アーキテクチャー設計者必見 最新のによる ~ とハイブリッドな認証基盤の実現 からパブリッククラウド連携まで ~ 日本マイクロソフト株式会社デベロッパー & プラットフォーム統括本部エバンジェリスト安納順一 1
Agenda & Takeaway Active Directory ドメイン設計に要求される変化 オンプレミスにおける AD DS と の役割 AD DS/ と Windows Azure Active Directory の連携 パブリッククラウドにおける Windows Azure Active Directory の役割 デモンストレーションを交えながらお伝えします! 2
マイクロソフトの IdP プラットフォーム全体像 Consumer Microsoft Account (Windows Live ID) Enterprise Windows Azure Active Directory Windows 8 Windows Server Active Directory FIM 他社 IdP Microsoft 全製品 Microsoft 全 OS HR 3
Windows Azure Active Directory definitely not! Windows Server Active Directory (on premise / on Azure IaaS) 4
典型的な Active Directory の使い方 企業や組織に閉じた利用 Active Directory ドメイン AD CS 証明書発行 AD RMS データ暗号化 アクセス制御 ファイルサーバ Windows クライアント ID/Pass で Sign-in グループポリシーによる統制 アカウント管理 AD DS アクセス制御 メールサーバー WEB サーバー DB サーバー 5
Active Directory にまつわる最新 2 大ニーズ ドメインを超えた利用 認証と認可の精度向上 パブリッククラウドとの連携 個人デバイスの業務利用 (BYOD) マルチファクター認証 / 認可 最終的にはパブリッククラウド上で ID を管理したい =IDMaaS Web Service office365 Web Service Web Service Web Service Salesforce.com Web Service Facebook.com Web Service Outlook.com Web Service Google.com Active Directory ドメイン 多要素認証 / 認可 6
Azure AD と が次世代 Id 基盤のカギとなる ドメインを超えた利用 ( ハイブリッドな認証基盤 ) Active Directory ドメイン AD DS Active Directory office365 Web Service Web Service Web Service Salesforce.com Web Service Google.com 認証と認可の精度向上 個人デバイス ( ドメイン非参加デバイス ) Active Directory ドメイン AD DS 追加認証メソッド Active Directory 7
ハイブリッドな認証基盤 ~ クラウド & オンプレミス 8
AD DS と が蜜月な件 AD DS : ユーザーとデバイスを 認証 : 認証されたユーザーとデバイスの クレーム を含んだ トークンを発行 認可 2 ユーザー権限 認可 1 アクセス可否 CONTOSO クレームを受信 クレーム発行 認証したかどうか 認証 : ユーザー特定 AD DS : Active Directory Domain Service : Active Directory Federation Service 9
他企業 他部門 他 CP からの認証を受け入れる 認可 3 ユーザー権限 クレーム変換認可 2 アクセス可否 CONTOSO クレームを受信 HTTPS クレーム発行 認証したかどうか クレーム受信 HTTPS クレーム発行 NORTHWIND 認証したかどうか 認可 1 アクセス可否 AD DS 10
他企業 他部門 他 CP からの認証を受け入れる 認可 3 ユーザー権限 認可 2 アクセス可否 CONTOSO クレームを受信 HTTPS クレーム発行 認証したかどうか クレーム受信 HTTPS HTTPS HTTPS クレーム発行 NORTHWIND HTTPS 認証したかどうか 認可 1 アクセス可否 AD DS 11
Firewall 外からのリクエストを受け入れるには Web Application Proxy(Windows Server 2012 R2) を使用する CONTOSO HTTPS クレームを受信 HTTPS HTTPS HTTPS クレーム発行 PROXY HTTPS PROXY 認証したかどうか クレーム受信 クレーム発行 認証したかどうか NORTHWIND AD DS 12
パブリッククラウド連携も同じ考え方 クレームを受信 HTTPS クレーム発行 クラウド上のクレームプロバイダー ( アイデンティティプロバイダー HTTPS NORTHWIND AD DS 13
パブリッククラウド側の IdP は WAAD ハイブリッドな認証基盤 クレームを受信 HTTPS クレーム発行 Active Directory など HTTPS NORTHWIND AD DS 14
SAML トークンが連携のカギ ハイブリッドな認証基盤 クレームを受信 WS-Fed SAML 2.0 クレーム発行 Active Directory など WS-Fed NORTHWIND AD DS 15
SAML トークンが連携のカギ SAML 2.0/WS-Federation により他社クラウドアプリとの連携も可能 GOOGLE APPS Salesforce.com クレームを受信 WS-Fed SAML 2.0 クレーム発行 Active Directory など WS-Fed NORTHWIND AD DS 16
