最新active directoryによるidmaasとハイブリッド認証基盤の実現
DESCRIPTION
MSC 2013で使用した資料ですTRANSCRIPT
1
アーキテクチャー設計者必見
最新の によるとハイブリッドな認証基盤の実現
~ からパブリッククラウド連携まで~
日本マイクロソフト株式会社デベロッパー&プラットフォーム統括本部エバンジェリスト
安納 順一
2
Agenda & Takeaway
• Active Directory ドメイン 設計に要求される変化• オンプレミスにおける AD DS と AD FS の役割• AD DS/AD FS と Windows Azure Active Directory の連携• パブリッククラウドにおける
Windows Azure Active Directory の役割
デモンストレーションを交えながらお伝えします!
3
FIM
マイクロソフトの IdP プラットフォーム全体像
Windows Azure
Active Directory
Microsoft
全製品Microsoft全 OS
Windows 8
Microsoft Account
(Windows Live ID)
Consumer Enterprise
他社 IdP
HR
Windows Server
Active Directory
4
Windows Azure Active Directory
Windows Server Active Directory
(on premise / on Azure IaaS)
definitely not !
5
典型的な Active Directory の使い方
Active Directory ドメイン
AD DS
ID/Pass で Sign-in
グループポリシーによる統制
企業や組織に閉じた利用
Windowsクライアント
AD CS証明書発行
アカウント管理
AD RMS
アクセス制御
データ暗号化ファイルサーバ
メールサーバー
WEB サーバー
DB サーバー
アクセス制御
6
Active Directory にまつわる最新2大ニーズ• パブリッククラウドとの連携• 個人デバイスの業務利用(BYOD)
Active Directory ドメイン
Web Service
Web Service
Web Service
Web
Service
Web
Service
Web Service
Web
Service
Salesforce.com
Google.com
office365
Facebook.com Outlook.com
• 多要素認証/認可
ドメインを超えた利用
認証と認可の精度向上
最終的にはパブリッククラウド上でIDを管理したい=IDMaaS
• マルチファクター認証/認可
7
Active Directory ドメイン
Azure AD と AD FS が次世代 Id 基盤のカギとなる
ドメインを超えた利用(ハイブリッドな認証基盤)
認証と認可の精度向上
Active Directory ドメイン
AD DS AD FS
Web ServiceWeb
Service
Web ServiceWeb
Service
Salesforce.comoffice365
個人デバイス(ドメイン非参加デバイス)
AD DS AD FS
追加認証メソッド
Google.com
Active Directory
Active Directory
8
ハイブリッドな認証基盤
~ クラウド & オンプレミス
9
CONTOSO
AD DS と AD FS が蜜月な件
AD DS :ユーザーとデバイスを「認証」AD FS :認証されたユーザーとデバイスの“クレーム”を含んだ「トークンを発行」
AD FSクレーム発行 認証したかどうか
クレームを受信
認可①アクセス可否
認可②ユーザー権限
認証:ユーザー特定
AD DS : Active Directory Domain ServiceAD FS : Active Directory Federation Service
10
他企業、他部門、他 CP からの認証を受け入れる
CONTOSO
AD FS
クレーム発行 認証したかどうか
クレームを受信
認可②アクセス可否
認可③ユーザー権限
NORTHWIND
AD FS AD DS
クレーム変換
HTTPS
HTTPS
認可①アクセス可否
クレーム発行
認証したかどうか
クレーム受信
11
他企業、他部門、他CP からの認証を受け入れる
CONTOSO
AD FS
クレーム発行 認証したかどうか
クレームを受信
NORTHWIND
AD FS AD DS
HTTPS
HTTPS
HTTPS HTTPS
HTTPS
認可②アクセス可否
認可③ユーザー権限
認可①アクセス可否
クレーム発行
認証したかどうか
クレーム受信
12
Firewall 外からのリクエストを受け入れるには
CONTOSO
AD FS
クレーム発行 認証したかどうか
クレームを受信
NORTHWIND
AD FS AD DS
HTTPS
HTTPS
HTTPS HTTPS
HTTPSA
DFS
PR
OX
Y
Web Application Proxy(Windows Server 2012 R2)を使用する
クレーム発行
認証したかどうか
クレーム受信AD FS PROXY
13
パブリッククラウド連携も同じ考え方
NORTHWIND
AD DS
HTTPS
クレーム発行
クレームを受信
AD FS
HTTPS
クラウド上のクレームプロバイダー(アイデンティティプロバイダー
14
パブリッククラウド側の IdP は WAAD
NORTHWIND
AD FS AD DS
HTTPS
HTTPS Active Directory
クレーム発行
クレームを受信
など
ハイブリッドな認証基盤
15
SAML トークンが連携のカギ
WS-FedSAML 2.0
など
クレームを受信
NORTHWIND
AD FS AD DS
WS-Fed
Active Directory
クレーム発行
ハイブリッドな認証基盤
16
SAML トークンが連携のカギ
WS-FedSAML 2.0
