TechEd Japan 2010 の BoF-09 で使用したスライドです。 Sliverlight+WIF+ADFS2.0で外部認証環境を構築します。

2. 伊藤忠テクノソリューションズ株式会社 情報通信技術第4部 山之内 安甲子 西日本システム技術第1部 富士榮 尚寛 Silverlight と WIF によるアプリケーション連携 セッション ID：BoF-09

3. セッションの目的とゴール セッションの目的 アイデンティティ連携の利用用途（一部）を理解していただく AD FSv2、WIF、Silverlight を利用したアプリケーション／アイデンティティ連携のデモ AD FSv2 : Active Directory Federation Services 2.0 WIF : Windows Identity Foundation セッションのゴール アイデンティティ連携の用途をイメージする AD FSv2 によるアイデンティティ連携の実装を理解する Silverlight ＋ WIF による実装を理解する

4. アジェンダ 基本用語 アイデンティティ連携とは アイデンティティ連携は何をもたらすのか シングルサインオン アクセス権限管理 Silverlight における認証 Silverlight からのWIF 呼び出し AD FSv2 の設定 デモ アイデンティティ連携によるアクセス権限管理 まとめ

5. 基本用語本スライド内では下記の用語が出てきます アイデンティティ（Identity） IdP（Identity Provider) STS（Security Token Service） クレーム（Claim） トークン（Token） AD FSv2（Active Directory Federation Services 2.0） WIF（Windows Identity Foundation） RP（Relying Party）

6. 基本用語関連用語の解説 アイデンティティ（Identity） デジタル・アイデンティティ サブジェクト（ユーザ等）そのものを表すもの 特徴：身長、髪型 性質：気が短い 属性：所属、性別、名前 識別子（Identifier）ではない

7. 基本用語関連用語の解説 IdP、STS、トークン、クレーム IdP（Identity Provider） アイデンティティ情報を提供するサービス 通常認証に基づき情報を提供する（トークンの発行） STS（Security Token Service） トークンを発行するサービス トークン アイデンティティ情報そのもの（認証結果、アイデンティティ情報の集合体） クレームをカプセル化しデジタル署名したもの クレーム アイデンティティ情報（属性情報）

8. 基本用語関連用語の解説 AD FSv2 マイクロソフトの IdPの実装 Windows Server 2008 / R2 の更新モジュール AD FSv1.1 までは STS が提供されていなかった WIF マイクロソフトによって提供される RP 実装用のライブラリ RP（Relying Party） アイデンティティ情報を利用するアプリケーション等 トークンの解釈（クレームの取出し）を行う

9. アイデンティティ連携とはアイデンティティ連携は何をもたらすのか アイデンティティ連携とは アイデンティティフェデレーションと同義 元々はアイデンティティを提供する側（IdP）と利用する側（RP）の間でアイデンティティ情報の紐付けをすること アイデンティティ連携がもたらすモノ シングルサインオン アプリケーションからの認証機能の切り出し アクセス権限管理 認証元（Realm）による付与権限の区分け

10. アイデンティティ連携とはシングル・サインオン（SSO） 認証機能の切り出し IdP（認証システム） RP（アプリケーション） 認証 3.認証 4.認証結果をPOST 2.IdPへリダイレクト 同じ IdPで認証される RP群ならセッション維持中は認証は不要＝SSO の実現 1.RPへアクセス 利用者

11. アイデンティティ連携とはアクセス権限管理 認証元による付与権限の区分け RP（アプリケーション） IdP（認証システム） IdP B トークン変換 IdP A 認証 4.IdP Bで変換された認証結果をPOST 3.認証 2.IdP B->Aへリダイレクト 認証トークンの変換を行うことにより認証元によりRPへ渡す権限情報を変える 1.RPへアクセス 利用者

12. アイデンティティ連携とはアクセス権限管理 トークン変換による権限管理 IdP A で認証された場合 IdP B で認証された場合 RP IdP B IdP A 属性名：役割 Domain Users AD グループ名 属性名：役割 Entryとして取得 属性名：役割 Domain Users -> Entry へ 認証元 IdPによって役割を変える（もしくは固定する）ことで RP にわたる属性を制御し権限を管理 RP IdP B 属性名：役割 Staff として取得 属性名：役割 Domain Users AD グループ名

