AppFabric ACS V2 による SSO

Windows Azure Platform シングルサインオンシリーズその２ Windows Azure AppFabricAccess Control Service V2によるシングルサインオンシステムの構築第1.0版 2011年3月11日日本マイクロソフト株式会社エバンジェリスト安納順一 http://blogs.technet.com/junichia/ Twitter @junichia

本日の予定 13:30 - 16:30 「Windows Azure AppFabric ACS V2で構築する　シングルサインオンシステム」マイクロソフト安納順一 16:45 - 17:30「「ID 管理？あ～認証の話ね」という人に向けた話」　MVP 富士榮尚寛氏 17:30 - 18:00 ライトニングトーク 18:00 - 19:00 懇親会

Cloud TechCenter インフラ担当者のためのクラウド情報サイト http://technet.microsoft.com/ja-jp/cloud/

ご注意本セッションの情報はベータ版の機能をもとにしています正式なリリース時には変更される可能性がありますのでご了承ください Windows Azure AppFabirc ACS V2 は 2011年上半期中にリリースされる予定です

本日のテーマと内容ハイブリッドクラウドを支えるテクノロジーの1つ、AppFabric Access Control Service の用途と操作方法について理解しましょう Windows Azure AppFabric ACS V2（プレビュー版）を使用して、Windows Azure 上に展開したアプリケーションへのシングルサインオンを構成します。 AppFabric ACS の役割を理解するクレームを認識するアプリケーションの作成アプリケーションをWindowsAzure 上に展開 AppFabricACSV2 のセットアップおよび環境設定長丁場ですが、根性でのりきりましょう！

Agenda マイクロソフトのハイブリッドクラウドシナリオクレームと Identity 連携 Windows AzureAppFabric ACS の役割これから構築する環境について AppFabric ACS ラボサイトの準備クレーム対応アプリケーションの作成 Identity Provider との連携 ,[object Object]

Facebook との連携まとめ

マイクロソフトのハイブリッドクラウドシナリオ

クラウドには萌えがいっぱい ,[object Object]

暗闇に妖しくひかる LED

クールなケーブルタッピング

はたらく自動車：：萌えるわぁ

真の”萌え”は…ハードウェア投資 ‘0’ で得られる高可用性障害対応 ,[object Object]

自動複製によるデータ保護

ネットワークロードバランスの自動構成環境変化への迅速な対応 ,[object Object]

ネットワークの自動構成ノンストップでのメンテナンス ,[object Object],[object Object]

3つの選択肢全てパブリッククラウドハイブリッド全てオンプレミス一部をクラウドに移行して両者の良いとこ取り移行コストが問題従来と変わらない運用

理想的なインフラストラクチャー全ての基盤が “1つの” システムとして協調動作ホスターパブリッククラウド Secure CloudFederation プライベートクラウド企業内システム

Secure Cloud Federation クラウドオンプレミスデータ同期～ SQL Azure Data Sync ～アプリケーション間通信～ AppFabric Service Bus ～今日のテーマセキュリティ～ AD FS 2.0 & AppFabric ACS ～仮想ネットワーク～ Windows Azure Connect ～

クレームと Identity 連携おなじみのはなしですが…

ID を使用する環境アプリケーション在るところ「Identity」在り企業全体クラウド企業：クラウド企業間自宅　企業：クラウド企業全体組織内組織間組織内

予測される ID 管理の問題点見えない利用者の Identity 管理/認証/承認異なる認証方式の相互運用ディレクトリサービスの設置が困難クレームベースセキュリティフェデレーションセキュリティモデル

クレームベースセキュリティの例～入国審査信頼米国政府日本国政府本人 ,[object Object]

指紋発行信頼入国出国空港健保番号 /免許証番号 /住民票ビザ ,[object Object],入国申請書 ,[object Object]

滞在先パスポート ,[object Object]

出国印パスポート・・

クレームベースセキュリティモデルクレームプロバイダーリライングパーティ信頼米国政府日本国政府オーソリティセキュリティトークン本人 ,[object Object]

指紋発行信頼サブジェクトクレームクレーム入国出国リソース空港健保番号 /免許証番号 /住民票ビザ ,[object Object],クレーム資格情報入国申請書 ,[object Object]

滞在先クレームパスポート ,[object Object]

出国印クレームクレームクレームパスポート・・クレーム署名クレームクレームクレームクレーム

クレーム（主張）とはアプリケーションに渡すユーザー自身の属性アクセス承認に使用されるユーザー ID 年齢資格情報（認証結果）住所メールアドレス性別役職言語所属部門趣味/趣向所属企業会員情報専門分野

