3. 企業向け
Active Directory
Active フェデレーション Identity Lifecycle
Directory サービス Manager
ID統合 ID連携 (“Geneva”) ID同期
"
Windows
Windows Live ID
CardSpace
個人向け
4.
5. ゕプリケーションは、それぞれの場面で
異なる ID 技術を使う必要がある
Windows ドメン下では
Active Directory (Kerberos)
ンターネットでは、ユーザ名とパスワード
組織間連携では、WS-Federation や
SAML (Security Assertion Markup Language)
すべての場面で共通に使える手法はないのか
クレームベースの ID により可能に
開発者、IT Pro 双方にメリット
10. ID プロバイダー 5) トークン内のクレームを利用
“Geneva”
Server アプリケーション
STS STS STS “Geneva”
Framework
1) ゕプリケーションに
ゕクセスし、トークンの
トークン 条件を取得 4) トークンを
送信
3) 選択した トークン
ID のトークンを ブラウザー
取得 クライアント
CardSpace
“Geneva”
2) 条件を満たす
ID を選択
ユーザー
11. 3つの ID テクノロジー
“Geneva” Server
Active Directory フェデレーション サービス (AD FS) の
次期バージョン
STS
Windows CardSpace “Geneva”
Windows CardSpace の次期バージョン
“Geneva” Framework
“Geneva” の目標は、クレームベースの
ID モデルを実用的にすること
12. ID プロバダーは、
クレームを作成するオーソリテゖ
一般的な ID プロバダーの例
社内では、会社 (人事、IT 部門など)
ンターネットでは、自分自身の場合が多い
ID プロバダーは、
STS: セキュリテゖ トークン サービスを運用
トークンを発行するサーバー
トークンの発行リクエストは WS-Trust 経由で受付
さまざまなフォーマットが利用可能
SAML フォーマットがよく使われている
13.
14. 企業 Microsoft Services Identity Backbone 企業のネットワーク境
界は、消滅しつつある
社内
ゕプリケーション
どうすれば、社内ゕプ
Active
Directory
リケーションを社員以
外に提供し、利用を拡
大できるか
?
パートナー
Active
Directory
15. エンタープラズIdentity Backbone
Microsoft Services ID バックボーン “Geneva” Framework
クレーム対応ゕプリケー
社内 ションを作成するための
ゕプリ .NET ベースのフレームワー
“Geneva” ク
Active Framework
Directory
“Geneva” “Geneva” Server
Server Active Directory と
統合された STS
Windows CardSpace に
クレーム 対応
“Geneva” Windows CardSpace
Server “Geneva”
ユーザーのコントロール下
にある ID セレクター
より小さく、速く
Active
Directory
16. エンタープラズ ID バックボーン
Microsoft Services Identity Backbone WS-Federation,
WS-Trust,
社内 SAML 2.0 プロトコル
ゕプリ のサポート
“Geneva”
Active Framework
Directory 上記プロトコル対応のフェ
“Geneva”
デレーションソフトウェ
Server
ゕ・サービスと相互運用可
能
“Geneva” Third Party
Server STS
User
Active
Database
Directory
17. Microsoft Services ID バックボーン
Microsoft Services Identity Backbone Microsoft Federation
Gateway は、
クラウド マクロソフトの ID バック
ゕプリ ボーンの重要なサービス
・
Microsoft サービス
Federation Azure クラウドゕプリケー
Gateway ションや開発者サービスへ
の橋渡しを行う
一つのフェデレーションで、
さまざまなサービスにゕク
セス可能
“Geneva” Third Party
Server STS
WS-Federation,
WS-Trust 準拠
User
Active
Database
Directory
18. Microsoft Services ID バックボーン
Microsoft Services Identity Backbone Windows Live ID の
クラウド ゕカウントでも
Windows ゕプリ Federation Gateway 経
Live ID ・ 由で、クラウドゕプリ
Microsoft サービス にゕクセス可能
Federation
カスタム
コンシューマー Gateway
ドメン
Windows Live ゕドミン
センターにより ID 管
理のゕウトソースも可
能
“Geneva” Third Party 自動管理用の API
Server STS カスタマズ可能な UX
User
Active
Database
Directory
19. Microsoft Services ID バックボーン
Microsoft Services Identity Backbone Active Directory と
クラウド Microsoft Federation
Windows ゕプリ Gateway とのフェデ
Live ID ・ レーション
Microsoft サービス
Federation
コンシューマー
カスタム
ドメン Gateway 無償ダウンロード、
簡単なセットゕップ
1:1 の信頼ではなく、
M.O.S ゲートウェとの
Third Party
Fed Util
“Geneva”
STS
信頼
Server
+ “G” Svr
Windows CardSpace を
Active Active
User
Database
サポート
Directory Directory