13. Silverlight における認証Silverlight からの WIF 呼び出し ホストしている ASP.NET の認証状態を利用 ASP.NET の認証は WIF で外部へ切り離し クライアントにダウンロードされて動くので動作可能なライブラリの種類が限定的 Silverlight から直接 WIF を参照できない Silverlight 対応の WCF サービスを経由してWIF を呼び出す Identity Developer Training Kit に含まれる SL.IdentityModelライブラリを利用 ASP.NET 側は SL.IdentityModel.Serverを参照

14. Silverlight における認証Silverlight からのWIF 呼び出し ソリューション構成 SL.InBrowser.Web（ASP.NET） FedUtil.exe で外部 STS（AD FS）を参照 SL.IdentityModel.Serverをプロジェクト参照 Auth.svc（Silverlight 対応 WCF サービス）がSL.Identity.Model.Serverを使用 SL.InBrowser.Client（Silverlight アプリ） SL.IdentityModelをプロジェクト参照 SL.IdentityModel WIF をラップしたライブラリ（Proxy） SL.IdentityModel.Server WIF をラップしたライブラリ（サーバ）

15. Silverlightにおける認証Silverlightからの WIF 呼び出し 各モジュール間の関連 SL.InBrowser.Client SL.InBrowser.Web SL.IdentityModel （WCFサービスProxy / Silverlight APL） Auth.svc （WCFサービス） SL.IdentityModel.Server（クラスライブラリ） Silverlightアプリケーション IdP（STS） Microsoft.IdentityModel（WIF） ASP.NETWEBアプリケーション

16. Silverlightにおける認証Silverlight からの WIF 呼び出し SL クライアントからの呼び出し設定 App.xaml ネームスペース設定 サービス用オブジェクト設定（ClaimsIdentitySessionManager） Main.xaml 認証が完了したらユーザ情報（クレーム）を表示するメソッドの実装 GetClaimsIdentityCompleteイベントハンドラの設定 取得したクレームを表示するメソッド

17. App.xamlへの記述 ■Applicationタグへの属性追加 xmlns:id= "clr-namespace:SL.IdentityModel.Services;assembly= SL.IdentityModel“ ■ClaimSessionIdentitySessionManagerオブジェクト設定 <Application.ApplicationLifetimeObjects> <id:ClaimsIdentitySessionManager> <id:ClaimsIdentitySessionManager.IdentityProvider> <id:WSFederationSecurityTokenService/> </id:ClaimsIdentitySessionManager.IdentityProvider> </id:ClaimsIdentitySessionManager> </Application.ApplicationLifetimeObjects>

18. Main.xaml.csへの記述 ■SL.IdentityModelへの参照 using SL.IdentityModel.Claims; using SL.IdentityModel.Services; ■イベントハンドラの設定 ClaimsIdentitySessionManager.Current.GetClaimsIdentityComplete += new EventHandler<ClaimsIdentityEventArgs>(this.Current_GetClaimsIdentityComplete); ■クレームの表示（name属性） string userName = ClaimsIdentitySessionManager.Current.User.Identity.Name; this.userNameLabel.Content = string.Format("Hi {0}!", userName);

19. Silverlight における認証Silverlight からの WIF 呼び出し SL をホストする ASP.NET Web ページ側設定 STS 参照の設定 Fedutil.exe の実行（管理者として VS 起動が必要） STS として AD FSv2 を指定 Web.configの自動設定 Silverlight 対応 WCF サービスの設定 Auth.svcの作成 Auth.svc.csは削除 Auth.svcの中身は全面書き換え（SL.IdentityModel.Serverの呼び出し） こちらは web.configに一部記述が必要

20. Web.configへの記述 ■system.webserverセクション <validation validateIntegratedModeConfiguration="false" /> ■configurationセクション <location path="auth.svc"> <system.web> <authorization> <allow users="*"/> </authorization> </system.web> </location>

21. Auth.svcへの記述 ■既存をすべてクリアして以下を記述 <%@ ServiceHost Language="C#" Debug="true" Factory="SL.IdentityModel.Server.AuthenticationServiceServiceHostFactory" Service="SL.IdentityModel.Server.SL.IdentityModel.Server" %> ※ちなみに、SL.IdentityModel 内で AuthenticationService.svcという名前でモジュール名がハードコーディングされているので、auth.svcという名称に変更した場合は、ClaimIdentitySessionManager.cs内のモジュール名を変更する必要がある。

