1

アーキテクチャー設計者必見

最新の によるとハイブリッドな認証基盤の実現

～ からパブリッククラウド連携まで～

日本マイクロソフト株式会社デベロッパー＆プラットフォーム統括本部エバンジェリスト

安納 順一

2

Agenda & Takeaway

• Active Directory ドメイン 設計に要求される変化• オンプレミスにおける AD DS と AD FS の役割• AD DS/AD FS と Windows Azure Active Directory の連携• パブリッククラウドにおける

Windows Azure Active Directory の役割

デモンストレーションを交えながらお伝えします！

3

FIM

マイクロソフトの IdP プラットフォーム全体像

Windows Azure

Active Directory

Microsoft

全製品Microsoft全 OS

Windows 8

Microsoft Account

(Windows Live ID）

Consumer Enterprise

他社 IdP

HR

Windows Server

Active Directory

4

Windows Azure Active Directory

Windows Server Active Directory

(on premise / on Azure IaaS)

definitely not !

5

典型的な Active Directory の使い方

Active Directory ドメイン

AD DS

ID/Pass で Sign-in

グループポリシーによる統制

企業や組織に閉じた利用

Windowsクライアント

AD CS証明書発行

アカウント管理

AD RMS

アクセス制御

データ暗号化ファイルサーバ

メールサーバー

WEB サーバー

DB サーバー

アクセス制御

6

Active Directory にまつわる最新２大ニーズ• パブリッククラウドとの連携• 個人デバイスの業務利用（BYOD）

Active Directory ドメイン

Web Service

Web Service

Web Service

Web

Service

Web

Service

Web Service

Web

Service

Salesforce.com

Google.com

office365

Facebook.com Outlook.com

• 多要素認証/認可

ドメインを超えた利用

認証と認可の精度向上

最終的にはパブリッククラウド上でIDを管理したい＝IDMaaS

• マルチファクター認証/認可

7

Active Directory ドメイン

Azure AD と AD FS が次世代 Id 基盤のカギとなる

ドメインを超えた利用（ハイブリッドな認証基盤）

認証と認可の精度向上

Active Directory ドメイン

AD DS AD FS

Web ServiceWeb

Service

Web ServiceWeb

Service

Salesforce.comoffice365

個人デバイス（ドメイン非参加デバイス）

AD DS AD FS

追加認証メソッド

Google.com

Active Directory

Active Directory

8

ハイブリッドな認証基盤

～ クラウド & オンプレミス

9

CONTOSO

AD DS と AD FS が蜜月な件

AD DS ：ユーザーとデバイスを「認証」AD FS ：認証されたユーザーとデバイスの“クレーム”を含んだ「トークンを発行」

AD FSクレーム発行 認証したかどうか

クレームを受信

認可①アクセス可否

認可②ユーザー権限

認証：ユーザー特定

AD DS : Active Directory Domain ServiceAD FS : Active Directory Federation Service

10

他企業、他部門、他 CP からの認証を受け入れる

CONTOSO

AD FS

クレーム発行 認証したかどうか

クレームを受信

認可②アクセス可否

認可③ユーザー権限

NORTHWIND

AD FS AD DS

クレーム変換

HTTPS

HTTPS

認可①アクセス可否

クレーム発行

認証したかどうか

クレーム受信

11

他企業、他部門、他CP からの認証を受け入れる

CONTOSO

AD FS

クレーム発行 認証したかどうか

クレームを受信

NORTHWIND

AD FS AD DS

HTTPS

HTTPS

HTTPS HTTPS

HTTPS

認可②アクセス可否

認可③ユーザー権限

認可①アクセス可否

クレーム発行

認証したかどうか

クレーム受信

12

Firewall 外からのリクエストを受け入れるには

CONTOSO

AD FS

クレーム発行 認証したかどうか

クレームを受信

NORTHWIND

AD FS AD DS

HTTPS

HTTPS

HTTPS HTTPS

HTTPSA

DFS

PR

OX

Y

Web Application Proxy（Windows Server 2012 R2）を使用する

クレーム発行

認証したかどうか

クレーム受信AD FS PROXY

13

パブリッククラウド連携も同じ考え方

NORTHWIND

AD DS

HTTPS

クレーム発行

クレームを受信

AD FS

HTTPS

クラウド上のクレームプロバイダー（アイデンティティプロバイダー

14

パブリッククラウド側の IdP は WAAD

NORTHWIND

AD FS AD DS

HTTPS

HTTPS Active Directory

クレーム発行

クレームを受信

など

ハイブリッドな認証基盤

15

SAML トークンが連携のカギ

WS-FedSAML 2.0

など

クレームを受信

NORTHWIND

AD FS AD DS

WS-Fed

Active Directory

クレーム発行

ハイブリッドな認証基盤

16

SAML トークンが連携のカギ

WS-FedSAML 2.0

など

クレームを受信

GOOGLE APPS

Salesforce.com

SAML 2.0/WS-Federation により他社クラウドアプリとの連携も可能

NORTHWIND

AD FS AD DS

WS-Fed

Active Directory

クレーム発行

17

Windows Azure Active Directory

アクセスコントロール

• ID 連携

• トークン変換

ディレクトリ• ユーザー管理

• Graph API

• Auth. Library• 認証

• ID/Password• 多要素認証

• AD DS 同期

• Application Access• ユーザー同期 Active Directory

IDMaaS としての機能を実装したマルチテナント型のディレクトリ サービス

ADDS Azure AD

多要素認証プロバイダー（有償）• 電話応答• ワンタイムパスワード

iOS , Android , WP 用アプリ

18

ディレクトリディレクトリ

ID Store（AD LDS に相当）

Federation

Gateway(AD FSに相当)

