1

Microsoft Architect Forum 2013

SaaS としての IdM の役割～マイクロソフトの IdMaaS 構想

日本マイクロソフト株式会社エバンジェリスト

安納順一http://blogs.technet.com/junichia/

Facebook :Junichi Anno

Windows Azure

Active Directory

Microsoft全製品

Microsoft全 OS

Windows 8

Microsoft Account

(Windows Live ID）

Consumer Enterprise

Metadata

Syn

c

Sync

他社 IdP

HR

Syn

cWindows Server

Active Directory

3

Identity Technology の課題

• ROI（投資収益率） が見えずらい• アーキテクチャが複雑でエンジニアがいない• 導入コストと管理コストが結構大きい• “変化”が外部に与える影響が大きい

ldap

Kerberosnis Nis+

Active Directory

マルチマスター

Service for UNIX

統合認証

同期メタディレクトリ

ACL

ACE

ACE

2要素認証

証明書

IRM

ICカード

SSO

クレーム認証

フェデレーション

SAML

OpenID

OpenID ConnectWS-Trust

WS-Federation

CHAP802.1x

radius

OAuthNDS

Forefront Identity Manager

SCIM

信頼関係信頼関係

ACS IdM

パスワード

認可

セキュリティトークン

アサーション

PIN

OTP

NTLM

SMB

ADSI

Provisioning

4

Agenda & Takeaway

2000 年以降、ID 管理（IdM）の手法に”大きな変化”はありませんでした。しかしパブリッククラウドの登場により、あらゆる面で“大きな変化”を強いられようとしています。それには ID 管理基盤自身のみならず、アプリケーション側の変革も含まれています。

本セッションでは、

• IdM に求められる役割の変化• ドメインベース管理では対応が難しいこと• Enterprise なパブリッククラウドにおける IdM as a Service の重要性

を通して、パブリッククラウドへの移行初期から完成期に向けた IdM のあり方についてお話します。

5

3rd Party Services

Apps in Azure

Windows Azure Active Directory ～2013年4月リリース

Access Control

Directory

Graph API

Auth. Library

Windows ServerActive DirectoryorShibbolethorPingFederate

Windows Azure

Active Directory

Sync

連携

IdM as a Service• マルチテナント• 認証 HUB（トークンゲートウェイ）• ID ストア

• REST API

LIVE

External IdP

6

Windows Azure Active Directory

Windows Server Active Directory

(on premise / on Azure IaaS)

definitely not !

7

CoreIO（Core Infrastructure Optimization）• ID を中心に、すべてのリソースを結合• End to End のセキュリティポリシー• IdM により関係性が管理されている

Network

Data Services

Devices

IdM

Digital Identity

IdMの役割• Digital Identityの Provisioning

• Create

• Retrieve(Read)

• Update

• Delete

• 最新状態の維持

IdMの目的• ただしく認証、ただしく認可• 適切なアクセス権管理• リソースの保護• セキュリティポリシーの管理

Users, Devices, Services

Groups

Attributes

8

従来の ID 管理～ Domain-based Identity Management

ドメイン境界（Firewall）

• ドメイン境界内の保護• ID による企業統制• セキュリティポリシーの集中管理

Active Directory ドメイン

9

IdP の乱立問題をどう回避したのか？

回避は........できませんでした...

そのかわり...こんな方法で対応してきました

同期

Metadata

業務 業務業務

統合認証

業務 業務

認証サーバー

10

組織間、企業間連携のニーズサービス（Service Provider: SP）には、認証と認可がつきもの

Active Directory ドメイン

• ドメインの異なる組織、企業間でサービス連携を行いたい• Active Directory 以外のドメインとの連携

Active Directory ドメイン

連携

11

パブリッククラウド連携へのニーズ

サービス（Service Provider: SP）には、認証と認可がつきもの

Active Directory ドメイン

• 企業向け SaaS（Office 365, GAE, Saleceforce など）• SNS との連携

Web Service

Web Service

Web Service

Web

Service

Web

Service

Web Service

Web

Service

Salesforce.com

Google.com

office365

Facebook.com Outlook.com

12

新たな課題

IdP（Identity Provider）として• 企業ドメインの ”境界” を超えたリソース利用• パブリッククラウド上での Identity 管理

SP（RP）として• 複数企業の受け入れ方法（コードを書き換える!?）• テナントごとのアクセス管理• 受け入れ企業の Digital Identity 管理、保守

• 「パスワード管理なんてやってられっか!」

13

Identity Federation Model

IdP（CP） SP（RP）

• ドメインベースモデルの大いなる拡張!• ドメイン外サービスとの連携• 認証と認可の分離（IDとリソースが同一ドメイン内でなくてもよい）

WHO AM I?