など
クレームを受信
GOOGLE APPS
Salesforce.com
SAML 2.0/WS-Federation により他社クラウドアプリとの連携も可能
NORTHWIND
AD FS AD DS
WS-Fed
Active Directory
クレーム発行
17
Windows Azure Active Directory
アクセスコントロール
• ID 連携
• トークン変換
ディレクトリ• ユーザー管理
• Graph API
• Auth. Library• 認証
• ID/Password• 多要素認証
• AD DS 同期
• Application Access• ユーザー同期 Active Directory
IDMaaS としての機能を実装したマルチテナント型のディレクトリ サービス
ADDS Azure AD
多要素認証プロバイダー(有償)• 電話応答• ワンタイムパスワード
iOS , Android , WP 用アプリ
18
ディレクトリディレクトリ
ID Store(AD LDS に相当)
Federation
Gateway(AD FSに相当)
Graph(REST API)
アカウント情報の管理• ユーザー• グループ• デバイス
AD DS
3rd Party SaaS
CP
(IdP)側
RP
(SP
)側
WS-Fed
SAML 2.0
OAuth 2.0
WS-Fed
SAML 2.0(ECP Profile)
その他105 サービスに対応( 2013/8 時点)
AD FS(WS-Fed)
自社開発アプリ
OR• Shibboleth(SAML 2.0)• Ping Federate( WS-Fed,SAML 2.0 )
http://technet.microsoft.com/en-us/library/jj679342.aspx
19
“アプリケーション アクセス”(Preview)• 既存 SaaS の認証を “インスタント” に WAAD に関連づける• Google Apps, Salesforce.com はアカウント同期も可能
SAML対応RP
Active Directory
ID フェデレーション
パスワード連携
ID 同期
②
その他
Access Panel
①
事前にID/Passを登録
その他
アプリケーションアクセス
20
Access Panel• Windows Azure AD と関連付けられた SaaS の一覧• ユーザーは、サービスをクリックすればよい
https://account.activedirectory.windowsazure.com/applications/
21
Access Control Service
アクセスコントロール• 外部認証サービスから RP側へのトークン ゲートウェイ• ACS自身は認証プロバイダーではない
Application
WAAD- Directory WS-Fed
OpenID Oauh 2.02.0
AD
FSFe
dera
ton
Gate
way.
WS-Fedトークン変換
OAuthWrap
Application
RP
(SP
)側
CP(IdP)側
WS-Fed をサポートしている CP
22
ハイブリッドな認証基盤
~ 社内デバイス & 個人デバイス
23
従来の AD DS/AD FS では…
CONTOSO
AD FS
クレーム発行
認証したかどうか
クレームを受信
認可①アクセス可否
認可②ユーザー権限
HTTPS
UserID/Password
ドメインの UserID で直接アクセスする
・ユーザーの信頼性をチェック・デバイスの信頼性は未チェック
24
デバイスの信頼性をチェックするには
CONTOSO
AD FS
クレーム発行 認証したかどうか
クレームを受信
②デバイス認証
HTTPS
UserID/Password
ドメインの UserID で直接アクセスする
個人デバイスを登録し、認証できる仕組みが必要
③デバイスクレームを発行しアクセス可否を判断
④デバイスクレームからアクセス権限を判定
デバイス情報
①デバイス登録
25
• 個人デバイスを Active Directory ドメインに登録する機能(ドメイン参加ではない)
• デバイス認証が可能になり、個人デバイスの社内リソースへのアクセスを、デバイスクレームを使用して制御できるようになる
• DRS を使用してデバイス登録するプロセスを「Workplace Join」と呼ぶ
• iOS/Windows 8.1/Windows RT 8.1に対応
デバイス レジストレーション サービス(DRS)
Start
AD FS
AD DS
①「社内ネットワークに参加」
Domain UserID/Password クレーム処理エンジン
デバイス登録サービス(DRS)
②ユーザー認証
③デバイスクレーム
④デバイス登録
Start
⑤ 証明書インストール
個人デバイス
HTTPS
26
インターネットからの受け入れをどうするか
CONTOSO
AD FS
クレーム発行 認証したかどうか
クレームを受信
HTTPS
Web Application Proxy による事前認証/認可が可能
Web Application Proxy
27
社外からの事前認証(Web Application Proxy)
Start
AD FS AD DS
クレーム処理エンジン
Web
Application
Proxy
事前認証プロセス
アクセス
• デバイス クレームとユーザークレームを使用したきめの細かいアクセス制御• クレーム規則言語を使用
• AD FSに対応していないアプリケーションの事前認証も可能!!
Start
ユーザー認証
デバイス認証
追加認証
事前認証
デバイス クレーム
アクセス可否を判定
ユーザー クレーム
https
28
認証と認可の精度向上
~マルチファクター認証/認可
29
「追加要素」をどこに実装するか
NORTHWIND
AD FS AD DS
Active Directory
GOOGLE APPS
Salesforce.com
追加認証プロバイダー
?Start
?
クライアント
?
?