20. Microsoft Services ID バックボーン
Microsoft Services Identity Backbone クレームベースの
ゕプリ ゕクセスにより、
Windows ケーション さまざまな ID を
Live ID “Geneva” サポートする
Microsoft Framework ゕプリケーションを
コンシューマー
カスタム
Federation
Gateway
作成可能
ドメン
Microsoft “Geneva” Third Party
Services Server STS
Connector
User
Active Active
Database
Directory Directory
21. Microsoft Services ID バックボーン
Microsoft Services Identity Backbone クレーム対応の
ゕプリケーションは
Windows 一度作成すれば
Live ID どこにでも
Microsoft ホスト可能
Federation
カスタム
コンシューマー Gateway
ドメン
ID プロバダーは
設定による選択で、
ゕプリケーションの
ロジックには
Microsoft 埋め込まれていない
Services ゕプリ
Connector ケーション
Active “Geneva”
クラウドへの移行、
Directory Framework オンプレミスへの
Active
Directory 移行も容易
22. Microsoft Services ID バックボーン
Microsoft Services Identity Backbone クレームの用途は
ログンだけではない
Windows Microsoft
Live ID Access Microsoft Access Control:
Microsoft
Control STS がゕクセスコントロー
Federation
ルのための
コンシューマー
カスタム
Gateway
トークンを発行
ドメン
ゕクセスコントロールのロ
ジックを
ルールセットに分解
M.O.S. “Geneva” ルールセットの管理
Fed Util Server ゕプリ ポータルや API を提供
+ “G” Svr ケーション
“Geneva”
Framework
Active Active
Directory Directory
23. Microsoft Services ID バックボーン さまざまなサービス、
Microsoft Services Identity Backbone
Microsoft Federation Gateway ID プロバダーから、
目的に適合するものを
ゕプリ 選択
Microsoft
ケーション HealthVault
Access
Third Party
Framework
(OpenID)
Control シンプルな管理の
ためにゲートウェを
活用
Third Party “Geneva”
STS Server ゕプリ
ケーション
User “Geneva”
OpenID Framework
Database プロバダ Active
Directory
24. Microsoft Services ID バックボーン
Microsoft Services Identity Backbone ラトウェトな
SSO も利用可能
Windows
Live ID Live Framework:
Microsoft WebAuth
コンシューマー
カスタム
Federation OpenID
ドメン Gateway
Any STS Web
ゕプリ Web
ゕプリ OpenID 対応
“Geneva” Live Web ゕプリ
Active Framework Framework
Directory
25. ID プロバダー ゕプリケーション
(クラウドまたはオンプレミス)
Services
Microsoft Microsoft Third
Live クレームを
Federation Access Party 要求
ID “Geneva” Framework
Gateway Control Services
Microsoft Live Framework
クレームを
Software
“Geneva” Server Services Third 送信
Connector Party Third Party
Servers Frameworks
Active Directory
クレームを送信
信頼
クレーム取得 必要なクレーム
ID セレクター(必要に応じて)
Windows CardSpace サードパーテゖの
“Geneva” ID セレクター
26.
27. 現行の Active Directory Federation Service は
パッシブクラゕント (ブラウザー) のみサポート
STS は未提供
WS-Federation のみサポート
“Geneva” Server では
ゕクテゖブ・パッシブクラゕントを
サポート
STS を提供
WS-Federation と SAML 2.0 プロトコルを
サポート
信頼関係の管理性を向上
一部の設定を自動化
34. 必要なクレームを決める
識別子、属性など
クレームを扱うプログラムの作成
“Geneva” Framework の活用
クレームの取得元を選択
ソフトウェゕ: “Geneva” Server, サードパーテゖ
サービス: Microsoft Federation Gateway,
Windows Live ID, Microsoft Access Control,
サードパーテゖ
独自に STS を作成
ユーザーが利用可能な STS がない場合
Geneva claims provider の利用
35. Active Directory “Geneva” 5) ゕプリ X、ゕプリ Y、
Domain Services Server ユーザーに対する
ポリシーを確認
STS
X用 X用 Y用
トークン トークン トークン
1) ゕプリ X 用 4) ゕプリ Y 用 6) ポリシーに従って 8) トークン内の
トークン取得 トークン要求 ゕプリ Y 用トークンを発行 クレーム利用
7) トークン送信
ブラウザー Y用
クライアント アプリ X トークン アプリ Y
X用
トークン “Geneva” 3) ゕプリケーション “Geneva”
にゕクセスし、
2) トークン送信 Framework トークンの要件取得 Framework
ユーザー
36.
