プライベートクラウドとパブリッククラウドを連携する認証基盤の構築とその応用

プライベートクラウドとパブリッククラウドを連携する認証基盤の構築とその応用プライベートクラウドとパブリッククラウドを連携する認証基盤の構築とその応用日本マイクロソフトクラウド＆ソリューションビジネス統括本部中村仁吏 T3-205

セッションの目的SessionObjectives • セッションの目的 • クラウドサービスにおいての ID の位置づけの理解 • 既存の認証基盤との統合方法の紹介 • クラウド対応として認証基盤に求められる要件の確認

アジェンダ • クラウド連携の課題と要件 • 認証基盤の課題を解決 • ADFS によるシングルサインオンの実現と適正なアクセス制御 • ADFS を利用した連携 • ID 情報の統合管理 • まとめ

クラウド連携による ID 情報の課題

ID が基盤となるクラウド クラウドサービス監査データ管理 DLP ウィルス/ スパム対策アプリケーションアクセス制御 ID 情報

ID 情報の氾濫 クラウドサービス • ID の氾濫クラウドサービスアプリケーションクラウドサービスアプリケーション • ID 情報の共通化アプリケーション ID 情報 ID 情報 ID 情報 • ID 情報の連携インターネット社内アプリケーション利用者認証基盤利用者

クラウド連携で認証基盤に求められる要件 シングルサインオンによる認証適正な権限管理シンプルなユーザー管理

認証基盤の課題を解決Active DirectoryFederation Services(AD FS) によるシングルサインオンの実現と適正なアクセス制御

ADFSを利用した認証の流れ • 組織間でトークンを利用したシングルサインオンによる認証を実現 AD FSサーバー ActiveDirectory フェデレーション信頼 AD FSサーバー ④トークンを確認 ②ADFS サーバーにリダイレクト ③チケット（トークン）発行を要求アプリケーション ⑤トークンの送信利用者 ①アプリケーションにアクセスアプリケーション提供者（クラウドサービス）アプリケーション利用者

ADFS を利用したシングルサインオンによる認証 • フェデレーション信頼の設定 • 送付されてくるトークンの正当性を検証 • トークンに含まれる情報やキーを共有 • 自組織で利用している ID ストアからチケットを取得 • ActiveDirectory • ActiveDirectory ライトウェイトディレクトリサービス • SQLServer

トークンによる権限情報の提供 • トークンは複数のクレームから構成 • クレームは ActiveDirectory などの属性情報 • アプリケーションはクレームから ID 情報とそれ以外の情報の取得が可能 • アプリケーション側でクレームを利用した権限の設定クレーム 1 名前クレーム 2 グループクレーム 3 トークン役職 . . . クレーム n トークンの生成元を示し、改ざんを防ぐデジタル署名

認証基盤の課題を解決ADFS を利用した連携

ADFS が連携するアプリケーション • Office SharePoint Server 2007 / 2010, WSS 3.0 • 外部ユーザーへのサイト公開 • Exchange Server 2010 • 予定表, 連絡先の共有 • Active Directory Rights Management Services(AD RMS) • 外部ユーザーへの RMS ドキュメントの公開 • Office 365 • Windows Azure • Windows Identity Foundation で独自認証・認可ロジックを実装したアプリケーション

ADFS が連携するフェデレーションサーバー • HP IceWall • Sun OpenSSO • Novell Access Manager • CA SiteMinder • CA Federation Manager • 標準規格へのアライン • SAML 1.1/2.0 • WS-Federation • WS-Trust

ADFS を利用したクラウドサービスとの連携 • Office365 との連携例社内 AD FS 2.0サーバー認証基盤 Microsoft Federation Gateway フェデレーション信頼利用者シングルサインオンによるアクセスアプリケーション利用者

認証基盤の課題を解決ID 情報の統合管理

社内の ID 情報の管理 • ユーザーアカウントの適正な管理 • サービスを利用するユーザーアカウントの作成 • 退社などに伴うユーザーアカウントの削除 • 迅速な人事情報の適用 • 人事情報をユーザー属性に反映 • 組織の情報をグループオブジェクトに適用 • ゴーストアカウントによる不正アクセスへの対応 • 最新の情報を提供する事でユーザーの生産性を向上

ForefrontIdentityManager2010 の利用 • ForefrontIdentityManager2010(FIM2010) とは • 社内に存在する様々な ID 情報を一元化し統合的に管理 • ID 情報のライフサイクル管理を自動化 • ルールに基づいた ID 管理環境を提供作成入社人事異動更新ロール変更パスワードリセット権限リクエスト/承認削除退職

FIM2010 を利用した ID 管理 • 社内に存在する様々な ID ストアの ID 情報を一元管理 FIMID管理ポータル ID 情報に加工社員情報 ActiveDirectory 人事システム様々な ID ストア

FIM2010 を利用した ID 管理 • 属性情報に基づいた自動的なグループのメンバ管理 • ワークフローによるグループ参加申請 • ポータル /Outlook からの申請および承認 SalesGroup FIM2010 承認 1 承認依頼 4 Sales Group のファイルサーバーメンバ追加ユーザー Sales Group 承認依頼 2 3 アクセス可能承認承認者

FIM2010 を利用した ID 管理 • パスワード忘却時のセルフリセット • 秘密の質問を使用したセルフリセット • ログオン画面から直接リセット可能 • 出題数 / 必須回答数などは FIM ワークフローが制御

ID 管理を含めたクラウドサービスとの連携 • Office365 との連携例社内 ActiveDirectory 同期ツール Microsoft Federation Gateway フェデレーション信頼 AD FSサーバー利用者人事システムシングルサインオンによるアクセスアプリケーション利用者

まとめ

セッションのまとめSession wrap up • セッションの目的 • クラウドサービスにおいての ID の位置づけの理解 • クラウドサービスにおいても ID は基盤となる情報 • ADFS により ID 以外にもアクセス制御に利用できる情報の提供が可能 • 既存の認証基盤との統合方法の紹介 • 既存の認証基盤にはより適正な管理が求められる • クラウド対応として認証基盤に求められる要件の確認 • シングルサインオンによる認証 • 適正なアクセス制御 • シンプルなユーザー管理

リファレンス 機能概要 ActiveDirectoryhttp://www.microsoft.com/japan/windowsserver2008/r2/technologies/ad-main.mspx Technet ライブラリ AD フェデレーションサービス http://technet.microsoft.com/ja-jp/library/cc736690(WS.10).aspx ForefrontIdentityManager2010 製品ホームページ http://www.microsoft.com/japan/forefront/identitymanager/default.mspx Microsoft Forefront TechCenter http://technet.microsoft.com/ja-jp/forefront/default.aspx

ご清聴ありがとうございました • アンケート • にご協力 • ください • T3-205

プライベートクラウドとパブリッククラウドを連携する認証基盤の構築とその応用

プライベートクラウドとパブリッククラウドを連携する認証基盤の構築とその応用

Presentation Transcript