22. Silverlight における認証AD FSv2 の設定／IdPへのRP の登録 RP からの呼び出しに対応するためにあらかじめ RPを登録しておく RP の登録（証明書利用者信頼） FederationMetadata.xml を利用 識別子や使用するプロトコルの設定 クレームマッピングルールの設定 この RP からの呼び出しの場合、認証されたユーザのどの属性（クレーム）をどのような形で渡すのか？の設定

23. Silverlightにおける認証AD FSv2 の設定／外部 IdPの登録 外部のシステムによる認証結果を受け付けるため にフェデレーション先の IdPの登録を行う ※IdPが複数存在する場合 IdPの登録（要求プロバイダー信頼） プロトコルの指定（AD FS同士の場合は WS-Federationを利用） トークン署名証明書のインポート クレームマッピングルールの設定 この IdPから渡されるトークンの中のクレームをどのように処理するかの設定 外部 IdP側には本 IdPを RP として登録 外部 IdP-> 本 IdP（RP） -> RP というチェーン

24. アイデンティティ連携によるアクセス権限管理 コールセンタ代行業者のオペレータが通販事業者のアプリケーションを利用する際、アイデンティティ連携によりアクセス権限管理を行います DEMO

25. 想定ケース登場人物 通販事業者 ： A 社 TVショッピング業界大手 深夜の健康器具販売がブームに乗り急成長 社長のパフォーマンスがヒットの決め手？ コールセンタ代行業者 ： B 社 地方自治体のコールセンタ誘致の波に乗り山陰地方に巨大なコールセンタを設立 自治体側の思惑もありある程度の雇用は確保したが、オペレータ教育が悩みの種

26. 想定ケースA社が直面している状況 コールセンタ席数不足による機会損失 A 社は急成長のため、現在のコールセンタ席数ではすべての注文コールに対応できなくなりつつあり、機会損失が発生している コールセンタ業務のアウトソーシング しかし、自社でセンタを作るには時間・コストともに余裕がなく、B 社へコールセンタ業務を委託することに決定した

27. 想定ケースアウトソーシングに関する課題 A 社の悩み 受注システムへの登録業務なのでオペレータのID は共有ではなく個人別にしたいと思っている しかし、A 社側でオペレータ個人の情報の管理をしたくない 重要なシステムなのでオペレータのアクセス権限制御は A 社側で行いたい B 社の悩み オペレータの IT リテラシーにばらつきがあるが教育コストは掛けたくない

28. チャレンジ課題と解決策 委託先アイデンティティ管理 委託先での個人 ID 管理の実施 委託元でのアクセス制御の実施 使いやすいアプリケーション ブラウザ特有のオペレーションからの解放 AD FSv2 を使ったアイデンティティ連携（フェデレーション）環境の構築 Silverlight ／ WIF による RIA による アプリケーション構築

29. デモ環境アイデンティティ連携によるアクセス権限管理 受注管理システム（SP） 注文 注文参照 発送処理 注文登録 管理 発送担当 管理者 オペレータ IdP B IdP A コールセンタ代行業者 B 社 通販業者 A 社

30. デモ環境アイデンティティ連携によるアクセス権限管理 IdP 各 IdPは AD FSv2 + AD DS で構築 IdP B で認証されたユーザの役割属性を IdP Aで文字列Operatorsに変換 RP Sliverlight + WIF で構築 ユーザの役割属性によってアクセス権限を変更 Operators ： 注文登録処理 Staff： 注文参照処理、発送処理 SPAdmins： 管理系処理

31. デモ環境IdPの設定内容 コールセンタ代行業者の IdP（IdPB） ADDS ユーザの所属グループ：Domain Users AD FSv2 証明書利用者信頼（RP） : 通販事業者の IdP 要求規則 LDAP 属性を要求として送信 AD DSの displayName-> 名前 グループメンバシップを要求として送信 Domain Users を「Operators」として役割（クレーム）へ

32. デモ環境IdPの設定内容 通販事業者の IdP（IdP A） ADDS ユーザの所属グループ 発送担当 : Domain Users 管理者 : Domain Admins AD FSv2 証明書利用者信頼（RP） : 受注管理システム

33. デモ環境IdPの設定内容 AD FSv2 要求規則（ IdP B で認証されたユーザ用） 入力方向の要求をパススルー 名前、役割 要求規則（ IdPA で認証されたユーザ用） LDAP 属性を要求として送信 AD DS の displayName-> 名前 グループメンバシップを要求として送信 Domain Users を「Staff」として役割へ Domain Adminsを「SPAdmins」として役割へ

