2011.06.03

Naohiro Fujie

Microsoft MVP for Identity Lifecycle Manager

twitter : @phr_eidentity

Blog IdM 実験室 : http://idmlab.eidentity.jp

マイクロソフト の アイデンティティ 関連技術概要

1

　これまで学術的なイメージが強く、エンタープライズ分野では登場の機会が少なかったアイデンティティ・フェデレーションやプライバシへの取組みに関連する　技術がクラウドの台頭を一つのきっかけとして身近なものとなってきています。　マイクロソフトも既にエンタープライズに広く浸透している Active Directory を中心としてそれらの技術を展開してきており、本資料ではその概要を知っていただくことを目的としています。

はじめに

2

根底に流れるものVision, Principle / The Laws of IdentityArchitecture / Identity MetasystemSolutions, Products

ユースケース社内ユーザが社外サービスを利用するコンシューマ向けサービスを広く利用してもらう高信頼性への取り組み

Contents

3

Vision, Principle

• The Laws of Identity

Architectur

e

• Identity Metasystem

Solutions,

Product

s

• AD FS2.0, WIF, U-Prove, etc…

根底に流れるもの

4

Vision, Principle / The Laws of Identity

http://www.identityblog.com/wp-content/images/2009/06/7_Laws.htm

5

# 原則 内容1 ユーザによる制御と同意 ユーザの同意があった場合のみ、アイデンティティ

情報を開示すべきである2 限定された用途で最低限の公開 開示するアイデンティティ情報を最小限にし、情報

へのアクセスを適切に制限するべきである3 正当な相手のみへの情報開示 必要かつ正当な相手のみにアイデンティティ情報を

開示すべきである4 方向付けられたアイデンティ

ティ全方向（公開）と単方向（非公開）の両方のアイデンティティ情報をサポートすることで、検索性を維持しつつ不必要な名寄せを防止する

5 複数のオペレータと技術の相互運用性

複数のアイデンティティ・プロバイダによって実行される複数のアイデンティティ技術の相互運用性を保持すべきである

6 人間との統合 アイデンティティ情報を保護するため、利用者をシステムのコンポーネントの一つとして定義し、明確なインターフェイスを策定すべきである

7 一貫性のあるユーザ・エクスペリエンス

様々な状況下において一貫性のあるユーザとテクノロジのインターフェイスを提供すべきである

Vision, Principle / The Laws of Identity

6

相互運用を行うためのアーキテクチャ

Architecture / Identity Metasystem

http://www.identityblog.com/stories/2005/07/05/IdentityMetasystem.htm

7

Security Token Service ( STS )セキュリティ・トークン を処理（発行／変換）On-Premise

AD FS 2.0 ( Active Directory Federation Service 2.0 )

Online / CloudACS v2 (Windows Azure Platform AppFabric Access

Control Service v2 )MFG (Microsoft Federation Gateway )

Identity Provider / Claim Provider

8

SAML 2.0 / ws-federation 等の Federation Protocol 対応

AuthN Authority として Active Directory を利用Attribute Authority として Active Directory /

SQL Server / LDAP を利用可能

AD FS 2.0

9

システムエンティティ

STSAD FS 2.0

Token 要求 認証オーソリティ

属性オーソリティ

AuthN

Claim 取得SecurityTokenユーザ

Web サーバ等

AD DS

AD DSSQL

LDAP

ws-federation / OAuth 2.0 / OpenID 等のFederation Protocol 対応

各種 Identity Provider から発行されたトークンを変換

ACS v2

10

システムエンティティ

ユーザWeb サーバ等

各種オンライン IdP

オンプレミス IdP( AD FS 2.0 )

カスタム IdP( OpenID )

STSACS v2

Token 要求Securit

yToken

Token 要求Securit

yToken

Microsoft Online Service 用の Federation Gateway

On-Premise の AD FS 2.0 との Federation 用

MFG

11Directory Store

AuthN Platform

Federation Gateway

Microsoft Identity Platform

AD FS 2.0

AD DS

同期

Federation

AD FS 2.0SAML 2.0 / IDP Lite, SP Lite, eGov 1.5

Windows Live vNext / IIW#12OAuth 2.0

Interoperability

12

Windows Identity Foundationws-federation / ws-trust 対応の token ハンドリン

グ 　ライブラリ各種 Extension ( 現状 Community Technology

Preview )Extension for SAML 2.0 protocolsExtension for OAuthExtension for U-Prove

Relying Party Library

13

Windows Identity Foundation

14

ASP.NET

Windows Identity Foundation

.NET Framework 4

クレーム取出しクレーム評価

各種処理ト

ーク

ン

各種 STSAD FS 2.0

ACS v2

ブラウザ

ASP.NETWeb アプリケーション

User Centric Identity / Minimal DisclosureCardSpaceU-Prove ( 現状 Community Technology Preview

)

Identity Selector

15

• ユーザ自身による提供する情報の選択・確認• より少ない情報の提供で高い信頼性を得る→ 　セキュリティ と プライバシの両立

オンプレミスクラウド連携

• 社内ユーザが社外サービスを利用する　　　　　　　　　（ シングルサインオン ）

オンライ

ンIdP 連携

• コンシューマ向けサービスを広く利用してもらう　　　　　（ 他社オンライン ID でログオン ）

高信頼性への取組

み

• 失業手当を申請する• オンライン オークションで車を売る

ユースケース

16

社内にある Active Directory で管理しているユーザでクラウド・サービスを利用するIdP : AD FS 2.0メール : Google Apps / GMail情報共有 : Office365 / SharePoint チームサイトSFA : salesforce.com CRM