セキュリティトークンパッケージ化されたクレーム発行者の署名によって信頼性を担保発行元の STS ( Security Token Service ) が生成するセキュリティトークンクレーム 1 クレーム 2 クレーム n クレームの発行元による署名

クレームベースセキュリティを使用した Identity 連携（フェデレーション）と SSO の実現 ,[object Object]

「サービスプロバイダー」側のアプリケーションは「認証機関」が発行したトークンをベースにアクセス権を決定する（再認証は行わない）サービスプロバイダーは認証機関を信頼している認証機関サービスプロバイダー ⑤アクセス承認 ①証明依頼 ④ トークン解析/アクセス権決定 ③Token提示 ②本人証明 Security Token Users Users 利用者 ④ID と ID を対応付ける

Identity 連携（フェデレーション）の基本構成 ,[object Object]

トークンは「セキュリティトークンサービス（STS）」によって発行される

トークンに格納するクレームは「クレームストア」に格納されているRP/SP は CP/IdPを信頼している IdP/CP RP/SP ⑤アクセス承認 ①証明依頼 ③Token提示 ②本人証明 Security Token セキュリティトークンサービスクレームストアセキュリティトークンサービス利用者 IdP：Identity Provider CP：Claim Provider RP：Relying Party SP：Service Provider

Windows AzureAppFabricAccess Control Service の役割

クラウドアプリケーションのアクセス管理をどうするか？アプリケーション側で複数の認証方式を吸収しなければならない Google Windows Live Facebook OpenID

選択肢はさまざまあるけど。。。 SQL Azure にユーザー DB を作成する Anonymous アクセス同期 WELCOME! 同期同期メタデータ Windows Azure Connect を使用 AD FS 2.0 を使用する Active Directory Domain

複数の組織/不特定多数のユーザーに対応できるか？ SQL Azure にユーザー DB を作成する Anonymousアクセス同期 WELCOME! 同期同期メタデータ Windows Azure Connect を使用 AD FS 2.0 を使用する Active Directory Domain

必要なのはクラウド上の STS AppFabricACSV2 が複数のIdPを吸収する AppFabric ACSV2 Google アプリケーションはクレーム対応しておけばよい Windows Live Facebook OpenID

Windows Azure AppFabricAccess Control Service クラウド上に用意された STS アプリケーションのコードを変更することなく、新たな Identity Provider との連携を実装することができるサポートされているプロトコル ,[object Object]

OpenID 2.0トークンフォーマット ,[object Object]

SAML 1.1/2.0既成の Identity Provider との Passive な連携 ,[object Object]

Active Directory Federation Service 2.0V2 V2 V2 V2 V2

Windows Azure AppFabricAccess ControlServiceV1の用途 RESTWEB サービスに「アクセス制御」を実装する（例）道路の混雑状況を提供するサービス問合せ問合せ返答返答誰でもアクセスできてしまうユーザーアプリユーザーアプリ

Windows Azure AppFabricAccess ControlServiceV1の用途アプリケーションに認証機能を実装することなく、アクセス制御を実現 Relying Party （例）道路の混雑状況を提供するサービス信頼 AppFabric STS Access Control Service REST ③ トークン ②トークン ① 認証 ④ 結果セキュリティキー or SAML 1.1/2.0トークン or SWT ユーザーアプリ ※ごめんなさい、お手元の資料と　ちょっとだけ絵がかわっています

ACSV1 を企業内 AD との SSO に使用する ACS では Passive SSO がサポートされていないことに注意 9 信頼 ACS WRAP REST Service 5 WS-Trust クラウド信頼 8 オンプレミス 6 4 10 AD DS AD FS2.0 1 7 2 3 クライアントアプリケーション

処理の流れクライアントアプリケーションが AD FS 2.0 にトークン発行を依頼 AD DS からクレームを収集 AD FS 2.0 から SAML 1.1 トークン発行トークンを ACS に送信 ACS は受け取った SAML 1.1 トークンをルールに沿って検証 SWT を生成し、クライアントに発行クライアントアプリケーションは受け取った SWT を分解し、正しい ACS から発行されたものか等を検証問題なければ HTTPAuthorization ヘッダーに SWT を埋め込み、REST サービスにPOST REST サービスは受け取った SWT を分解してロールを検証ロールが正しければサービスを実行

