Group Policy

SPNego

IWA

対個社の認証システム、ID管理システムのID連携・ID同期 対共同利用アプリケーションの

ID連携・ID同期

出典）日本マイクロソフト安納氏資料https://docs.com/junichia/3924

共同利用アプリケーションとのID連携（Federation／SSO）

•標準プロトコルに対応したアプリケーションとのID連携• SAML ： Google Apps / salesforce.com / Box etc

• OpenID Connect ： カスタムアプリ

• ws-federation ： Office 365 etc

• Federationの他、パスワードベースSSO（ブラウザプラグイン）にも対応

• 多数のアプリケーションへの対応• 2,500種類以上のプリセットされたアプリケーションからの選択

• カスタムアプリとの連携

• アプリケーションサーバ（WebLogic / WebSphere / Jbossなど）との基盤レベルでの連携を行うことで業務ロ

ジックとIDレイヤを分離10

共同利用アプリケーションとのID連携（ID同期／プロビジョニング）

• 主要なSaaSアプリケーションへのID同期／プロビジョニングに対応

• Google Apps / salesforce.com / Box etc

11

12

共同利用アプリケーションとのID連携（その他）

• 利用条件によるアクセスコントロール

• 条件

• 接続元ネットワーク

• 適用対象および適用除外対象

• グループ（属性ベースの動的グルーピングも可能）

• 制御内容

• 多要素認証の要求

• アクセスのブロック

13

営業部に所属する社員

社外からのアクセス

多要素認証の強制ブロック

No Yes

例）営業部以外の社員は社外からのアクセスをブロックする

14

企業内ID基盤とのID連携（ID連携、ID同期）

• Azure AD Connect• AD FSおよびAzure AD Syncを同梱したパッケージ

• AD FS（Active Directory Federation Services）• 社内のActive Directoryを使うws-federation / SAMLに対応したIdentity Provider

• Azure ADとはws-federationでID連携

• Azure AD Sync• 社内のActive DirectoryとAzure ADの間でID（ユーザ、グループ等）を同期

• 複数のフォレストからの同期が可能

• パスワードハッシュをリアルタイムでAzure ADへ同期可能15

各社で個社ADをこれまで通り管理するだけでユーザに影響を出さずに共同利用APLを利用可能

管理者

個社源泉情報（人事DB等）

個社ID管理システム

個社統合認証システム

個社アプリ

SSO

利用者

管理者

個社ID管理システム

個社アプリ

利用者

個社源泉情報（人事DB等）

個社統合認証システム

親会社 関係会社アプリケーション（共同利用）

SSO

IDaaS（共同利用）

ID連携（対APL）

ID連携（対認証SYS）

ID同期（対APL）

ID同期（対ID管理）

Azure AD

AD FS AD FS

Azure AD Sync

• 各社にAD FSを配置しAzure ADと連携• Azure AD Synで各社ADよりIDをAzure

ADへ同期⇒ユーザはこれまでと同じID/PWDで共同利用APLへログイン可能

まとめ

• グローバル化に伴い、グループ企業間での共同業務が増加している

• それに伴い、クラウド・サービスの活用が進んでいる

• IT管理者は変化に対応するためにリーズナブルなID基盤を用意する必

要がある

• ID連携をコア要素とするIDaaSがその課題への一つの解となりえる

• Azure ADをはじめとする各IDaaSはすでに必要な機能を実装しており、

既存の環境への影響を最低限にとどめつつクラウドへシフトできる17