要素数が多いほど信頼性は高くなるが、インフラやアプリに負担を強いることになる
WEBアプリ
など
30
WAAD 多要素認証プロバイダースマートフォンまたは携帯電話を使用した追加認証メソッド
クラウドサービス Identity Provider
オンプレミス
Web Application
多要素認証プロバイダー
• ワンタイムパスワード• 通知
• 電話• テキストメッセージ
IE⑧③
⑤
ID/Password
④
⑥
#
Windows Azure Portal
サードパーティ製WEB サービス ①
Windows AzureActive Directory
AD DS + AD FS
スマフォ専用アプリ
31
BYOD にも Phone Factor が利用できる
Start
AD FS AD DSクレーム処理エンジン
Web
Application
Proxy
事前認証プロセス
アクセスStart
ユーザー認証
デバイス認証
Phone Factor
事前認証
デバイス クレーム
アクセス可否を判定
ユーザー クレーム
https
AD FS を通過する認証/認可プロセス すべてに適用可能
32
マルチファクター認証
AD FSを介した MFAの流れ
デバイス認証Active Directoryにデバイスが登録されているかどうかを確認する
プライマリ認証(ユーザー認証)
• Form認証
• Windows統合
• 証明書
MFA のターゲットを限定することが可能
無効
有効
NOYES
NG
OK
認証完了
NG
OK
無効
有効
<認証方式>
<条件>• ユーザー/グループ• 登録/非登録デバイス• 外部/内部ネットワーク
• Smart Card
• Phone Factor
• その他
OK
NG
33
まとめ
34
社内 AD DS を最大限に生かすのは AD FS である
34
BYODデバイス登録とデバイス認証
ネットワークロケーションや IP アドレス、ユーザー属性、デバイス属性などによる、多要素認証/認可
パートナー企業との ID 連携
パブリッククラウドとのID連携
AD FS により社内リソースの集中的なアクセス制御が可能
業務アプリケーション
Firewall
Active Directoryマルチファクター認証
35
Windows Azure Active Directory は IDMaaS である
IdM as a Service(IDMaaS)
IdMaaS Web Service
Web Service
Web Service
Active Directory
36
業務システム
Employees
Customers
Partners IdMaaS
Enterprise Social Network
Windows Azure Active Directoryは企業のソーシャル グラフになる
顧客サービス
IdM
Digital Identity
ドメインの枠を超えてリソース同士を結合できる
37
本日のデモ環境を作るための手順書
http://technet.microsoft.com/ja-jp/windowsserver/jj649374.aspx
38© 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the
part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
39
Appendix
復習:クレームベースの認証とは
40
クレーム ベース という考え方
• リソース側に渡す認可情報のフォーマットを統一(トークン、アサーション)• 認可情報の受け渡しプロセスの統一(プロトコル)
クレームを発行
クレームを提示
クレームを判定
CP:Claims Provider(要求プロバイダー) = AD FSRP:Relying Party(証明書利用者)
41
クレーム ベースの認証と認可
CP RP
CP:ユーザー認証、デバイス認証を行いトークン(アサーション)を発行
RP:トークンから本人を識別し、ロールを決定してアクセスを認可する信頼しているCPから発行されたトークンを持ってきたので「認証済み」と判定
業務トークン トークン
ユーザー情報
利用者
ロール管理簿
トークンを解析• 本人識別• ロール決定
信頼
クレームを格納
SAML 2.0 / WS-Fed.
属性ストア
42
セキュリティトークン
RP
業務 ロール管理簿
トークンを解析• 本人識別• ロール決定
CP
ユーザー情報
属性ストア
• ロールを決定するための「クレーム」は RP が提示する• アプリケーションには「ロール」決定のためのロジックを実装
Claims
name
company
title
署名
値
値
値
値
提示
43
クレーム ベースによるアイデンティティ フェデレーション
WS-Fed
• ドメイン(Firewall)を超えたリソースの利用• 以下の2要素が一致しており、相互に信頼関係が成立していれば連携が可能
• プロトコル(SAML 2.0、WS-Federation、WS-Trust)& プロファイル• トークン(アサーション)のフォーマット(SAML 1.1、SAML 2.0)
• 認証方式の違いがアプリケーションに影響しない• アプリケーションは複数の CP を同時に受け入れられる(マルチテナント)
関連会社A
関連会社B
ロール管理簿
( )=
STS:Security Token Service
側は に を登録。が の違いを吸収する。
必要なクレームは 側がに提示する。
AD
FS
AD
FS
AD
FS
SAML 2.0
SAML 2.0
SAML 2.0
WS-Fed WS-Fed
C
B
A A B C
44
属性ストア
認証
ここまでのまとめ
CP
AD DSSQLServer
AD FS
Offce 365
Windows Azure
社内
WEB Apps
利用者
他社クラウド
SAML/WS-Fed
45
パブリック クラウドにおける AD FSの役割
SAML/WS-Fed.Active Directory ドメイン
業務サービス
Azure仮想ネットワーク
AD DSon IaaS
• Active Directory ドメイン 認証をパブリック クラウドに拡張するためのゲートウェイ
Office 365
Windows Azure
他社クラウド
ADDS