AppFabric ACSV2 の構造独自プログラム ManagementPortal AppFabric ACSManagementService Windows AzureAppFabric ACS 本体リライングパーティクレームプロバイダー Protocol クレーム変換エンジン Protocol WS-Federation WS-Federation AD FS 2.0 ブラウザーベースアプリ（Passive） SAML/SWT WS-Fed対応STS クレームルール google WEBサイト Yahoo! SAML/SWT OAuth 2.0 Facebook SAML/SWT OpenID 2.0 OpenID SAML/SWT Live ID Windows LiveID ｻｰﾋﾞｽ/ﾘｯﾁｸﾗｲｱﾝﾄ（Active） SOAPWeb サービス WS-Trust WS-Trustアプリ WS-Trust SAML/SWT SWT REST Web サービス OAuth/ WRAP 2.0 SWT OAuth/ WRAP 2.0 SWT対応アプリ

これから構築する環境について

これから構築する環境複数の IdP からの認証結果を受け入れる SSO システム AppFabric ACSV2 Web アプリケーション信頼信頼信頼信頼 AD FS 2.0 は今回は除外

設定/作成箇所は全部で11箇所 AppFabric ACSV2 Web アプリケーション信頼信頼信頼信頼 AD FS 2.0 は今回は除外

AppFabricACS ラボサイトの準備 ,[object Object],[object Object]

Namespace の作成 ② Windows AzureAppFabric にサブスクライブしていない場合に表示される

Namespace の作成 ③ Windows AzureAppFabric にサブスクライブしていない場合は「LabsSubscription」がサブスクリプション名となる Namespace を指定する。ここで指定した名前が AppFabric ACS の WEBサイト名になる。 https://acstestsite.accesscontrol.appfabriclabs.com/ 「Active」になったら使用可能

AppFabric管理サイトへの移動

AppFabricACS 管理サイト ※この画面は正式版で変わる可能性が大きいので簡単に。。。 Azureアプリケーションの登録主に使用するメニュー Identity Provider の登録クレームルールの登録セキュリティトークンの署名、暗号化のための証明書の登録 ACS から Active にセキュリティトークンを発行する場合に使用するユーザーIDを管理管理ポータルにアクセスすることができるユーザーIDを設定独自プログラムからの AppFabricACS 管理サービスへのアクセスを許可するユーザーIDを登録するカスタムログオン画面やエンドポイントのURLを確認する画面

AppFabric ACS 管理サイトでの設定内容クレーム変換ルール Identity Provider Windows Azure アプリケーション AppFabric ACS V2

クレーム対応アプリケーションの作成 Windows Azure の準備 Windows Azure用クレーム対応アプリケーションの作成 Windows Azure に展開 Windows AzureAppFabric ACS V2 に登録

クレーム対応アプリケーションの作成Windows Azure の準備 ,[object Object]

自己署名証明書の作成

証明書の登録,[object Object]

サービスの新規作成～サービスのURLを設定する識別名なので何でもよいアプリケーションのURL 世界で唯一である必要があるアプリケーションを展開するデータセンター同時にアプリケーションを展開することもできるが、今回はまだ作成していないので「展開しない」を選択

サービスの新規作成～サービスの初期状態まだ「入れ物」を作っただけなので、OSは展開されていない

自己署名証明書の準備～Windows Azure で使用する証明書とは参考 http://blogs.technet.com/b/junichia/archive/2010/09/02/3353275.aspx サブスクリプション証明書（.cer）サービス管理 API（SMAPI）へのアクセスに使用 X.509 V3（.CER）に対応し、最低 2048 bit キーを持っているサービス証明書（.pfx）サービスへの SSL 通信に使用 thumbprint によってアプリケーションと対応付けいずれも自己署名証明書を利用可能

（参考）SSL 通信と証明書管理 SSL 発行 SMAPI REST Storage Node Compute Node Guest Root SAK SSL 格納 FA FA GA SSL Hypervisor Fabric Controller Controller PKCS12 PKCS12 発行内部通信に使用される外部ーFCとの通信に使用 Microsoft CA

自己署名証明書の準備～[FAQ] 証明書の「主体（Subject）」について http://blogs.technet.com/b/junichia/archive/2010/09/03/3353536.aspx Windows Azure 上に展開されるアプリケーションの FQDN は… xxxxxxxx.cloudapp.net マイクロソフト所有のドメイン… ということは… xxxxxxxx.cloudapp.net で証明書を取得することはできない CNAME を使用して証明書を取得する必要がある ※今回は自己署名証明書を使用します

自己署名証明書の準備～証明書の登録場所サブスクリプションサブスクリプション証明書（.cer）アカウント import サービス tf20110311.cloudapp.net サービス証明書（.pfx） import サービス xxxx.cloudapp.net サービス証明書（.pfx） import サービス yyyy.cloudapp.net サービス証明書（.pfx） import

