4. 4
Agenda & Takeaway
2000 年以降、ID 管理(IdM)の手法に”大きな変化”はありませんでした。しかし
パブリッククラウドの登場により、あらゆる面で“大きな変化”を強いられようと
しています。
それには ID 管理基盤自身のみならず、アプリケーション側の変革も含まれていま
す。
本セッションでは、
• IdM に求められる役割の変化
• ドメインベース管理では対応が難しいこと
• Enterprise なパブリッククラウドにおける IdM as a Service の重要性
を通して、パブリッククラウドへの移行初期から完成期に向けた IdM のあり方に
ついてお話します。
5. 5
3rd Party Services
Apps in Azure
Windows Azure Active Directory ~2013年4月リリース
Access Control
Directory
Graph API
Auth. Library
Windows Server
Active Directory
or
Shibboleth
or
PingFederate
Windows Azure
Active Directory
Sync
連携
IdM as a Service
• マルチテナント
• 認証 HUB(トークンゲートウェイ)
• ID ストア
• REST API
LIVE
External IdP
6. 6
Windows Azure Active Directory
Windows Server Active Directory
(on premise / on Azure IaaS)
definitely not !
7. 7
CoreIO(Core Infrastructure Optimization)
• ID を中心に、すべてのリソースを結合
• End to End のセキュリティポリシー
• IdM により関係性が管理されている
Network
Data Services
Devices
IdM
Digital Identity
IdM の役割
• Digital Identity の Provisioning
• Create
• Retrieve(Read)
• Update
• Delete
• 最新状態の維持
IdM の目的
• ただしく認証、ただしく認可
• 適切なアクセス権管理
• リソースの保護
• セキュリティポリシーの管理
Users, Devices, Services
Groups
Attributes
8. 8
従来の ID 管理 ~ Domain-based Identity Management
ドメイン境界(Firewall)
• ドメイン境界内の保護
• ID による企業統制
• セキュリティポリシーの集中管理
Active Directory ドメイン
11. 11
パブリッククラウド連携へのニーズ
サービス(Service Provider: SP)には、認証と認可がつきもの
Active Directory ドメイン
• 企業向け SaaS(Office 365, GAE, Saleceforce など)
• SNS との連携
Web Service
Web Service
Web Service
Web
Service
Web
Service
Web Service
Web
Service
Salesforce.com
Google.com
office365
Facebook.com Outlook.com
13. 13
Identity Federation Model
IdP(CP) SP(RP)
• ドメインベースモデルの大いなる拡張!
• ドメイン外サービスとの連携
• 認証と認可の分離(IDとリソースが同一ドメイン内でなくてもよい)
WHO AM I?
PROVES WHO SHE IS
CLAIMS
認証 認可
同一人物
18. IdM as a Service
Network
Data Services
Devices
IdM
Digital Identity
CoreIO
19. 19
3rd Party Services
Apps in Azure
Windows Azure Active Directory
Access Control
Directory
Graph API
Auth. Library
Windows Server
Active Directory
or
Shibboleth
or
PingFederate
Windows Azure
Active Directory
Sync
連携
IdM as a Service
• マルチテナント
• 認証 HUB(トークンゲートウェイ)
• ID ストア
• REST API
LIVE
External IdP
20. 20
WAAD ー Directory Service
• ユーザー情報の格納庫
• ユーザー認証
• トークン発行
Directory Service
ID Store
Federation
Gateway
(STS)
Graph
(REST API)
アカウント情報への
アクセス
• ユーザー
• グループ
• デバイス Application
Web Service
SAML2.0
WS-Fed
• Windows Server Active Directory
• Shibboleth
• PingFederate
SAML 2.0(限定的サポート)
WS-Fed
IdP
STS
OAuth 2.0
25. 25
Graph API
• API 認可(OAuth 2.0)による情報保護
• RESTful Graph API を使用した Directory へのアクセス
• JSON/XML で応答を受信
• API エコノミーを支えるアセット
Graph API Endpoint
LOB
Request w/ JWT
Windows Azure
Active Directory
OAuth 2.0 Endpoint
Token Request
Response
JWT
Check
対称キーや証明書を共有
26. 26
Top-Level Resources Query Results URI (for contoso.com)
Top-level resources
Returns URI list of the top-level
resources for directory
services (also listed below)
https://graph.windows.net/contoso.com/
Company information Returns company information
https://graph.windows.net/contoso.com/Tenant
Details
Contacts Returns contact information
https://graph.windows.net/contoso.com/Contac
ts
Users Returns user information https://graph.windows.net/contoso.com/Users
Groups Returns group data https://graph.windows.net/contoso.com/Groups
Roles
Returns all roles that have
users or groups assigned to
them
https://graph.windows.net/contoso.com/Roles
27. 27
まとめ
IdMaaS は
• 企業ドメインの枠を超えて、あらゆる Digital Identity と あらゆ
る Service を結び付け、パブリッククラウド上の様々なサービス
(API)とともに “API エコノミー” を構成します
• 将来、企業のソーシャルグラフとなり、Enterprise Social
Network を実現します