17

社内ユーザが社外サービスを利用する

メール、カレンダー

情報共有

SFA

AD FS 2.0

Federation

AD DS SAML 2.0ws-federation

1. PC にログオンし、メールチェックを行う2. 取引の状況を確認する3. チームサイトでファイルを共有する

18

シナリオ

PC にログオンし、メールをチェックするブラウザを起動し、 GMail サイトへアクセス

19

① AD FS 2.0 へリダイレクト、認証に成功すると Token が発行される※Windows 統合認証 環境では認証画面は出ない

② Google Apps へ Token が POST されログイン　できる

取引の状況を確認するそのままブラウザで salesforce.com へアクセスす

る

20

※ salesforce.com は SAML 　 IdP Initiated POST bindingなので先に AD FS 2.0 で Token 発行が必要（ブラウザショートカットの工夫で対応可能）

チームサイトでファイルを共有するそのままブラウザで Office 365 へアクセスする

21

① Office 365 へのサインイン画面で社内のドメイン名を入力するとサインイン先（ AD FS 2.0 ）へのリンクが表示される

② AD FS 2.0 にリダイレクトされると既に認証されているのでそのまま Token が発行されて Office 365 へ POST されログオンできる

他社オンライン ID でサービスを利用してもらうアプリケーション（ .NET / WIF on Windows

Azure )IdP : Facebook 、 Google 、 Yahoo! Japan

22

コンシューマ向けサービスを広く利用してもらう

SAML 2.0OpenIDOAuth

FederationFederation

ACS v2.NET / WIFアプリケーション

認証アイデンティティ情報提供

利用 ログイン

1. Facebook の アイデンティティ情報を利用してサービスを提供する

2. Google の アイデンティティ情報を利用してサービスを提供する

3. Yahoo! Japan のアイデンティティ情報を利用してサービスを提供する

23

シナリオ

Facebook へログインしてアプリケーションを利用

24

① .NET アプリケーションにアクセスすると ACS v2 のホームレルムディスカバリ（利用する IdP 選択）画面へリダイレクトされる

② Facebook を選択する

③ Facebook のログイン画面へリダイレクトされるのでログインする

25

④ Facebook の情報へのアクセスを許可

⑤ アプリケーションへ情報が渡される

Google へログインしてアプリケーションを利用

26

① .NET アプリケーションにアクセスすると ACS v2 のホームレルムディスカバリ（利用する IdP 選択）画面へリダイレクトされる

② Google を選択する

③ Google アカウントのログイン画面へリダイレクトされるのでログインする

27

④ Google アカウントの情報へのアクセスを許可

⑤ アプリケーションへ情報が渡される

Yahoo! Japan へログインしてアプリケーションを利用

28

① .NET アプリケーションにアクセスすると ACS v2 の　ホームレルムディスカバリ（利用する IdP 選択）画面へ　リダイレクトされる

② Yahoo Japan OpenID を選択する（カスタム設定が必要）

③ Yahoo! Japan のログイン画面へリダイレクトされるのでログインする

29

④ Yahoo! Japan アカウントの情報へのアクセスを許可

⑤ アプリケーションへ情報が渡される

より少ないアイデンティティ情報だけで高い信頼を得るための取組み（ U-Prove 暗号化技術 ）アプリケーション（ .NET / WIF Extension for U-

Prove )Token の正当性の確認（ U-Prove Agent )Claim Provider ( U-Prove Token Issuer )

30

高信頼性への取組み

U-Prove Agent.NET / WIF Extensionアプリケーション

利用 ログインClaim Provider

U-Prove Token

Proof Token

確認

1. 失業手当を申請する2. オンライン・オークションで車を売る

31

シナリオ

確かな身元情報を確認する

失業手当を申請する

32

① 申請サイトにアクセスする

② 身元保証を行うサイトを選択する（必要な情報を提供可能なサイトから選択する）

33

③ 情報提供元サイトへログオンする

④ 提供される情報を確認する ⑤ 確認済み情報として情報が提供される

確認済みマーク

オークション詐欺を防止するために身元を保証する

オンライン オークションで車を売る

34

① サイトにアクセスする

② 身元保証サイトへアクセスする（手動で情報を入力する場合はより詳細な情報が必要となる）

35

③ 身元保証を行うサイトを選択する（必要な情報を提供可能なサイトから選択する）

④ 情報提供元サイトへログオンする

⑤ 提供される情報を確認する

36

⑥ 確認済み情報として情報が提供される

エンタープライズの社内インフラのイメージが大きかったマイクロソフトのアイデンティティ関連技術ですが、標準技術への対応により各種サービスとの連携が出来るようになってきています

コンシューマ向けオンラインサービスや高い信頼性が要求される電子商取引などに対応する取組みも進んできています

まとめ

37

Kim Cameron 氏 bloghttp://www.identityblog.com/

日本マイクロソフト エバンジェリスト 安納氏 bloghttp://blogs.technet.com/b/junichia/

@IT記事：Windows で構築する、クラウド・サービスと社内システムの SSO 環境（以前書いた記事）http://

www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html

私の blog： IdM 実験室http://idmlab.eidentity.jp/

参考情報

38

4/21 インプレス R&D より「クラウド環境におけるアイデンティティ管理ガイドライン」が出てます。（日本ネットワークセキュリティ協会 アイデンティティ管理 WG著）

39

ちょこっと宣伝

https://store.libura-pro.com/purchase/index/id/1j05hhywem8h/pageNo/1