自己署名証明書の準備～自己署名証明書を作成するツール .NET Framework SDK ,[object Object]

pvk2pfx.exe.CER .PFX pvk2pfx makecert .PVK

自己署名証明書の準備～自己署名証明書の作成 Visual Studio をインストールしたマシンにログオン [スタート]-[すべてのプログラム]-[Microsoft Visual Studio 2010]-[Visual Studio Tools]-[Visual Studio コマンドプロンプト] を起動証明書（.cer）ファイルとプライベートキーファイル（ .pvk）ファイルを作成 .pvkと .cerから .pfx ファイルを作成する .cerと .pfxファイルを Windows Azure にインポートする makecert -r -pe -n "CN=tf20110311.cloudapp.net" -sky exchange “tf20110311.cloudapp.net.cer" -sv“tf20110311.cloudapp.net.pvk" pvk2pfx -pvk"tf20110311.cloudapp.net.pvk“ -spc“tf20110311.cloudapp.net.cer“ -pfx“tf20110311.cloudapp.net.pfx“ -pi <パスワード>

証明書の登録～サブスクリプション証明書の登録（.cer）

Windows Azure 用クレーム対応アプリケーションの作成

その前にクレーム対応アプリケーションとは。。。

Windows Azure 用クレーム対応アプリケーションの作成「認証の分離」とその限界多くのアプリケーションが「認証」を分離してきたが… アプリケーションこれまでの方式認証ロールサービスアプリケーション認証ロールサービス認証

Windows Azure 用クレーム対応アプリケーションの作成「認証分離」の限界 ,[object Object]

Identity 管理ポリシーの違い

アプリケーション側の対応

Single Sign-On/Off への適用Windows Live アプリ1 プロトコル情報の整形情報の解釈情報プロトコル強い絆情報情報強い絆強い絆アプリ2 Google プロトコル情報の整形プロトコル情報の解釈情報強い絆情報情報

Windows Azure 用クレーム対応アプリケーションの作成解決への考察 ,[object Object]

STS によりアプリケーション側の処理を削減

情報はセキュリティトークンに格納して受け渡しSTS STS Windows Live アプリ1 プロトコル情報の整形情報の解釈プロトコル情報プロトコルフェデレーション信頼情報情報 STS アプリ2 Google STS プロトコルプロトコルプロトコル情報の整形情報の解釈情報情報情報

アプリケーションは受け取ったロールを解釈するだけWIF AppFabric ACS Windows Azure 用クレーム対応アプリケーションの作成AppFabric ACS と WIF の役割 STS STS Windows Live WEB アプリプロトコル情報の整形情報の解釈プロトコル情報プロトコル信頼情報情報 WIF：Windows Identity Foundation

Windows Azure 用クレーム対応アプリケーションの作成認証/ロール管理からの分離アプリケーションこれまでの方式認証ロールサービスアプリケーション認証ロールサービス認証セキュリティトークンアプリケーションクレームに対応認証クレームクレーム解釈サービスクレーム認証

Windows Azure 用クレーム対応アプリケーションの作成WIF アプリケーションの構造 WIF (Windows Identity Foundation) を使用してセキュリティートークンからクレームを取り出す WIF は WS-Federation/WS-Trustをサポートロールは既にトークンにセットされているので評価するだけでOK ASP.NET AppFabric ACS クレームの評価ロール判定トークン Windows Identity Foundation 各種処理 .NET Framework 4 ブラウザー

Windows Azure 用クレーム対応アプリケーションの作成クレームの構造と識別方法 Microsoft.IdentityModel.Claims http://msdn.microsoft.com/ja-jp/library/microsoft.identitymodel.claims.aspx これらの値でクレームを識別する Claims ClaimType Claim Value Claim Claim Issuer Claim OriginalIssuer ValueType subject

Windows Azure 用クレーム対応アプリケーションの作成事前にインストールしておくもの Windows 7 + Visual Studio 2010 の場合 WindowsAzure Tools for Microsoft Visual Studio 1.4（2011年3月） VSCloudService.exe VSCloudService.VS100.ja-jp.msi （言語パック） ※Windows Azure SDK1.4 も一緒にインストールされます Windows Identity Foundation 3.5 ランタイム日本語版（KB974495） Windows6.1-KB974405-x64j.msu Windows Identity Foundation 3.5 日本語版 WindowsIdentityFoundation-SDK-3.5.msi Windows Identity Foundation 4.0 英語版 WindowsIdentityFoundation-SDK-4.0.msi Microsoft CAPICOM 2.1.0.2 SDK※自己署名証明書を作成する場合に必要

