SaaS としての IdM の役割～マイクロソフトの IdMaaS 構想

SaaS としての IdM の役割～マイクロソフトの IdMaaS 構想日本マイクロソフト株式会社エバンジェリスト安納順一 http://blogs.technet.com/junichia/ Facebook :Junichi Anno

マイクロソフトの IdP プラットフォーム全体像 Consumer Enterprise WindowsAzure Active Directory Microsoft Account (WindowsLiveID） Sync WindowsServer ActiveDirectory Federation 他社 IdP Microsoft 全製品 Microsoft 全 OS Windows 8 Metadata Sync Sync HR

IdentityTechnologyの課題 • ROI（投資収益率）が見えずらい • アーキテクチャが複雑でエンジニアがいない • 導入コストと管理コストが結構大きい • “変化”が外部に与える影響が大きいセキュリティトークン Forefront Identity Manager PIN クレーム認証 CHAP 802.1x 同期 OTP パスワード ACL Provisioning ACE ldap Active Directory メタディレクトリ NTLM 認可 SAML WS-Federation SCIM IRM ServiceforUNIX radius Kerberos Nis+ OpenID nis 統合認証 ICカードフェデレーション SMB 信頼関係マルチマスター ACS OAuth IdM 信頼関係証明書 SSO NDS ACE 2要素認証アサーション OpenIDConnect WS-Trust ADSI

Agenda&Takeaway • 2000年以降、ID 管理（IdM）の手法に”大きな変化”はありませんでした。しかしパブリッククラウドの登場により、あらゆる面で“大きな変化”を強いられようとしています。 • それには ID 管理基盤自身のみならず、アプリケーション側の変革も含まれています。 • 本セッションでは、 • IdM に求められる役割の変化 • ドメインベース管理では対応が難しいこと • Enterprise なパブリッククラウドにおける IdMas a Serviceの重要性 • を通して、パブリッククラウドへの移行初期から完成期に向けた IdM のあり方についてお話します。

Windows AzureActive Directory～2013年4月リリース Identity Solution: Cloud Single Sign-on with Access Control • IdMasaService • マルチテナント • 認証 HUB（トークンゲートウェイ） • ID ストア • RESTAPI External IdP LIVE 連携 Access Control Sync Directory GraphAPI 3rd PartyServices Windows Server Active Directory or Shibboleth or PingFederate Windows AzureActive Directory Auth. Library Apps in Azure

WindowsAzureActiveDirectory definitely not! WindowsServer Active Directory (on premise / on Azure IaaS)

CoreIO（CoreInfrastructureOptimization） • ID を中心に、すべてのリソースを結合 • EndtoEnd のセキュリティポリシー • IdM により関係性が管理されている • IdM の役割 • DigitalIdentity の Provisioning • Create • Retrieve(Read) • Update • Delete • 最新状態の維持 • IdM の目的 • ただしく認証、ただしく認可 • 適切なアクセス権管理 • リソースの保護 • セキュリティポリシーの管理 Network Devices Users, Devices, Services Groups Attributes IdM DigitalIdentity Data Services

従来の ID 管理～ Domain-based Identity Management • ドメイン境界内の保護 • ID による企業統制 • セキュリティポリシーの集中管理ドメイン境界（Firewall） Active Directory ドメイン

IdP の乱立問題をどう回避したのか？ 回避は........できませんでした... そのかわり...こんな方法で対応してきました統合認証同期 Metadata 認証サーバー業務業務業務業務業務

組織間、企業間連携のニーズ • ドメインの異なる組織、企業間でサービス連携を行いたい • ActiveDirectory 以外のドメインとの連携サービス（ServiceProvider:SP）には、認証と認可がつきもの Active Directory ドメイン Active Directory ドメイン連携

パブリッククラウド連携へのニーズ • 企業向け SaaS（Office365, GAE, Saleceforce など） • SNS との連携サービス（ServiceProvider:SP）には、認証と認可がつきもの WebService WebService WebService office365 WebService WebService Active Directory ドメイン WebService WebService Google.com Outlook.com Salesforce.com Facebook.com

新たな課題 • IdP（IdentityProvider）として • 企業ドメインの ”境界” を超えたリソース利用 • パブリッククラウド上での Identity 管理 • SP（RP）として • 複数企業の受け入れ方法（コードを書き換える!?） • テナントごとのアクセス管理 • 受け入れ企業の Digital Identity 管理、保守 • 「パスワード管理なんてやってられっか!」

IdentityFederationModel • ドメインベースモデルの大いなる拡張! • ドメイン外サービスとの連携 • 認証と認可の分離（IDとリソースが同一ドメイン内でなくてもよい）認可認証 SP（RP） IdP（CP）同一人物 PROVESWHOSHEIS CLAIMS WHOAMI?