37. クラウド
エンター
プラズ ISV ゕプリ
Windows Microsoft
ゕプリ Live Online
Microsoft
Live
Live Microsoft Dynamics
Azure Services Platform Mesh
Identity Federation CRM Online
Service Gateway
“Geneva”
エンタープライズ
Server
ブラウザー オンプレミス
Active
Office
Directory
Employee
ゕプリ Exchange ISV ゕプリ SharePoint
38. ユーザーがリンクをクリック Federation Gateway は
- “Geneva” Server で認証 トークンを確認し
“Geneva” Server は クレームを変換
Active Directory で認証
Federation Gateway は
“Geneva” Server は サービストークンを発行し
ログントークンを発行し
Federation Gateway にリダレクト
サービスにリダレクト
ユーザーがサービスにゕクセス
ブラウザー
Office
デスクトップ
ゕプリ
Microsoft クラウド
エンター “Geneva”
Federation
プラズ Server ゕプリ
Gateway
Active サービス
Directory
39. Active Directory / “Geneva” Server と Federation Gateway、
クラウドゕプリ・サービスを接続するウゖザードツール
一度のフェデレーション設定で、
自動プロビジョニング
特定の CA 発行の SSL 証明書によりドメンの所有者を証明
ドメン、サンンのエンドポント署名鍵を登録
継続的なフェデレーションの管理タスクは自動化
M.O.S. Microsoft クラウド
エンター
Fed Util Federation
プラズ ゕプリ
+ “G” Svr Gateway
サービス
Active
Directory
40. フェデレーションのメリット
ゕプリ・サービスを、複数の組織に提供可能
ID をコピーしないため
シンプルな管理
セキュゕ
ユーザーはシングルサンオン
Federation Gateway / “Geneva” Server のメリット
既存の ID ンフラに変更を加えずに
クラウドサービスを活用・移行できる
Point-to-Point ではなく、Hub & Spoke のため
設定と管理がシンプル
セキュリテゖレベルの維持
クラウド用のゕカウント、パスワード不要
43. “Geneva Server”
ID 連携のためのサービス (サーバーソフトウェゕ)
正式名称: Active Directory Federation Services
ダウンロードセンターより製品候補版提供中
Active Directory Federation Services 2.0 Release Candidate
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=118c3588-9070-426a-b655-6cec0a92c10b
現時点で Windows Server 2008, 2008R2 対応
“Geneva Framework”
クレームベースのゕプリケーション開発用フレームワーク
正式名称: Windows Identity Foundation
開発完了、ダウンロードセンターより提供中
Windows Identity Foundation
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=eb9c345f-e830-40b8-a5fe-ae7a864c4d76
Windows Server 2003 SP2 用:
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=be4db6a0-b76d-446d-810c-ea3c25b3969a
Windows Identity Foundation SDK
http://www.microsoft.com/downloads/details.aspx?familyid=C148B2DF-C7AF-46BB-9162-2C9422208504&displaylang=en
Windows 7, Vista SP2,
Windows Server 2003 SP2, 2008 SP2, 2008R2 対応
Windows CardSpace “Geneva”
カードを選ぶ形式でクレデンシャルを送信
ユーザーセントリックな ID 管理
正式名称: Windows CardSpace 2.0
ダウンロードセンターより Beta 2 提供中
Windows CardSpace 2.0 Beta 2
http://www.microsoft.com/downloads/details.aspx?familyid=8F9389B2-ECE0-4485-98AD-B093F18838FE&displaylang=en
Windows 7, Vista SP2, Windows Server 2008 SP2, 2008 R2
44. “Geneva” (Forefront: Identity Access Management)
http://www.microsoft.com/geneva
Microsoft Federation Gateway
http://msdn.microsoft.com/en-us/library/ cc287610.aspx
“Geneva” Team Blog
http://blogs.msdn.com/card/
ホワトペーパー・デモキットなど
https://connect.microsoft.com/site642
45. Windows CardSpace を利用するもの
Internet Explorer 6/7/8
Firefox
Identity Selector
http://www.codeplex.com/IdentitySelector
カードの一元管理が可能、Windows のみ対応
46. 独自のセレクターを利用するもの
Higgins
http://www.eclipse.org/higgins/
Firefox, GTK, Cocoa, Eclipse RCP
Digital Me (Bandit Project)
http://www.bandit-project.org/index.php/DigitalMe
Firefox, SuSE Linux, Mac OSX
OpenInfoCard
http://code.google.com/p/openinfocard/
FireFox の組み込みセレクター
Xmldap.org のプロジェクト
Infocard Selector For Safari
http://www.hccp.org/safari-plug-in.html
Mac OSX
Azigo
http://www.azigo.com
AIR ベースのセレクター
カードはクラウドに保存