（参考）WIF対応アプリケーション用テンプレートを複製※今回は使いません %Program Files(x86)%indows Identity Foundation SDK4.0isual Studio Extensions0.0 ├ csClaimsAwareASPNETSite.zip ├ csClaimsAwareWCFSite.zip ├ csSTSASPNETSite.zip └ csSTSWCFSite.zip コピー <マイドキュメント>isual Studio 2010emplatesroject Templatesisual C# WIF を使用するためのテンプレートが追加される

Windows Azure 用クレーム対応アプリケーションの作成管理者として VSを実行 OR

Windows Azure 用クレーム対応アプリケーションの作成テンプレートの選択

Windows Azure 用クレーム対応アプリケーションの作成ロールの指定ワーカーロールとWebロールの違いについての詳細は以下を参照 Windows Azure Platform の概要 http://technet.microsoft.com/ja-jp/cloud/gg236628.aspx

Windows Azure 用クレーム対応アプリケーションの作成Windows Identity Foundation への参照追加 .NET から Microsoft.IdentityModel を追加する

Windows Azure 用クレーム対応アプリケーションの作成Microsoft.IdentityModel モジュールの複製設定 Windows Azure で用意されている Windows Server には WIF がインストールされていない。そこで、Microsoft.IdentityModel をAzure 上でも使用できるよう、パッケージの中に組み込んでおく必要がある。一緒にアップロードパッケージ Microsoft.IdentityModel

Windows Azure 用クレーム対応アプリケーションの作成SSL の設定 ① SSL を使用する場合には、サービス証明書へのポインター（Thumprint）を Visual Studio 側に設定しておく必要がある

Windows Azure 用クレーム対応アプリケーションの作成SSLの設定 ②

Windows Azure 用クレーム対応アプリケーションの作成SSLの設定 ③ 識別名なので何でもよいこのままサービス証明書の Thumbprint 証明書の識別名を選択 HTTPS/443 を選択

Windows Azure 用クレーム対応アプリケーションの作成STS 参照の追加 ① AzureアプリのURLを指定する

Windows Azure 用クレーム対応アプリケーションの作成STS参照の追加 ② AppFabricACSV2 のメタデータを登録する Windows Azure アプリ AppFabric ACS V2 信頼信頼 AD FS 2.0 ここの設定この情報を控えておく

Windows Azure 用クレーム対応アプリケーションの作成STS参照の追加 ③ AppFabricACSV2 のメタデータを指定

Windows Azure 用クレーム対応アプリケーションの作成STS参照の追加 ③

Windows Azure 用クレーム対応アプリケーションの作成Web.configの編集 ① <system.web> は複数存在するので、挿入場所に注意してください <configuration> 　<system.web> 　<customErrors mode=“off” /> 　 <httpRuntimerequestValidiationMode=“2.0” />

Windows Azure 用クレーム対応アプリケーションの作成Web.configの編集 ② Azure にアップロードしたサービス証明書の Thumbprint を追記する <serviceCertificate> <certificateReference x509FindType="FindByThumbprint" findValue=“<THUMBPRINT>"/> </serviceCertificate>

Windows Azure 用クレーム対応アプリケーションの作成ちょっとだけコーディング（っていうかコピペ）① 今回は、オンプレミスに展開したアプリケーションのコードを流用 ,[object Object],<%@ Page Language="C#" AutoEventWireup="true" Codebehind="Default.aspx.cs" Inherits="WebRole1._Default" ValidateRequest="false"%> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head id="Head1" runat="server"> <title>Claims-aware ASP.NET Web Site</title> <style type="text/css"> .style1 { font-size: large; font-weight: bold; } </style> </head> <body> <p class="style1"> Windows Identity Foundation - Claims-aware ASP.NET Web Site</p> <form id="form1" runat="server"> </form> </body> </html>

Windows Azure 用クレーム対応アプリケーションの作成ちょっとだけコーディング（っていうかコピペ） ② ,[object Object],using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.UI; using System.Web.UI.WebControls; using Microsoft.IdentityModel.Claims; つづく

namespace WebRole1 { public partial class _Default : System.Web.UI.Page { protected void Page_Load(object sender, EventArgs e) { IClaimsPrincipalclaimsPrincipal = Page.User as IClaimsPrincipal; IClaimsIdentityclaimsIdentity = (IClaimsIdentity)claimsPrincipal.Identity; // The code below shows claims found in the IClaimsIdentity. // TODO: Change code below to do your processing using claims. Table claimsTable = new Table(); TableRowheaderRow = new TableRow(); TableCellclaimTypeCell = new TableCell(); claimTypeCell.Text = "Claim Type"; claimTypeCell.BorderStyle = BorderStyle.Solid; TableCellclaimValueCell = new TableCell(); claimValueCell.Text = "Claim Value"; claimValueCell.BorderStyle = BorderStyle.Solid; つづく