クレームベースの認証と認可 IdP：ユーザー認証、デバイス認証を行いトークン（アサーション）を発行 SP：トークンから本人を識別し、ロールを決定してアクセスを認可するクレームベースの認証と認可信頼 IdP（認証） SP（認可）クレームを格納業務ロール管理簿トークントークンユーザー情報 • トークンを解析 • 本人識別 • ロール決定認証属性ストア利用者プロトコルが存在する

アクセス権はロールによって決定される • ロールを決定するための「クレーム」は SP が提示する • アプリケーションには「ロール」決定のためのロジックを実装 Token Claims IdP（認証） SP（認可） mail 提示値業務ロール管理簿ユーザー情報 name 値 • トークンを解析 • 本人識別 • ロール決定 company 値属性ストア title 値署名

アイデンティティフェデレーションのメリットアイデンティティフェデレーションのメリット • ドメイン（Firewall）を超えたリソースの利用 • 以下の２要素が一致しており、相互に信頼関係が成立していれば連携が可能 • プロトコル（SAML2.0、WS-Federation、WS-Trust）& プロファイル • トークン（アサーション）のフォーマット（SAML1.1、SAML2.0） • IdP の違い（認証方式の違い）がアプリケーションに影響しない SAML2.0 Ｃ社 IdP STS SecurityTokenService（STS） SAML2.0 SP 側は STS に IdP を登録。STS が IdPの違いを吸収する。必要なクレームは SP 側が IdP に提示する。 SAML2.0 B 社 IdP STS A 社 IdP WS-Fed WS-Fed CRM WS-Fed STS ロール管理簿 STS：SecurityTokenService

ADFS（STS）を使用した ID フェデレーションの例 Domain-BasedIdentityManagementモデルの延長でしかないトークンのやり取り ActiveDirectoryドメイン ADonIaaS 業務サービス STS ADFS (STS) 複製クラウド上の業務サービス STS VPN クラウド上の業務サービス STS IDは一元管理、SSO 業務サービス

Identity の中心をパブリッククラウドへ IdMas a Service CoreIO • マルチテナント • シンプルな共通管理インターフェース • 外部 IdP との連携 • スケーラビリティ • オンプレミスとの連携 • セキュアな ID 管理 Network Devices Web Service IdM DigitalIdentity Web Service Data Services Web Service

Windows AzureActive Directory Identity Solution: Cloud Single Sign-on with Access Control • IdMasaService • マルチテナント • 認証 HUB（トークンゲートウェイ） • ID ストア • RESTAPI External IdP LIVE 連携 Access Control Sync Directory GraphAPI 3rd PartyServices Windows Server Active Directory or Shibboleth or PingFederate Windows AzureActive Directory Auth. Library Apps in Azure

WAADーDirectoryService • ユーザー情報の格納庫 • ユーザー認証 • トークン発行 DirectoryService SAML2.0 WS-Fed • アカウント情報へのアクセス • ユーザー • グループ • デバイス Graph （RESTAPI） Federation Gateway （STS） IDStore Application WebService OAuth 2.0 SAML 2.0（限定的サポート） WS-Fed STS • Windows Server Active Directory • Shibboleth • PingFederate IdP

マルチテナント対応アプリケーションの実現 http://msdn.microsoft.com/en-us/library/windowsazure/dn151789.aspx

WAADｰDirectoryService2要素認証（プレビュー） • WindowsAzureActiveDirectory の追加認証要素として実装 • サービスプロバイダーから透過的 • 携帯電話（スマートフォン）を使用することで認証チャネルを分離 • 現時点では WAAD で認証を行うユーザーにのみ適用可能 • ブラウザ利用のみ SP Token Token DirectoryService Access IE ID/Password PhoneFactor Application WebService #

Identity Solution: Cloud Single Sign-on with Access Control WAAD － Access Control Service • 外部IdP から SP に対するトークンゲートウェイ • オンプレミス ActiveDirectoryとの IDフェデレーション Directory Service OpenID Oauh2.0 STS AccessControlService IｄP Application トークン変換 SP WS-Fed WAAD WS-Fed STS Application OAuthWrap IdP WS-Fed をサポートしている IdP

Access Control Graph API • API 認可（OAuth2.0）による情報保護 • RESTfulGraph API を使用した Directory へのアクセス • JSON/XML で応答を受信 • API エコノミーを支えるアセット対称キーや証明書を共有 Token Request OAuth 2.0 Endpoint LOB JWT Graph APIEndpoint Request w/ JWT Check Response Windows AzureActive Directory

まとめ • IdMaaS は • 企業ドメインの枠を超えて、あらゆる DigitalIdentity とあらゆる Service を結び付け、パブリッククラウド上の様々なサービス（API）とともに “API エコノミー” を構成します • 将来、企業のソーシャルグラフとなり、EnterpriseSocialNetwork を実現します

まとめ IdMaaS は企業組織のソーシャルグラフである Enterprise Social Network IdMaaS 業務システム Partners IdM Customers DigitalIdentity 顧客サービス Employees

SaaS としての IdM の役割～マイクロソフトの IdMaaS 構想