Windows Azure Active Directory IDMaaS としての機能を実装したマルチテナント型のディレクトリサービス ディレクトリ ユーザー管理 Graph API Auth. Library 認証 ID/Password 多要素認証 AD DS 同期 Application Access ユーザー同期 Active Directory 多要素認証プロバイダー ( 有償 ) 電話応答 ワンタイムパスワード ios, Android, WP 用アプリ アクセスコントロール ID 連携 ADDS Azure AD トークン変換 17
ディレクトリ アカウント情報の管理 ユーザー グループ デバイス Graph (REST API) WS-Fed SAML 2.0 (ECP Profile) CP(IdP) 側 ディレクトリ ID Store (AD LDS に相当 ) Federation Gateway ( に相当 ) RP(SP) 側 WS-Fed SAML 2.0 OAuth 2.0 自社開発アプリ 3 rd Party SaaS (WS-Fed) AD DS OR Shibboleth(SAML 2.0) Ping Federate( WS-Fed,SAML 2.0 ) http://technet.microsoft.com/en-us/library/jj679342.aspx その他 105 サービスに対応 ( 2013/8 時点 ) 18
アプリケーションアクセス (Preview) 既存 SaaS の認証を インスタント に WAAD に関連づける Google Apps, Salesforce.com はアカウント同期も可能 Active Directory アプリケーションアクセス ID 同期 ID フェデレーションパスワード連携事前にID/Passを登録 SAML 対応 RP その他 その他 2 1 Access Panel 19
Access Panel Windows Azure AD と関連付けられた SaaS の一覧 ユーザーは サービスをクリックすればよい https://account.activedirectory.windowsazure.com/applications/ 20
アクセス コントロール 外部認証サービスから RP 側へのトークン ゲートウェイ ACS自身は認証プロバイダーではない WS-Fed WS-Fed をサポートしている CP Oauh 2.0 2.0 CP IdP 側 トークン 変換 Application RP(SP)側 Federaton Gateway. WAAD - Directory OpenID WS-Fed OAuth Wrap Application Access Control Service 21
ハイブリッドな認証基盤 ~ 社内デバイス & 個人デバイス 22
従来の AD DS/ では 認可 2 ユーザー権限 認可 1 アクセス可否 CONTOSO クレームを受信 HTTPS クレーム発行 認証したかどうか UserID/Password ユーザーの信頼性をチェック デバイスの信頼性は未チェック ドメインの UserID で直接アクセスする 23
デバイスの信頼性をチェックするには 個人デバイスを登録し 認証できる仕組みが必要 4 デバイスクレームからアクセス権限を判定 3 デバイスクレームを発行しアクセス可否を判断 2 デバイス認証 1 デバイス CONTOSO 登録 クレームを受信 HTTPS クレーム発行 認証したかどうか デバイス情報 UserID/Password ドメインの UserID で直接アクセスする 24
デバイスレジストレーションサービス (DRS) 個人デバイスを Active Directory ドメインに登録する機能 ( ドメイン参加ではない ) デバイス認証が可能になり 個人デバイスの社内リソースへのアクセスを デバイスクレームを使用して制御できるようになる DRS を使用してデバイス登録するプロセスを Workplace Join と呼ぶ ios/windows 8.1/Windows RT 8.1 に対応 個人デバイス Start 1 社内ネットワークに参加 Domain UserID/Password HTTPS 5 証明書インストール 2 ユーザー認証 クレーム処理エンジン AD DS デバイス登録サービス (DRS) Start 4 デバイス登録 3 デバイスクレーム 25
インターネットからの受け入れをどうするか Web Application Proxy による事前認証 / 認可が可能 CONTOSO クレームを受信 HTTPS クレーム発行 認証したかどうか Web Application Proxy 26
社外からの事前認証 Web Application Proxy デバイス クレームとユーザークレームを使用したきめの細かいアクセス制御 クレーム規則言語を使用 に対応していないアプリケーションの事前認証も可能!! Web Application アクセス Proxy クレーム処理エンジン デバイス認証 https Start 事前認証 事前認証 プロセス AD DS Start デバイス クレーム ユーザー認証 ユーザー クレーム 追加認証 アクセス可否を判定 27
認証と認可の精度向上 ~ マルチファクター認証 / 認可 28
追加要素 をどこに実装するか 要素数が多いほど信頼性は高くなるが インフラやアプリに負担を強いることになる GOOGLE APPS Salesforce.com WEB アプリ Active Directory? など?? NORTHWIND AD DS Start 追加認証プロバイダー? クライアント 29