headerRow.Cells.Add(claimTypeCell); headerRow.Cells.Add(claimValueCell); claimsTable.Rows.Add(headerRow); TableRownewRow; TableCellnewClaimTypeCell, newClaimValueCell; foreach (Claim claim in claimsIdentity.Claims) { newRow = new TableRow(); newClaimTypeCell = new TableCell(); newClaimTypeCell.Text = claim.ClaimType; newClaimValueCell = new TableCell(); newClaimValueCell.Text = claim.Value; newRow.Cells.Add(newClaimTypeCell); newRow.Cells.Add(newClaimValueCell); claimsTable.Rows.Add(newRow); } this.Controls.Add(claimsTable); } } }

あー面倒くさい。。。orzなので…プロジェクトファイルを以下に置きました http://blogs.technet.com/b/junichia/archive/2011/03/08/3392241.aspx 証明書の設定、STS参照の追加だけ行ってください

Windows Azure に展開アプリケーションの発行方法今回はこちらの方法を使用する 2通りの発行方法 ,[object Object]

パッケージファイルを保存して、ポータルサイトからアップする直接発行アップロードして展開ここまでは開発者の仕事展開するのはITPROの仕事サービスパッケージを作成 Windows Azure Portal .cspkg .cscfg

Windows Azure に展開サービスパッケージを作成 ① IIS への発行とは少し異なりますインフラ担当者は、今後パッケージの展開を依頼されることがあるはずですその場合にはこの方法を使用します。

Windows Azure に展開サービスパッケージを作成 ② コンパイルが完了するとエクスプローラーが開かれるこの2つのファイルをアップロードする

Windows Azure に展開サービスパッケージをアップロード ①

Windows Azure に展開サービスパッケージをアップロード ② ロールインスタンスが1つの場合に出るワーニング

Windows Azure に展開サービスパッケージをアップロード ③

Windows Azure に展開展開後の状態 URLはHTTPであることに注意

Windows Azure に展開メタデータへの接続を確認アップロードが完了してステータスが「Ready」になったら、以下に接続して表示されることを確認してみましょう。 https://tf20110311.cloudapp.net/FederationMetadata/2007-06/FederationMetadata.xml

WebアプリケーションをAppFabricACS に登録する

Webアプリケーションを AppFabricACS に登録するWEBアプリケーションの登録 ① Azure上に展開したWEBアプリケーションを AppFabric ACS に登録する Windows Azure アプリ AppFabric ACS V2 信頼信頼済 AD FS 2.0 ここの設定

Webアプリケーションを AppFabricACS に登録するWEBアプリケーションの登録 ② AppFabric ACS 内でのAzureアプリケーションの識別名アプリケーション情報の登録方法手動で設定するか、メタデータをアップロードするかを選択する。今回は「手動」。セキュリティトークンの要求元を指定するセキュリティトークンをどこにPostするのかを指定するエラーが発生した場合に表示するページ

Webアプリケーションを AppFabricACS に登録するWEBアプリケーションの登録 ③ セキュリティトークンのフォーマット（SAML2.0/SAML1.1/SWT）セキュリティトークンを暗号化するかどうかセキュリティトークンの有効期間（秒） Azure アプリケーションと関連付ける Identity Provider。「Identity Providers」メニューで登録した IdP が表示される。規定では「Windows LiveID」のみ。適用するクレーム変換ルール。複数のアプリケーションで1つのルールを共有することも可能。1つのアプリケーションが複数のルールを使用することも可能。トークンの署名に使用する証明書ファイル規定は「規定の証明書」

Webアプリケーションを AppFabricACS に登録するセキュリティトークンの署名と暗号化について AppFabric ACS V2 IdP RP 信頼信頼 metadata metadata metadata metadata トークンフォーマット署名署名複合化暗号化暗号化複合化 SAML 2.0 SAML 2.0 X.509 Private Key X.509 Public Key X.509 Public Key X.509 .cer X.509 (.cer) SAML 2.0 X.509 Private Key SAML 1.1 SAML 1.1 X.509 (.cer) SAML 1.1 X.509 .cer X.509 Private Key X.509 Public Key X.509 Public Key X.509 Private Key SWT SWT SWT 256-bit symmetric signing key 256-bit symmetric signing key

Identity Provider との連携 ,[object Object]

Facebook との連携,[object Object]