Graph（REST API）

アカウント情報の管理• ユーザー• グループ• デバイス

AD DS

3rd Party SaaS

CP

(IdP)側

RP

(SP

)側

WS-Fed

SAML 2.0

OAuth 2.0

WS-Fed

SAML 2.0（ECP Profile）

その他105 サービスに対応（ 2013/8 時点）

AD FS（WS-Fed）

自社開発アプリ

OR• Shibboleth(SAML 2.0)• Ping Federate( WS-Fed,SAML 2.0 )

http://technet.microsoft.com/en-us/library/jj679342.aspx

19

“アプリケーション アクセス”（Preview）• 既存 SaaS の認証を “インスタント” に WAAD に関連づける• Google Apps, Salesforce.com はアカウント同期も可能

SAML対応RP

Active Directory

ID フェデレーション

パスワード連携

ID 同期

②

その他

Access Panel

①

事前にID/Passを登録

その他

アプリケーションアクセス

20

Access Panel• Windows Azure AD と関連付けられた SaaS の一覧• ユーザーは、サービスをクリックすればよい

https://account.activedirectory.windowsazure.com/applications/

21

Access Control Service

アクセスコントロール• 外部認証サービスから RP側へのトークン ゲートウェイ• ACS自身は認証プロバイダーではない

Application

WAAD- Directory WS-Fed

OpenID Oauh 2.02.0

AD

FSFe

dera

ton

Gate

way.

WS-Fedトークン変換

OAuthWrap

Application

RP

(SP

)側

CP（IdP）側

WS-Fed をサポートしている CP

22

ハイブリッドな認証基盤

～ 社内デバイス & 個人デバイス

23

従来の AD DS/AD FS では…

CONTOSO

AD FS

クレーム発行

認証したかどうか

クレームを受信

認可①アクセス可否

認可②ユーザー権限

HTTPS

UserID/Password

ドメインの UserID で直接アクセスする

・ユーザーの信頼性をチェック・デバイスの信頼性は未チェック

24

デバイスの信頼性をチェックするには

CONTOSO

AD FS

クレーム発行 認証したかどうか

クレームを受信

②デバイス認証

HTTPS

UserID/Password

ドメインの UserID で直接アクセスする

個人デバイスを登録し、認証できる仕組みが必要

③デバイスクレームを発行しアクセス可否を判断

④デバイスクレームからアクセス権限を判定

デバイス情報

①デバイス登録

25

• 個人デバイスを Active Directory ドメインに登録する機能（ドメイン参加ではない）

• デバイス認証が可能になり、個人デバイスの社内リソースへのアクセスを、デバイスクレームを使用して制御できるようになる

• DRS を使用してデバイス登録するプロセスを「Workplace Join」と呼ぶ

• iOS/Windows 8.1/Windows RT 8.1に対応

デバイス レジストレーション サービス（DRS）

Start

AD FS

AD DS

①「社内ネットワークに参加」

Domain UserID/Password クレーム処理エンジン

デバイス登録サービス（DRS）

②ユーザー認証

③デバイスクレーム

④デバイス登録

Start

⑤ 証明書インストール

個人デバイス

HTTPS

26

インターネットからの受け入れをどうするか

CONTOSO

AD FS

クレーム発行 認証したかどうか

クレームを受信

HTTPS

Web Application Proxy による事前認証/認可が可能

Web Application Proxy

27

社外からの事前認証（Web Application Proxy）

Start

AD FS AD DS

クレーム処理エンジン

Web

Application

Proxy

事前認証プロセス

アクセス

• デバイス クレームとユーザークレームを使用したきめの細かいアクセス制御• クレーム規則言語を使用

• AD FSに対応していないアプリケーションの事前認証も可能!!

