1 - Microsoft
Download
Report
Transcript 1 - Microsoft
アイデンティティ プロバイダーとの
連携手法
Tsuyoshi Matsuzaki
(Microsoft, Japan)
Manabu Kondo
(Ping Identity, Japan)
Microsoft Architect Forum 2013
1
本セッションの位置づけ
「SaaS としての
アイデンティティ プロバイダーの役割」
前セッション
IT Pro、SI エンジニア (アーキテクト) にとっての
認証・認可の動向と技術
本セッション
「アイデンティティ プロバイダーとの
連携手法」
上記技術を活用したシステム (アプリケーション) 構築
の立場から解説
2
Agenda
3
Domain-based IdM から Federation Model へ
Web 標準がベース
もはや事実上のデファクトへ
(Google, Facebook, twitter, mixi 等)
多数のコピー,
使いまわし
ただし、すべてが解決された
わけではない !
(今後も進化 . . .)
認証
認可
IdP(CP)
SP(RP)
CLAIMS
クレームベースのフェデレーション
Microsoft Architect Forum 2013
4
利用者にとって使いやすく ≠
開発者にとって作りやすく
開発者にとってのハードルは、
むしろ 10 年前より各段にあがっている
開発の 1 要素から、より専門的な分野へ
高度化と分散化の同時進行 ~
単一の技術はより高度化し、関心はより多様化へ
一般的な産業成熟の波
(今後もこの流れは続くであろう. . .)
5
アーキテクトにとって必要なスキル
~ すべての仕様、すべての実装を知る必要はない…
現実の理解と問題意識の共有
ネット上は、無駄な Spam, Malware, etc で溢れている. . .
各技術の背景にある課題と「何を解決するものか」の理解
トレンドの追跡 (将来、どこへ向かうのか)
6
Microsoft が提供する各開発技術と
その使い分け
7
最新のプロジェクト・テンプレートが提供する
フェデレーション開発ライブラリー
(DotNetOpenAuth)
OAuth, OpenID の認証・認可を扱うプロ
トコル・ライブラリー
ソーシャル・アイデンティティ系の認証・認可
連携であれば、これで充分 …
ただし、WS-* の扱いは不可
(AD FS 連携も不可 !)
Visual Studio 2012 の下記テンプレートで
使用可能
ASP.NET MVC 4 インターネット アプリケー
ション
ASP.NET Webフォーム
ASP.NET Webサイト(Razor)
プロジェクトは、複数の IdP に対応
8
開発者にとっての
Windows Azure AD – Access Control
STS によるアイデンティティ系処理分割 (モジュール化)
開発時のメリット
アプリケーションは、単一
のプロトコル (WS-Fed)
とセキュリティ・フォーマッ
ト(RP ごとに選択可能) のみ
を意識すれば良い
IdPの変更 (追加など) に再
コンパイルは不要
WS-Fed (AD FS 2.0 -) にも
対応可能
クレームも変換 (特定 IdP
に依存したコードを排除)
9
WS-Fed, WS-Trust の開発用に
Windows Identity Foundation (WIF) を提供
DotNetOpenAuth に対し、WS-Fed, WS-Trust のプロトコル・
ライブラリー的性格
MS は、従来、これらのプロトコルに投資 (AD FS, ACS, など)
.Net 4.5 で標準ライブラリーへ組み込み
SSO 開発については、Non-Programming で利用可能
(Identity and Access Tool による構成ファイルへの反映)
セキュリティ・フォーマットは、SAML Assertion に対応。
JWT を使用する場合は、別途のライブラリーを取得
今後は、Server-to-server 認証 (OAuth2) のライブラリーとし
ても拡張 (現在、拡張ライブラリーとして別途提供)
SharePoint 2013 用アプリ開発テンプレートでは、既に使用
10
シナリオ・ベースのヘルパー・ライブラリー
Windows Azure Authentication Library (AAL)
シナリオ・ベースの各種認証処理をヘルプ
(Not a protocol library !)
インタラクティブ UI によるトークン取得、User Credential 連携、
など
Server-to-server 認証
(OAuth2) は、将来 WIF へ分離予定
特に、リッチ・クライアント
(Non-Web クライアント) を対象
AAD (ACS, Directory 双方) 用
現在、Beta 版
11
Windows Azure AD – ディレクトリ (Directory)
の開発者向けトピック
SSO は「Microsoft ASP.NET Tools for Windows Azure Active
Directory – Visual Studio 2012」を使用すると便利
本ツールを使用すると、RP のサーバー側の Provisioning を自動化
Identity and Access Tool でも SSO 可能
Windows Azure AD Graph
LOB アプリ (ユーザー一覧の表示、など)
管理アプリ (追加・変更・削除、同期機能、など)
マルチテナント対応サービス構築など、応用的な開発にも対応
ただし、高度なスキル (ISV 向けエンドポイントの利用など) とセット
アップ (Windows Azure Marketplace への製品登録) が必要
12
アイデンティティ連携開発の実例
~ 仕組みを知れば、ここまでできる ! ~
近藤 学(Ping Identity, Japan)
13
Office 365 との認証連携例
Ping Identity
Managing Director of APAC & Japan
近藤学
14
14
Copyright ©2013 Ping Identity Corporation. All rights reserved.
弊社のご紹介
認証連携・アイデンティティセキュリティの専門企業
15
•
2002年に会社設立、本社は米国デンバーで世界各地に拠点
•
日本では、2012年4月から、一次代理店を通じて販売開始
•
業界標準プロトコルの仕様策定に関与
•
今年2月、米フォーブス誌で米国で最も有望な企業の56位に選出
•
その他、最近も続々と新たな連携/パートナーシップを発表
•
Dropbox、Box、Concur、Cisco
•
フォーチュン100の45社が顧客
Copyright ©2013 Ping Identity Corporation. All rights reserved.
900 以上の顧客と、280 以上のパートナー
Fortune 100(米国の売上高トップ100企業)の 45 社にご採用いただいています。
主なお客様
主な SaaS パートナー
280 以上のパートナーシップ
16
Copyright ©2013 Ping Identity Corporation. All rights reserved.
What Ping Identity Does
18
Copyright ©2013 Ping Identity Corporation. All rights reserved.
認証連携ソフトウェア「PingFederate」
既存の ID 体系/製品の
統合や変更は不要
IdP
Active Directory
Web SSO から API to API
の認証連携まで一元管理
100% 業界標準に準拠した
「Identity Bridge」
LDAP
各社 ID 管理製品
パートナー企業
19
SAML 非対応の社内 Web
アプリとも簡単に連携
SP
Office365
Dynamics CRM
SAML / OpenID / OAuth
WS-Federation / WS-Trust
クラウドサービス
社内業務アプリ
クラウドサービス
B2B ポータル
SNS など
B2C ポータル
Copyright ©2013 Ping Identity Corporation. All rights reserved.
これからご覧頂くデモについて
• IdP
–OpenID プロバイダ (mixi)
–Facebook
• SP
–Office 365
20
Copyright ©2013 Ping Identity Corporation. All rights reserved.
2
OpenID Provider
1
3
6
4
5
DirSync
Active Directory
21
Copyright ©2013 Ping Identity Corporation. All rights reserved.
Thank you
Visit www.pingidentity.jp
22
22
Copyright ©2013 Ping Identity Corporation. All rights reserved.
この中で、本日紹介した各技術をサンプル・コード付きで掲載します
http://www.buildinsider.net/
新時代を切り開くソフト開発者のためのサイト
(株)デジタル アドバンテージ主催
日本マイクロソフト(株) 他 協賛23