Identity Provider との連携～ AD FS 2.0AD FS 2.0 の場合 ,[object Object],AD FS 2.0 Windows Azure アプリ AppFabric ACS V2 クレーム発行クレーム変換 AD FS 2.0 クレーム送付クレーム発行属性 Redirect Active Directory 企業ネットワーク

Identity Provider との連携～ AD FS 2.0複数の AD FS 2.0 を登録可能企業ごとにクレーム変換ルールを設定することができる（例）企業国籍別、企業文化別など AD FS 2.0 AppFabric ACS V2 部長クレーム発行国内企業A 管理職クレーム変換ロール決定 AD FS 2.0 管理職クレーム変換主席部長クレーム発行ロール決定管理職クレーム変換ロール決定国内企業B 日本語に変換クレーム発行 AD FS 2.0 Manager 海外企業C

Identity Provider との連携～ AD FS 2.0AppFabric ACS V2 と AD FS2.0 の連携手順 AD FS 2.0 側 Active Directory を構築 AD FS 2.0 を構築 RP（証明書利用者）として AppFabricACS を登録（メタデータの登録）クレームルールを登録 AppFabricACS V2 側 AD FS 2.0 のエンドポイントを Identity Provider として登録（メタデータの登録）クレームルールを登録今回は実施済みとします

Identity Provider との連携～ AD FS 2.0AD FS 2.0 に証明書利用者として ACSを登録する ① Windows Azure アプリ AppFabric ACS V2 ここの設定信頼信頼済済 AD FS 2.0 メタデータのURIを控えておく

Identity Provider との連携～ AD FS 2.0AD FS 2.0 に証明書利用者として ACS を登録する ② AD FS 2.0 管理コンソールを開く

Identity Provider との連携～ AD FS 2.0AD FS 2.0 に証明書利用者として ACS を登録する ③ ここにAppFabric ACS メタデータのURIを指定

Identity Provider との連携～ AD FS 2.0AD FS 2.0 に証明書利用者として ACS を登録する ④ 規定で「すべてのユーザーにクレームの発行を許可するか否か」を設定する（発行承認規則）。許可した場合には、クレームルール（要求規則）の設定を使用してクレームの発行条件を設定する必要がある。

Identity Provider との連携～ AD FS 2.0AD FS 2.0 に証明書利用者として ACS を登録する ⑤ 完了

Identity Provider との連携～ AD FS 2.0AD FS2.0 クレームルールを登録 ① メールアドレスがトークンに含まれるようにクレームルール（要求規則）を登録する（今回は簡単に！）クレームルール（要求規則）はかなり複雑な概念です。きちんと勉強したい方は、別冊「ADFS 2.0 を使用してWindows Azure との SSO を実現しよう」をご覧ください。

Identity Provider との連携～ AD FS 2.0（参考）AD FS 2.0 ～クレームパイプライン証明書利用者 (RP) クレームストアトークン ② 承認する ③ 発行する ① 受付ける発行変換規則 output 受け付け変換規則 input 発行承認規則 input output output input OK/ NG switch 要求プロバイダー信頼 (Claims Provider Trusts) 証明書利用者信頼 (Relying PartyTrust) 要求規則 (Claim Rule)

Identity Provider との連携～ AD FS 2.0AD FS2.0 クレームルールを登録 ②

Identity Provider との連携～ AD FS 2.0AD FS2.0 クレームルールを登録 ③ クレームの取得元格納するクレームタイプの識別名 ※ここに表示されているのは「識別名」であることに注意。クレームタイプ（Claim Type）はURIの形式で表現される（次次ページ参照） ADから持ってくる属性 ※ldap属性名とは一致していないので注意（次ページ参照）

Identity Provider との連携～ AD FS 2.0（参考）既定の LDAP 属性

Identity Provider との連携～ AD FS 2.0（参考）要求記述 ,[object Object],このクレームを外部から受信可能か否か、外部に送信可能か否かを定義ワールドワイドで一意なクレームの名前（だから URI で書かれている）。これを使ってクレームが識別される。あくまでも識別名としての「名前」。このSTS内部だけで通用する。

Identity Provider との連携～ AD FS 2.0AD FS2.0 クレームルールを登録 ④

Identity Provider との連携～ AD FS 2.0ACS V2 の Identity Provider に AD FS 2.0 を登録する ① ここの設定 Windows Azure アプリ AppFabric ACS V2 信頼信頼済済済 AD FS 2.0 AD FS 2.0 のメタデータをテキストファイルに保存しておく https://<ADFSServer>/federationmetadata/2007-06/federationmetadata.xml