Start

ユーザー認証

デバイス認証

追加認証

事前認証

デバイス クレーム

アクセス可否を判定

ユーザー クレーム

https

28

認証と認可の精度向上

～マルチファクター認証/認可

29

「追加要素」をどこに実装するか

NORTHWIND

AD FS AD DS

Active Directory

GOOGLE APPS

Salesforce.com

追加認証プロバイダー

？Start

？

クライアント

？

？

要素数が多いほど信頼性は高くなるが、インフラやアプリに負担を強いることになる

WEBアプリ

など

30

WAAD 多要素認証プロバイダースマートフォンまたは携帯電話を使用した追加認証メソッド

クラウドサービス Identity Provider

オンプレミス

Web Application

多要素認証プロバイダー

• ワンタイムパスワード• 通知

• 電話• テキストメッセージ

IE⑧③

⑤

ID/Password

④

⑥

#

Windows Azure Portal

サードパーティ製WEB サービス ①

Windows AzureActive Directory

AD DS + AD FS

スマフォ専用アプリ

31

BYOD にも Phone Factor が利用できる

Start

AD FS AD DSクレーム処理エンジン

Web

Application

Proxy

事前認証プロセス

アクセスStart

ユーザー認証

デバイス認証

Phone Factor

事前認証

デバイス クレーム

アクセス可否を判定

ユーザー クレーム

https

AD FS を通過する認証/認可プロセス すべてに適用可能

32

マルチファクター認証

AD FSを介した MFAの流れ

デバイス認証Active Directoryにデバイスが登録されているかどうかを確認する

プライマリ認証（ユーザー認証）

• Form認証

• Windows統合

• 証明書

MFA のターゲットを限定することが可能

無効

有効

NOYES

NG

OK

認証完了

NG

OK

無効

有効

<認証方式>

<条件>• ユーザー/グループ• 登録/非登録デバイス• 外部/内部ネットワーク

• Smart Card

• Phone Factor

• その他

OK

NG

33

まとめ

34

社内 AD DS を最大限に生かすのは AD FS である

34

BYODデバイス登録とデバイス認証

ネットワークロケーションや IP アドレス、ユーザー属性、デバイス属性などによる、多要素認証/認可

パートナー企業との ID 連携

パブリッククラウドとのID連携

AD FS により社内リソースの集中的なアクセス制御が可能

業務アプリケーション

Firewall

Active Directoryマルチファクター認証

35

Windows Azure Active Directory は IDMaaS である

IdM as a Service（IDMaaS）

IdMaaS Web Service

Web Service

Web Service

Active Directory

36

業務システム

Employees

Customers

Partners IdMaaS

Enterprise Social Network

Windows Azure Active Directoryは企業のソーシャル グラフになる

顧客サービス

IdM

Digital Identity

ドメインの枠を超えてリソース同士を結合できる

37

本日のデモ環境を作るための手順書

http://technet.microsoft.com/ja-jp/windowsserver/jj649374.aspx

38© 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the

part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

39

Appendix

復習：クレームベースの認証とは

40

クレーム ベース という考え方

• リソース側に渡す認可情報のフォーマットを統一（トークン、アサーション）• 認可情報の受け渡しプロセスの統一（プロトコル）

クレームを発行

クレームを提示

クレームを判定

CP：Claims Provider（要求プロバイダー） ＝ AD FSRP：Relying Party（証明書利用者）

41

クレーム ベースの認証と認可

CP RP

CP：ユーザー認証、デバイス認証を行いトークン（アサーション）を発行

RP：トークンから本人を識別し、ロールを決定してアクセスを認可する信頼しているCPから発行されたトークンを持ってきたので「認証済み」と判定

業務トークン トークン

ユーザー情報

利用者

ロール管理簿

トークンを解析• 本人識別• ロール決定

信頼

クレームを格納

SAML 2.0 / WS-Fed.

属性ストア

42

セキュリティトークン

RP

業務 ロール管理簿

トークンを解析• 本人識別• ロール決定

CP

ユーザー情報

属性ストア

• ロールを決定するための「クレーム」は RP が提示する• アプリケーションには「ロール」決定のためのロジックを実装

Claims

mail

name

company

title

署名

値

値

値

値

提示

43

クレーム ベースによるアイデンティティ フェデレーション

WS-Fed

• ドメイン（Firewall）を超えたリソースの利用• 以下の２要素が一致しており、相互に信頼関係が成立していれば連携が可能

• プロトコル（SAML 2.0、WS-Federation、WS-Trust）& プロファイル• トークン（アサーション）のフォーマット（SAML 1.1、SAML 2.0）

• 認証方式の違いがアプリケーションに影響しない• アプリケーションは複数の CP を同時に受け入れられる（マルチテナント）

関連会社A

関連会社B

ロール管理簿

（ ）＝

STS：Security Token Service

側は に を登録。が の違いを吸収する。

必要なクレームは 側がに提示する。

AD

FS

AD

FS

AD

FS

SAML 2.0

SAML 2.0

SAML 2.0

WS-Fed WS-Fed

C

B

A A B C

44

属性ストア

認証

ここまでのまとめ

CP

AD DSSQLServer

AD FS

Offce 365

Windows Azure

社内

WEB Apps

利用者

他社クラウド

SAML/WS-Fed

45

パブリック クラウドにおける AD FSの役割

SAML/WS-Fed.Active Directory ドメイン

業務サービス

Azure仮想ネットワーク

AD DSon IaaS

• Active Directory ドメイン 認証をパブリック クラウドに拡張するためのゲートウェイ

Office 365

Windows Azure

他社クラウド

ADDS