Room D Azure Active Directory によるクラウドアプリ連携編 ~
Password Windows Intune
Password Windows Intune
デスクトップ PC(Windows) に対するガバナンス
Azure Active Directory World SaaS Windows Server Active Directory World 業務データ 社員 社内 PC 業務サービス運用管理サービス
Azure Active Directory World SaaS Windows Server AD World 業務データ 社員 社内 PC 業務サービス運用管理サービス
Azure Active Directory
ID Store CP(IdP) 側 Security Token Services (STS) RP(SP) 側 http://technet.microsoft.com/en-us/library/jj679342.aspx
SAML 2.0 WS-Federation Password
SAML 2.0 WS-Federation Active Active Active Sign-on end-point https://login.windows.net/ ECP : Enhanced Client or Proxy
http://myapps.microsoft.com/
Google Facebook
アクセスパネル Microsoft Azure AD テナントと関連付けられた SaaS の一覧 ( ポータル ) ユーザーは サービスをクリックすればよい http://myapps.microsoft.com/ ID とパスワードを自動入力してくれるアドイン
OAuth2.0/ OpenID Connect の場合 SAML/WS-Fed の場合
WS-Federation SAML 2.0 どのサービスを利用できるかは IdP が決定 CP がユーザーに対してクレームを発行 ユーザーがアプリケーションにクレームを渡す OpenID Connect OAuth 2.0 どのサービスを利用するか ( どのサービスを信頼するか ) をユーザーが決めることができる ユーザーはアプリケーションに対してクレーム取得を許可する ( クレームを取得するための API 利用を許可する (API 認可 )) クレームは RP が CP( の API) に取りに行く 信頼 4API にアクセス IdP/CP 2 クレーム 1 認証 RP 3 クレーム IdP/CP 5 ユーザー情報 1 認証 2API アクセス許可 RP 6 アクセス許可 利用者 利用者
https://graph.windows.net/contosojp.com/<method> ID ストア Graph ( 例 ) 管理用アプリ アカウント情報 アプリケーション パーミッション等 VS2013 も OAuth Client の一種 ion CP(IdP) 側 2.0 Security Token Services (STS) RP(SP) 側 Principal Id Symmetric Key 超お勧めエバンジェリスト松崎剛さんの BLOG http://blogs.msdn.com/b/tsmatsuz/archive/2012/09/10/windows-azure-active-directory-aad-graph-api-oauth2.aspx
https://graphexplorer.cloudapp.net/
Protocol Flow Category Primary Purpose ADFS 2 ADFS 3 AAD ACS OAuth 2.0 Authorization Code Grant Web API Browser-based authorization / delegation No Yes Yes Yes Client Credentials Grant Web API Server to server authorization / delegation No No Yes Yes OAuth WRAP WS-Federation SAML 2.0 Kerberos/NTLM OpenID Connect Implicit Grant Resource Owner Password Credentials Grant Refresh Token Web Resource Authorization Protocol (WRAP) Passive Requestor Profile Web API Web API Web API Web API JavaScript based authorization / delegation (e.g. SPA) No No No No Authorization / delegation by sending user credentials through highly trusted app No No No Yes Refreshing expired tokens without prompting user No Yes Yes Yes Browser-based authorization / delegation (deprecated by OAuth 2.0 auth code grant) No No No Yes User Sign In Browser-based federated authentication Yes Yes Yes Yes Active Requestor Profile (aka WS-Trust) Web API Client (app) authentication Yes Yes Yes Yes Single Sign On (WebSSO) Single Sign Out User Sign In Browser-based federated authentication Yes Yes Yes No User Sign Out Browser-based federated sign-out Yes Yes Yes No User Sign In Authentication for intranet apps on domainjoined machines Yes Yes No No User Sign In Browser-based federated authentication No No Preview No
SAML Functions IdP Lite SP Lite ADFS 2.0/3.0 Azure AD Web SSO, <AuthnRequest>, HTTP Redirect MUST MUST Yes Yes Web SSO, <Response>, HTTP POST MUST MUST Yes Yes Web SSO, <Response>, HTTP Artifact MUST MUST Yes Artifact Resolution, SOAP MUST MUST Yes Name Identifier Management, HTTP Redirect (IdP-initiated) MUST NOT MUST NOT Name Identifier Management, SOAP (IdP-initiated) MUST NOT MUST NOT Name Identifier Management, HTTP Redirect MUST NOT MUST NOT Name Identifier Management, SOAP (SP-initiated) MUST NOT MUST NOT Single Logout (IdP-initiated) - HTTP Redirect MUST MUST Yes Yes Single Logout (IdP-initiated) - SOAP OPTIONAL OPTIONAL Single Logout (SP-initiated) - HTTP Redirect MUST MUST Yes Yes Single Logout (SP-initiated) - SOAP OPTIONAL OPTIONAL Identity Provider Discovery (cookie) OPTIONAL OPTIONAL Yes (IdP & SP)
IT ガバナンス ID とパスワードの一元管理 ( 認証の中心 ) アプリケーション / データへのアクセス制御 セキュリティポリシーの管理と適用セキュリティの壁を越えた IT ガバナンス パブリッククラウド 個人デバイス 社内セキュリティドメイン 業務データ 社内 PC セキュリティの壁 業務アプリ業務サービス 個人デバイス
IaaS への拡張 クラウド パブリック IaaS/SaaS/PaaS との連携 外部 IdP との連携 セキュリティドメイン内 セキュリティドメイン外 社内セキュリティドメイン オンプレミス セキュリティドメイン 企業間連携 Enterprise BYOD