1. FIDO in Windows10
MVP for Forefront Identity Manager
Naohiro Fujie / @phr_eidentity / http://idmlab.eidentity.jp
1
2. 自己紹介
2
Blog
IdM実験室(Identityに関することを徒然と):http://idmlab.eidentity.p
Social
Facebook Page : eIdentity(Identityに関するFeed):https://www.facebook.com/eidentity
記事
Windowsで構築する、クラウド・サービスと社内システムのSSO環境
(http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html)
クラウド・サービス連携の基本と最新トレンド
(http://www.atmarkit.co.jp/fwin2k/operation/idftrend01/idftrend01_01.html)
開発者にとってのWindows Azure Active Directoryの役割と今後の展開
(http://www.buildinsider.net/enterprise/interviewvittorio/01)
その他
日本ネットワークセキュリティ協会(JNSA)アイデンティティ管理WG(書籍:「クラウド環境におけるアイデンティティ管理ガイドライ
ン」etc)
OpenID Foundation Japan 教育・翻訳WG(OAuth/OpenID Connect仕様翻訳)、エンタープライズ・アイデンティティ
WG
3. FIDO Support in Windows 10?
3
http://blogs.windows.com/business/2015/02/13/microsoft-announces-FIDO-support-coming-to-windows-10/
https://blogs.windows.com/business/2015/04/21/windows-10-security-innovations-at-rsa-device-guard-windows-hello-and-microsoft-passport/
13. Azure AD Join~アプリケーション利用の流れ
- Microsoft Passport / Windows Hello
Device Registration(Azure AD Join)
Azure AD DRSによるデバイス証明書の発行とプロビジョニング
Key Pairの生成(Device Key / User Key)とAzure AD上に公開鍵の登録
Azure ADによって発行されたNGC KEY-IDをデバイスのTPMにストア
User Logon(デバイスへのログイン)
ストアされたKGC KEY-IDと秘密鍵へPIN / 生体情報などを使ってアクセス
NGC KEY-IDを秘密鍵で署名してサインイン要求
Primary Refresh Token(PRT)を発行
Access to Application
Azure ADへPRTを送付して代わりにAccess Tokenを受け取る
Access Tokenを使ってアプリケーションを利用
13
Windows
Hello
Microsoft
Passport
14. Device Registration
14
IdP Store / TPM
Azure AD
Other IdP
Private Key
Windows 10 Device
Azure AD
AuthN Service
Device Registration
Service
Key Registration
Service
1.Obtain Token to Access DRS
2.Device Registration Request
3.Provision Device Certificate
5.Register Public Key
4.Generate
Key Pair
6.Provision NGC KEY-ID
NGC KEY-ID
Keys …
22. Azure AD
Other IdP
Private KeyNGC KEY-ID
Keys …
User Login
22
IdP Store / TPM
Windows 10
Azure AD
AuthN Service
1.Obtain Nonce
with empty request
3.Open IdP Store
with PIN/IRIS/Finger
2.Nonce
4.Sign NGC KEY-ID,Nonce
with Private Key as Request
Primary
Refresh
Token
5.Provision Primary
Refresh Token