3. セッションの目的とゴール セッションの目的 アイデンティティ連携の利用用途(一部)を理解していただく AD FSv2、WIF、Silverlight を利用したアプリケーション/アイデンティティ連携のデモ AD FSv2 : Active Directory Federation Services 2.0 WIF : Windows Identity Foundation セッションのゴール アイデンティティ連携の用途をイメージする AD FSv2 によるアイデンティティ連携の実装を理解する Silverlight + WIF による実装を理解する
8. 基本用語関連用語の解説 AD FSv2 マイクロソフトの IdPの実装 Windows Server 2008 / R2 の更新モジュール AD FSv1.1 までは STS が提供されていなかった WIF マイクロソフトによって提供される RP 実装用のライブラリ RP(Relying Party) アイデンティティ情報を利用するアプリケーション等 トークンの解釈(クレームの取出し)を行う
12. アイデンティティ連携とはアクセス権限管理 トークン変換による権限管理 IdP A で認証された場合 IdP B で認証された場合 RP IdP B IdP A 属性名:役割 Domain Users AD グループ名 属性名:役割 Entryとして取得 属性名:役割 Domain Users -> Entry へ 認証元 IdPによって役割を変える(もしくは固定する)ことで RP にわたる属性を制御し権限を管理 RP IdP B 属性名:役割 Staff として取得 属性名:役割 Domain Users AD グループ名
13. Silverlight における認証Silverlight からの WIF 呼び出し ホストしている ASP.NET の認証状態を利用 ASP.NET の認証は WIF で外部へ切り離し クライアントにダウンロードされて動くので動作可能なライブラリの種類が限定的 Silverlight から直接 WIF を参照できない Silverlight 対応の WCF サービスを経由してWIF を呼び出す Identity Developer Training Kit に含まれる SL.IdentityModelライブラリを利用 ASP.NET 側は SL.IdentityModel.Serverを参照
25. 想定ケース登場人物 通販事業者 : A 社 TVショッピング業界大手 深夜の健康器具販売がブームに乗り急成長 社長のパフォーマンスがヒットの決め手? コールセンタ代行業者 : B 社 地方自治体のコールセンタ誘致の波に乗り山陰地方に巨大なコールセンタを設立 自治体側の思惑もありある程度の雇用は確保したが、オペレータ教育が悩みの種
26. 想定ケースA社が直面している状況 コールセンタ席数不足による機会損失 A 社は急成長のため、現在のコールセンタ席数ではすべての注文コールに対応できなくなりつつあり、機会損失が発生している コールセンタ業務のアウトソーシング しかし、自社でセンタを作るには時間・コストともに余裕がなく、B 社へコールセンタ業務を委託することに決定した
27. 想定ケースアウトソーシングに関する課題 A 社の悩み 受注システムへの登録業務なのでオペレータのID は共有ではなく個人別にしたいと思っている しかし、A 社側でオペレータ個人の情報の管理をしたくない 重要なシステムなのでオペレータのアクセス権限制御は A 社側で行いたい B 社の悩み オペレータの IT リテラシーにばらつきがあるが教育コストは掛けたくない
28. チャレンジ課題と解決策 委託先アイデンティティ管理 委託先での個人 ID 管理の実施 委託元でのアクセス制御の実施 使いやすいアプリケーション ブラウザ特有のオペレーションからの解放 AD FSv2 を使ったアイデンティティ連携(フェデレーション)環境の構築 Silverlight / WIF による RIA による アプリケーション構築
36. アクセスフローコールセンターユーザ 以下のフローでアプリケーションへログイン ブラウザ IdP A アプリケーション IdP B アプリケーションへアクセス IdP A へリダイレクト(web.config設定) 認証レルム の選択 認証 サービス 認証レルムの選択 IdP B へリダイレクト トークンの発行 認証 サービス ユーザ認証 トークンの発行 トークンをPOST トークン の変換 変換されたトークンの発行 変換されたトークンをPOST
37. 環境構築方法(1) 必要な環境 IIS Server ASP.NET IIS管理コンソール IISメタベースおよびIIS 6 構成との互換性 静的コンテンツ Windows7 Visual Studio 2010 Silverlight4 tools for Visual Studio 2010 Windows Identity Foundation Windows Identity Foundation SDK Identity Training Kit June 2010
41. リファレンス Identity Developer Training Kit 2010/06版http://www.microsoft.com/downloads/details.aspx?FamilyID=C3E315FA-94E2-4028-99CB-904369F177C0&displaylang=en&displaylang=en Windows Identity Foundation ダウンロード・ページ http://www.microsoft.com/downloads/details.aspx?FamilyID=eb9c345f-e830-40b8-a5fe-ae7a864c4d76&displaylang=ja Active Directory Federation Services 2.0 製品ページ http://www.microsoft.com/japan/adfs2
42. リファレンス Security for Azure, WCF, Windows Phone 7, and Silverlight Part1http://blogs.msdn.com/b/brunoterkaly/archive/2010/08/14/security-for-azure-wcf-windows-phone-7-and-silverlight-part-1-of-many.aspx Part2 http://blogs.msdn.com/b/brunoterkaly/archive/2010/08/15/security-for-azure-wcf-windows-phone-7-and-silverlight-part-2-of-many-single-sign-on-claims-driven-experience-and-service-authorization-for-in-browser-silverlight-applications.aspx MSDNフォーラム(英語版)Claims based access platform (CBA) code-named Geneva http://social.msdn.microsoft.com/Forums/en-US/Geneva/threads/