WAAD 多要素認証プロバイダー スマートフォンまたは携帯電話を使用した追加認証メソッド クラウドサービス # Identity Provider Windows Azure Active Directory AD DS + Windows Azure Portal サードパーティ製 WEB サービス オンプレミス Web Application 8 IE ID/Password 1 5 4 6 3 多要素認証プロバイダー ワンタイムパスワード 通知 電話 テキストメッセージ スマフォ専用アプリ 30
BYOD にも Phone Factor が利用できる を通過する認証 / 認可プロセスすべてに適用可能 Web Application Proxy アクセス クレーム処理エンジン デバイス認証 AD DS Start Start 事前認証プロセス https 事前認証 デバイスクレームユーザー認証ユーザークレーム Phone Factor アクセス可否を判定 31
を介した MFA の流れ MFA のターゲットを限定することが可能 有効 デバイス認証 Active Directory にデバイスが登録されているかどうかを確認する 無効 プライマリ認証 ( ユーザー認証 ) Form 認証 Windows 統合 証明書 有効 無効 マルチファクター認証 < 条件 > ユーザー / グループ 登録 / 非登録デバイス 外部 / 内部ネットワーク NG 認証完了 NO YES NG OK OK < 認証方式 > Smart Card Phone Factor その他 OK NG 32
まとめ 33
社内 AD DS を最大限に生かすのは である パブリッククラウドとの ID 連携 により社内リソースの集中的なアクセス制御が可能 Active Directory マルチファクター認証 パートナー企業との ID 連携 Firewall 業務アプリケーション BYOD デバイス登録とデバイス認証 ネットワークロケーションや IP アドレス ユーザー属性 デバイス属性などによる 多要素認証 / 認可 34 34
Windows Azure Active Directory は IDMaaS である IdM as a Service(IDMaaS) IdMaaS Web Service Web Service Active Directory Web Service 35
Windows Azure Active Directory は企業のソーシャルグラフになる Enterprise Social Network ドメインの枠を超えてリソース同士を結合できる Partners Customers Employees IdMaaS IdM Digital Identity 業務システム 顧客サービス 36
本日のデモ環境を作るための手順書 http://technet.microsoft.com/ja-jp/windowsserver/jj649374.aspx 37
2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. 38
Appendix 復習 : クレームベースの認証とは 39
クレームベースという考え方 リソース側に渡す認可情報のフォーマットを統一 ( トークン アサーション ) 認可情報の受け渡しプロセスの統一 ( プロトコル ) クレームを発行 クレームを提示 クレームを判定 CP:Claims Provider ( 要求プロバイダー ) = RP:Relying Party ( 証明書利用者 ) 40
クレームベースの認証と認可 CP: ユーザー認証 デバイス認証を行いトークン ( アサーション ) を発行 RP: トークンから本人を識別し ロールを決定してアクセスを認可する信頼している CP から発行されたトークンを持ってきたので 認証済み と判定 ユーザー情報 属性ストア CP 信頼 クレームを格納トークントークン利用者 業務 RP トークンを解析 本人識別 ロール決定 ロール管理簿 SAML 2.0 / WS-Fed. 41
セキュリティトークン ロールを決定するための クレーム は RP が提示する アプリケーションには ロール 決定のためのロジックを実装 CP Claims RP ユーザー情報 値値 mail name 提示 業務 ロール管理簿 属性ストア 値値 company title トークンを解析 本人識別 ロール決定 署名 42
クレームベースによるアイデンティティフェデレーション ドメイン (Firewall) を超えたリソースの利用 以下の 2 要素が一致しており 相互に信頼関係が成立していれば連携が可能 プロトコル (SAML 2.0 WS-Federation WS-Trust)& プロファイル トークン ( アサーション ) のフォーマット (SAML 1.1 SAML 2.0) 認証方式の違いがアプリケーションに影響しない アプリケーションは複数の CP を同時に受け入れられる ( マルチテナント ) 関連会社 B 関連会社 A C B A ADFS ADFS ADFS SAML 2.0 SAML 2.0 WS-Fed SAML 2.0 WS-Fed ( ) = 側はにを登録 がの違いを吸収する 必要なクレームは側がに提示する A B C WS-Fed ロール管理簿 STS:Security Token Service 43
ここまでのまとめ SAML/ WS-Fed 属性ストア認証 CP 他社クラウド Offce 365 SQL Server AD DS 利用者 Windows Azure 社内 WEB Apps 44
パブリッククラウドにおける の役割 Active Directory ドメイン認証をパブリッククラウドに拡張するためのゲートウェイ SAML/ Active Directory ドメイン WS-Fed. AD DS on IaaS 他社クラウド Azure 仮想ネットワーク Office 365 Windows Azure 業務サービス AD DS 45