PROVES WHO SHE IS

CLAIMS

認証 認可同一人物

14

クレーム ベースの認証と認可

IdP（認証） SP（認可）

クレーム ベース の認証と認可

IdP ：ユーザー認証、デバイス認証を行いトークン（アサーション）を発行

SP ：トークンから本人を識別し、ロールを決定してアクセスを認可する

業務トークン トークン

ユーザー情報

利用者

ロール管理簿

トークンを解析• 本人識別• ロール決定

信頼

クレームを格納

プロトコルが存在する

属性ストア

15

Token

アクセス権はロールによって決定される

SP（認可）

業務 ロール管理簿

トークンを解析• 本人識別• ロール決定

IdP（認証）

ユーザー情報

属性ストア

• ロールを決定するための「クレーム」は SP が提示する• アプリケーションには「ロール」決定のためのロジックを実装

Claims

mail

name

company

title

署名

値

値

値

値

提示

アイデンティティフェデレーションのメリット• ドメイン（Firewall）を超えたリソースの利用• 以下の２要素が一致しており、相互に信頼関係が成立していれば連携が可能

• プロトコル（SAML 2.0、WS-Federation、WS-Trust）& プロファイル• トークン（アサーション）のフォーマット（SAML 1.1、SAML 2.0）

• IdP の違い（認証方式の違い）がアプリケーションに影響しない

A 社 IdP

B 社 IdP

Ｃ 社 IdP

ロール管理簿

Security Token Service（STS）

SP側は STSに IdPを登録。STS が IdPの違いを吸収する。必要なクレームは SP側が IdPに提示する。

CRM

トークンのやり取り

Active Directory ドメイン

業務サービス

クラウド上の業務サービス

クラウド上の業務サービス

Domain-Based Identity Management モデルの延長でしかない

IdM as a Service

Network

Data Services

Devices

IdM

Digital Identity

CoreIO

19

3rd Party Services

Apps in Azure

Windows Azure Active Directory

Access Control

Directory

Graph API

Auth. Library

Windows ServerActive DirectoryorShibbolethorPingFederate

Windows Azure

Active Directory

Sync

連携

IdM as a Service• マルチテナント• 認証 HUB（トークンゲートウェイ）• ID ストア

• REST API

LIVE

External IdP

20

WAAD ー Directory Service

• ユーザー情報の格納庫• ユーザー認証• トークン発行

Directory Service

ID Store

Federation

Gateway（STS）

Graph

（REST API）アカウント情報へのアクセス• ユーザー• グループ• デバイス Application

Web Service

SAML2.0

WS-Fed

• Windows Server Active Directory• Shibboleth• PingFederate

SAML 2.0（限定的サポート）WS-Fed

IdP

STS

OAuth 2.0

21

マルチテナント対応アプリケーションの実現

http://msdn.microsoft.com/en-us/library/windowsazure/dn151789.aspx

22

• Windows Azure Active Directory の追加認証要素として実装• サービスプロバイダーから透過的

• 携帯電話（スマートフォン）を使用することで認証チャネルを分離• 現時点では WAAD で認証を行うユーザーにのみ適用可能

• ブラウザ利用のみ SP

WAAD ｰ Directory Service 2要素認証（プレビュー）

Directory Service

Application

Web Service

PhoneFactor

IE ID/Password

Token

Access

Token

#

23

WAAD－ Access Control Service

• 外部 IdP から SP に対するトークンゲートウェイ• オンプレミス Active Directory との ID フェデレーション

ApplicationDirectory

Service

WAAD

Access Control Service

WS-Fed

OpenID Oauh 2.0

IdP

STS

STS

WS-Fedトークン変換

OAuth

Wrap

Application

SP

IｄP

WS-Fed をサポートしている IdP

24

25

Graph API

• API 認可（OAuth 2.0）による情報保護

• RESTful Graph API を使用した Directory へのアクセス

• JSON/XML で応答を受信

• API エコノミーを支えるアセット

Graph API EndpointLOB

Request w/ JWT

Windows Azure

Active Directory

OAuth 2.0 EndpointToken Request

Response

JWT

Check

対称キーや証明書を共有

26

Top-Level Resources Query Results URI (for contoso.com)

Top-level resources

Returns URI list of the top-level

resources for directory

services (also listed below)

https://graph.windows.net/contoso.com/

Company information Returns company informationhttps://graph.windows.net/contoso.com/Tenant

Details

Contacts Returns contact informationhttps://graph.windows.net/contoso.com/Contac

ts

Users Returns user information https://graph.windows.net/contoso.com/Users

Groups Returns group data https://graph.windows.net/contoso.com/Groups

Roles

Returns all roles that have

users or groups assigned to

them

https://graph.windows.net/contoso.com/Roles

27

まとめ

IdMaaS は

• 企業ドメインの枠を超えて、あらゆる Digital Identity と あらゆる Service を結び付け、パブリッククラウド上の様々なサービス（API）とともに “API エコノミー” を構成します

• 将来、企業のソーシャルグラフとなり、Enterprise SocialNetwork を実現します

28

まとめ

業務システム

Employees

Customers

Partners IdMaaS

Enterprise Social Network

IdMaaSは企業組織のソーシャルグラフである

顧客サービス

IdM

Digital Identity