2011.06.03 Naohiro Fujie Microsoft MVP for Identity Lifecycle Manager twitter : @phr_eidentity Blog IdM 実験室 : http://idmlab.eidentity.jp 1
これまで学術的なイメージが強く エンタープライズ分野では登場の機会が少なかったアイデンティティ フェデレーションやプライバシへの取組みに関連する技術がクラウドの台頭を一つのきっかけとして身近なものとなってきています マイクロソフトも既にエンタープライズに広く浸透している Active Directory を中心としてそれらの技術を展開してきており 本資料ではその概要を知っていただくことを目的としています 2
根底に流れるもの Vision, Principle / The Laws of Identity Architecture / Identity Metasystem Solutions, Products ユースケース 社内ユーザが社外サービスを利用する コンシューマ向けサービスを広く利用してもらう 高信頼性への取り組み 3
Vision, Principle The Laws of Identity Architecture Identity Metasystem Solutions, Products AD FS2.0, WIF, U-Prove, etc 4
http://www.identityblog.com/wp-content/images/2009/06/7_laws.htm 5
# 原則内容 1 ユーザによる制御と同意 ユーザの同意があった場合のみ アイデンティ ティ情報を開示すべきである 2 限定された用途で最低限の公開 開示するアイデンティティ情報を最小限にし 情報へのアクセスを適切に制限するべきである 3 正当な相手のみへの情報開示 必要かつ正当な相手のみにアイデンティティ情報 を開示すべきである 4 方向付けられたアイデンティティ 5 複数のオペレータと技術の相互運用性 全方向 ( 公開 ) と単方向 ( 非公開 ) の両方のアイデンティティ情報をサポートすることで 検索性を維持しつつ不必要な名寄せを防止する 複数のアイデンティティ プロバイダによって実行される複数のアイデンティティ技術の相互運用性を保持すべきである 6 人間との統合 アイデンティティ情報を保護するため 利用者を システムのコンポーネントの一つとして定義し 明確なインターフェイスを策定すべきである 7 一貫性のあるユーザ エクスペリエンス 様々な状況下において一貫性のあるユーザとテクノロジのインターフェイスを提供すべきである 6
相互運用を行うためのアーキテクチャ http://www.identityblog.com/stories/2005/07/05/identitymetasystem.htm 7
Security Token Service ( STS ) セキュリティ トークンを処理 ( 発行 / 変換 ) On-Premise AD FS 2.0 ( Active Directory Federation Service 2.0 ) Online / Cloud ACS v2 (Windows Azure Platform AppFabric Access Control Service v2 ) MFG (Microsoft Federation Gateway ) 8
SAML 2.0 / ws-federation 等の Federation Protocol 対応 AuthN Authority として Active Directory を利用 Attribute Authority として Active Directory / SQL Server / LDAP を利用可能 AD DS システムエンティティ ユーザ Web サーバ等 Token 要求 Security Token STS AD FS 2.0 認証オーソリティ 属性オーソリティ AD DS SQL LDAP 9
ws-federation / OAuth 2.0 / OpenID 等の Federation Protocol 対応 各種 Identity Provider から発行されたトークンを変換 システムエンティティ ユーザ Web サーバ等 Token 要求 Security Token STS ACS v2 Token 要求 Security Token 各種オンライン IdP オンプレミス IdP ( AD FS 2.0 ) カスタム IdP ( OpenID ) 10
Microsoft Online Service 用の Federation Gateway On-Premise の AD FS 2.0 との Federation 用 Microsoft Identity Platform AD FS 2.0 Federation Gateway AuthN Platform AD DS Directory Store 11
AD FS 2.0 SAML 2.0 / IDP Lite, SP Lite, egov 1.5 Windows Live vnext / IIW#12 OAuth 2.0 12
Windows Identity Foundation ws-federation / ws-trust 対応の token ハンドリングライブラリ 各種 Extension ( 現状 Community Technology Preview ) Extension for SAML 2.0 protocols Extension for OAuth Extension for U-Prove 13
ASP.NET Web アプリケーション 各種 STS AD FS 2.0 ACS v2 ASP.NET Windows Identity Foundation.NET Framework 4 クレーム取出し クレーム評価 各種処理 ブラウザ 14
User Centric Identity / Minimal Disclosure CardSpace U-Prove ( 現状 Community Technology Preview ) ユーザ自身による提供する情報の選択 確認 より少ない情報の提供で高い信頼性を得る セキュリティとプライバシの両立 15
オンプレミス クラウド連携 社内ユーザが社外サービスを利用する ( シングルサインオン ) オンライン IdP 連携 コンシューマ向けサービスを広く利用してもらう ( 他社オンライン ID でログオン ) 高信頼性 への取組み 失業手当を申請する オンラインオークションで車を売る 16