Identity Provider との連携～ AD FS 2.0ACS V2 の Identity Provider に AD FS 2.0 を登録する ②

Identity Provider との連携～ AD FS 2.0ACS V2 の Identity Provider に AD FS 2.0 を登録する ③ Identity Provider の識別名。ADFS2.0は複数登録することが可能なので、識別しやすい名前を指定する AD FS 2.0 のメタデータを指定する。URL の場合には AppFabricがアクセス可能なサーバーである必要がある。 Identity Provider の選択画面に表示される識別名 Identity Provider の選択画面に表示されるロゴ画像利用者に対して、ログオン時にEmailアドレスを強制的に入力させたい場合には、ここのメアドのサフィックス（microsoft.com）を指定する。セミコロンで複数指定可能。このIdentity Provider を使用するアプリケーションを指定する

Identity Provider との連携～ AD FS 2.0ACS V2 の Identity Provider に AD FS 2.0 を登録する ④

Identity Provider との連携～ AD FS 2.0ACS V2 の Identity Provider に AD FS 2.0 を登録する ⑤ クレームルールを生成するまだルールは無い

Identity Provider との連携～ AD FS 2.0ACS V2 の Identity Provider に AD FS 2.0 を登録する ⑥ メタデータを元に自動生成されたクレームクレームとして emailaddressが発行されることが記載されている

Identity Provider との連携～ AD FS 2.0クレームの流れ Windows Azure アプリ AppFabric ACS V2 Token Token 変換属性属性属性属性属性属性属性属性属性属性属性属性 Token 変換 Token 属性属性属性属性属性属性属性属性属性属性属性属性 AD FS 2.0 AD DS

Identity Provider との連携～ AD FS 2.0AppFabric ACSV2 の Rule IF（Rule Condition） Claim Issuer Input Claim Type Input Claim Value Then（Rule Actions） Output Claim Type Output Claim Value もし ○○から発行された ○○というクレームタイプに ○○という値が入っていたらそのときは ○○というクレームタイプに ○○という値を入れて発行する

Identity Provider との連携～ AD FS 2.0AppFabric ACS に登録されているクレームルールの例 AppFabricに対するクレームの発行者つまりIdentity Provider AppFabric に対して入力方向のクレームタイプ AppFabric に対して入力方向のクレームタイプに格納されているべき値入力条件を満たしたときに発行されるクレームタイプ（出力方向のクレーム）出力方向のクレームに格納される値

Identity Provider との連携～ AD FS 2.0動作確認 https://tf20110311.cloudapp.net/ 複数のIdentity Provider が登録されている場合にはセレクターが表示される。 1つしかなければそのまま ADFS に転送される ADにログオンした状態であれば、SSOされる ADFSで定義したメアド

Identity Provider との連携～ AD FS 2.0SSOの流れ信頼 7 9 WIF 信頼クラウドオンプレミス 1 AD DS AD FS2.0 8 4 5 3 ２ 6 WIF：Windows Identity Foundation

Windows Live との連携Windows LiveID の場合 ,[object Object],Windows Live Windows Azure アプリ AppFabric ACS V2 クレーム発行 ID 管理簿クレーム変換クレーム送付クレーム発行 Redirect

Windows Live との連携AppFabric ACS V2 と WindowsLive ID の連携手順 LiveID 側認証するだけならば何もなし！　※クレームを取得する場合は Microsoft Service Manager　　への登録 AppFabricACS V2 側 Rule の登録手順を調査中ですすみません…

Windows Live との連携（参考）Microsoft Service Manager 手順を調査中！ https://msm.live.com/wizard/default.aspx Windows LiveID を使用するサイトを登録し、信頼できるサイトであることを申請登録されていないサイトには nameidentifier 以外のクレームが返されない ※マイクロソフトのプライバシーポリシーのため

Windows Live との連携Windows Live ID 用の設定 ① Windows Live ID は既に登録されている Azure アプリを選択

Identity Provider との連携～ Windows Live との連携Windows Live用の設定 ② ～クレームルールの作成クレームの変換ルールに、Windows Live 用のルールを埋め込むルールが既に存在する場合には、既存ルールをクリックする

Identity Provider との連携～ Windows Live との連携Windows Live用の設定 ③ ～クレームルールの作成ルール名を入力/変更ルールを自動生成

Identity Provider との連携～ Windows Live との連携Windows Live 用の設定 ④ ～クレームルールの作成

Identity Provider との連携～ Windows Live との連携既定で Windows Live 用に自動生成されるルール

AppFabric ACS V2 による SSO

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (9)

Similar to AppFabric ACS V2 による SSO

Similar to AppFabric ACS V2 による SSO (20)

More from junichi anno

More from junichi anno (20)

AppFabric ACS V2 による SSO