ROOM B
危険要因はどこにあるのか? 50% の企業がスマートフォーンによる BYOD を導入しようとしている * 61% の会社員が 1 つのデバイスをプライベートと業務に使用している ** >70% のネットワーク侵入が脆弱性や盗まれた認証情報によって実行されている *** * Gartner: Making Sense of Bring Your Own Device (BYOD) and Choose Your Own Device (CYOD) ** Forrester Research: BT Futures Report: Info workers will erase boundary between enterprise & consumer technologies, Feb. 21, 2013 *** Source Verizon 2013 data breach investigation report
Windows 10 ではパスワード無し運用が可能に パスワードは認証サーバーに送信される User ID/Password Token アタックを受けやすい! UserID Password PIN はローカル PC で使われる PIN Token Request Token UserID
Azure AD を数字で見てみよう 86% Fortune 500 社のうちマイクロソフトのクラウド (Azure, O365, CRM Online, Power BI) を使用している企業 1 兆サービスのリリース以降 こなしてきた認証数 Azure AD は >500 万の組織情報を管理している 5000 万 Office 365 の毎月のアクティブユーザー >50 億 Azure Active Directory に登録されているオブジェクト数 >10 億 Azure AD で毎日行われる認証の数 Office 365 や Microsoft Azure を利用している方は 知らない間に Azure Active Directory を使用しています!
ない
7:37 AM ドメインに参加している Windows デバイスを問わない
7:37 AM Kerberos チケット SAML トークン or アクセストークン
ID Pass TGT TGT TGT TGT TGT TGT
TGT TGT
SAML トークン or アクセストークン 7:37 AM
Active Directory ドメイン
http://myapps.microsoft.com/ Web page title https://webapps.microsoft.com/ ISV 様が自社開発 SaaS アプリをギャラリーに登録申請することもできます
SAML 対応アプリ アプリケーションのポータル ユーザーは サービスをクリッ クすれば SSO でアクセス可能 表示されるアプリは アクセス 権が与えられた もののみ Password を 入力するアプリ ID 同期 http://myapps.microsoft.com/ Web page title https://webapps.microsoft.com/ sign-in On-premise
ブラウザの専用アドイン ( マイクロソフト製 ) が パスワード入力を補助する アクセスパネルを経由しないと自動入力は不可 事前に ID とパスワードを設定 ( セルフサービス ) しておけば クリックだけで ID とパスワードを自動入力してくれる
Azure AD 側でアプリケーションにアクセス可能なユーザー ID を制限 ユーザー単位 グループ単位 ( 要 Azure AD Premium) アプリケーション単位 + グループ単位に 多要素認証の要否を設定可能
シングルサインオン URL アクセスパネルに登録したアプリケーション単位に SSO の URL を抜き出すことが可能 独自のポータルやデスクトップに URL を貼り付けられるので 毎回アクセスパネルを開く必要が無い https://myapps.microsoft.com/signin/facebook/09 a8533a84832fc98a5b7f567fa022e8 18
Sign-in to Application Sign-in to OS Sign-in to OS
WS-Federation フェデレーション信頼 ❹ アクセス パスワードはオンプレミスで管理 SAML トークン ❶ Sign-in Active Directory ドメイン
Sign-in to Application Sign-in to OS Sign-in to OS
ID / パスワード同期 複数の AD ドメインを Azure AD に集約できる 同期には Azure AD Connect ツール ( 無償 ) を使用 ID/Password 同期 ID のみ同期 フェデレーション信頼 22
Azure Active Directory の利用形態 Cloud Identity Synchronized Identity Federated Identity
一度ログオンすれば Azure AD のアプリケーションに SSO したい 一度ログオンすればオンプレミス AD のリソースにも SSO したい
Sign-in to Application 10 Sign-in to OS Sign-in to OS
Windows 10 は Active Directory ドメインまたは Azure AD テナントに参加できる 同時に参加することはできない グループポリシーの代わりに Microsoft Intune(MDM) でポリシー管理 セキュリティポリシー / アプリ配布 Intune Azure AD テナントにデバイス登録 Azure AD デバイス登録サービス (DRS) Azure AD
参加後の SSO の方式が大きく異なる AD Domain Join :Kerberos TGT Azure AD Join :Microsoft Passport セキュリティポリシーによるガバナンス AD Domain : グループポリシー Azure AD Join :MDM(Microsoft Intune)
TPM に格納したキーをベースに PRT( プライマリリフレッシュトークン ) を発行 PRT を Azure AD に提示すると アプリケーションにアクセスするためのアクセストークンを受け取ることができる ( クラウドレベルの Kerberos TGT) TPM からキーを取り出すには PIN の入力が必要 ハードウェア + PIN による認証 PIN 入力の代わりに Windows Hello( 生体認証 ) も利用可能 認証のためにパスワードは使用しない Windows 10 + Azure AD でサポート 独自開発で他のアイデンティティプロバイダーに対応することも可能 Windows 10 + Windows Server 2016 AD でサポート予定 TPM:Trusted Platform Module
のるしかない この BIG WAVE に! FIDO ALLIANCE By 2015, a large portion of Internet users will say goodbye to the old-school username and password in favor of methods such as biometrics and one-time secure keys, especially after the big players in the group begin to adopt the new standards. MICHAEL BARRETT, FIDO ALLIANCE PRESIDENT In 2015 it won t matter if hackers steal your password Source: http://www.marketwatch.com/story/in-2015-it-wont-matter-if-hackers-steal-your-password-2014-08-08
FIDO ALLIANCE Board level members
❺Key pair 生成 TPM Azure AD IdP Container ❻ 証明書署名要求 (CSR) ❼ 公開鍵証明書 Azure AD デバイス登録サービス (DRS) ❽ 登録完了
TPM Azure AD Sign-in Request ❹Request を公開鍵で確認し中身をチェック
Access to Application PRT( プライマリリフレッシュトークン ) を使用して アクセストークンを取得する ❶ アクセス ❺ アクセストークン送信 TPM ❷ トークン要求 Azure AD ❹ アクセストークン取得 ❸ プライマリリフレッシュトークン送信
Windows 10 とネイティブアプリケーション 通常 ネイティブアプリケーションは 隔離 されているため 他のアプリケーションとトークンを共有することができない Windows 10 ではネイティブアプリを Web Account Manager に対応させることで完全な SSO が可能 TPM Azure AD Native Application Web Account Manager Token Broker Token Broker plug-in Web Account Provider1 Token を持っていればそれを利用 持っていなければ要求
C#/JS ADAL.NET + Xamarin Apache Cordova Plugin for ADAL Web Account Manager Native ADAL Obj-C ADAL Android ADAL.NET ios Android
現時点では未提供 ADAL 対応アプリ間での SSO 多要素認証にも対応 Intune 連携によりデバイスの条件付きアクセスが可能
AD Domain Join グループポリシー ドメインに参加すると自動的に適用 従来通りの方法 きめの細かい管理 制御 Azure AD Join MDM(Microsoft Intune) Azure AD に参加すると自動的にエンロール モバイルデバイス / アプリケーション管理 グループポリシーほど設定項目はない
Windows Hello PIN 入力に代わるゼスチャー認証 生体を利用指紋 顔 光彩 顔の誤認識率 1/100,000 顔による認証失敗率 2-4% 赤外線センサーによる生体識別
Looking for you 18:00 Tuesday, May 26, 2015 12 13
Hello Junichi! 18:01 Tuesday, May 26, 2015 12 13
1. 2. 3. 4. 1. 2.
1. 2. 3. 4. 1. 2. 3.