34. デモ環境IdPの設定内容 要求プロバイダー信頼 コールセンタ代行業者の IdP ( IdP B ) 要求規則 入力方向の要求をパス スルー 名前 役割（要求値：Operators のみ）

35. アクセスフロー通販業者ユーザ 以下のフローでアプリケーションへログイン ブラウザ IdP A ｱﾌﾟﾘｹｰｼｮﾝ アプリケーションへアクセス IdP Aへリダイレクト（web.config設定） 認証 ｻｰﾋﾞｽ ユーザ認証 トークン の発行 トークンの発行 変換されたトークンをPOST

36. アクセスフローコールセンターユーザ 以下のフローでアプリケーションへログイン ブラウザ IdP A ｱﾌﾟﾘｹｰｼｮﾝ IdP B アプリケーションへアクセス IdP A へリダイレクト（web.config設定） 認証レルム の選択 認証 ｻｰﾋﾞｽ 認証レルムの選択 IdP B へﾘﾀﾞｲﾚｸﾄ ﾄｰｸﾝの発行 認証 ｻｰﾋﾞｽ ユーザ認証 トークンの発行 トークンをPOST トークン の変換 変換されたトークンの発行 変換されたトークンをPOST

37. 環境構築方法(1) 必要な環境 IIS Server ASP.NET IIS管理コンソール IISメタベースおよびIIS 6 構成との互換性 静的コンテンツ Windows7 Visual Studio 2010 Silverlight4 tools for Visual Studio 2010 Windows Identity Foundation Windows Identity Foundation SDK Identity Training Kit June 2010

38. 環境構築方法(2) SilverlightAndIdentityセットアップ注意点 Silverlight4 tools for Visual Studio 2010 英語版かつバージョン10.0.30319.155以降が必要 日本語版を使う場合 C:dentityTrainingKit2010ssetsependencyCheckercriptsependenciesheckheckSilverlight4ToolsForVS.ps1 を編集 SearchUninstall–SearchForの中の ‘Microsoft Silverlight 4Tools…’ を ‘Microsoft Silverlight Tools…’ に変更する C:dentityTrainingKit2010absilverlightAndIdentityourceetupcriptsetupCertificates.cmdを編集 “Cert Hash(sha1)”->“Cert ハッシュ(sha1)”に

39. まとめ アイデンティティ連携 企業間でのアプリケーション連携やクラウド・サービスの利用で威力を発揮 Silverlight から WIF を使う際は一工夫必要 とりあえずIdentity Developer Training Kitを試すべし 次回はOut-of-Browserでも・・・ WS-Federation ではなく、WS-Trustを利用

40. リファレンス システム管理者のためのフェデレーション講座http://www.microsoft.com/japan/powerpro/TF/column/nf_01_1.mspx Windowsで構築する、クラウド・サービスと社内システムのSSO環境 http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html A Guide to Claims-based Identity and Access Control http://msdn.microsoft.com/en-us/library/ff423674.aspx IdM実験室（スピーカーblog） http://idmlab.eidentity.jp/

41. リファレンス Identity Developer Training Kit 2010/06版http://www.microsoft.com/downloads/details.aspx?FamilyID=C3E315FA-94E2-4028-99CB-904369F177C0&amp;displaylang=en&displaylang=en Windows Identity Foundation ダウンロード・ページ http://www.microsoft.com/downloads/details.aspx?FamilyID=eb9c345f-e830-40b8-a5fe-ae7a864c4d76&displaylang=ja Active Directory Federation Services 2.0 製品ページ http://www.microsoft.com/japan/adfs2

42. リファレンス Security for Azure, WCF, Windows Phone 7, and Silverlight Part1http://blogs.msdn.com/b/brunoterkaly/archive/2010/08/14/security-for-azure-wcf-windows-phone-7-and-silverlight-part-1-of-many.aspx Part2 http://blogs.msdn.com/b/brunoterkaly/archive/2010/08/15/security-for-azure-wcf-windows-phone-7-and-silverlight-part-2-of-many-single-sign-on-claims-driven-experience-and-service-authorization-for-in-browser-silverlight-applications.aspx MSDNフォーラム（英語版）Claims based access platform (CBA) code-named Geneva http://social.msdn.microsoft.com/Forums/en-US/Geneva/threads/

43. ご清聴ありがとうございました。 BoF-09 アンケートにご協力ください。

44. © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.