社内にある Active Directory で管理しているユーザでクラウド サービスを利用する IdP : AD FS 2.0 メール : Google Apps / GMail 情報共有 : Office365 / SharePoint チームサイト SFA : salesforce.com CRM Federation AD DS SAML 2.0 AD FS 2.0 ws-federation メール カレンダー 情報共有 SFA 17
1. PC にログオンし メールチェックを行う 2. 取引の状況を確認する 3. チームサイトでファイルを共有する 18
PC にログオンし メールをチェックする ブラウザを起動し GMail サイトへアクセス 1 AD FS 2.0 へリダイレクト 認証に成功すると Token が発行される Windows 統合認証環境では認証画面は出ない 2 Google Apps へ Token が POST されログインできる 19
取引の状況を確認する そのままブラウザで salesforce.com へアクセスする salesforce.com は SAML IdP Initiated POST binding なので先に AD FS 2.0 で Token 発行が必要 ( ブラウザショートカットの工夫で対応可能 ) 20
チームサイトでファイルを共有する そのままブラウザで Office 365 へアクセスする 1 Office 365 へのサインイン画面で社内のドメイン名を入力するとサインイン先 ( AD FS 2.0 ) へのリンクが表示される 2 AD FS 2.0 にリダイレクトされると既に認証されているのでそのまま Token が発行されて Office 365 へ POST されログオンできる 21
他社オンライン ID でサービスを利用してもらう アプリケーション (.NET / WIF on Windows Azure ) IdP : Facebook Google Yahoo! Japan.NET / WIF アプリケーション Federation ACS v2 Federation SAML 2.0 OpenID OAuth 認証アイデンティティ情報提供 22
1. Facebook のアイデンティティ情報を利用してサービスを提供する 2. Google のアイデンティティ情報を利用してサービスを提供する 3. Yahoo! Japan のアイデンティティ情報を利用してサービスを提供する 23
Facebook へログインしてアプリケーションを利用 1.NET アプリケーションにアクセスすると ACS v2 のホームレルムディスカバリ ( 利用する IdP 選択 ) 画面へリダイレクトされる 2 Facebook を選択する 3 Facebook のログイン画面へリダイレクトされるのでログインする 24
4 Facebook の情報へのアクセスを許可 5 アプリケーションへ情報が渡される 25
Google へログインしてアプリケーションを利用 1.NET アプリケーションにアクセスすると ACS v2 のホームレルムディスカバリ ( 利用する IdP 選択 ) 画面へリダイレクトされる 2 Google を選択する 3 Google アカウントのログイン画面へリダイレクトされるのでログインする 26
4 Google アカウントの情報へのアクセスを許可 5 アプリケーションへ情報が渡される 27
Yahoo! Japan へログインしてアプリケーションを利用 1.NET アプリケーションにアクセスすると ACS v2 のホームレルムディスカバリ ( 利用する IdP 選択 ) 画面へリダイレクトされる 2 Yahoo Japan OpenID を選択する ( カスタム設定が必要 ) 3 Yahoo! Japan のログイン画面へリダイレクトされるのでログインする 28
4 Yahoo! Japan アカウントの情報へのアクセスを許可 5 アプリケーションへ情報が渡される 29
より少ないアイデンティティ情報だけで高い信頼を得るための取組み ( U-Prove 暗号化技術 ) アプリケーション (.NET / WIF Extension for U-Prove ) Token の正当性の確認 ( U-Prove Agent ) Claim Provider ( U-Prove Token Issuer ) Proof Token U-Prove Token.NET / WIF Extension アプリケーション U-Prove Agent Claim Provider 30
1. 失業手当を申請する 2. オンライン オークションで車を売る 31
確かな身元情報を確認する 1 申請サイトにアクセスする 2 身元保証を行うサイトを選択する ( 必要な情報を提供可能なサイトから選択する ) 32
3 情報提供元サイトへログオンする 確認済みマーク 4 提供される情報を確認する 5 確認済み情報として情報が提供される 33
オークション詐欺を防止するために身元を保証する 1 サイトにアクセスする 2 身元保証サイトへアクセスする ( 手動で情報を入力する場合はより詳細な情報が必要となる ) 34
3 身元保証を行うサイトを選択する ( 必要な情報を提供可能なサイトから選択する ) 4 情報提供元サイトへログオンする 5 提供される情報を確認する 35
6 確認済み情報として情報が提供される 36
エンタープライズの社内インフラのイメージが大きかったマイクロソフトのアイデンティティ関連技術ですが 標準技術への対応により各種サービスとの連携が出来るようになってきています コンシューマ向けオンラインサービスや高い信頼性が要求される電子商取引などに対応する取組みも進んできています 37
Kim Cameron 氏 blog http://www.identityblog.com/ 日本マイクロソフトエバンジェリスト安納氏 blog http://blogs.technet.com/b/junichia/ @IT 記事 :Windows で構築する クラウド サービスと社内システムの SSO 環境 ( 以前書いた記事 ) http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01 /adsf2sso01_01.html 私の blog:idm 実験室 http://idmlab.eidentity.jp/ 38