SlideShare a Scribd company logo

アイデンティティ管理の基礎~Fim adfsアーキテクチャ

Download as PPTX, PDF
Naohiro Fujie
Naohiro Fujie

2012/09/22 .NETラボ勉強会資料 ・アイデンティティ管理の基礎 ・Forefront Identity Manager 2010 R2 アーキテクチャ解説 ・Active Directory Federation Services 2.0 アーキテクチャ解説

1 of 49
アイデンティティ管理の基礎 ~ FIM / AD FS アーキテクチャ解 説 2012/09/22 MVP for Forefront Identity Manager Naohiro Fujie / @phr_eidentity
自己紹介  アイデンティティ関係 ◦ NPO 日本ネットワークセキュリティ協会(JNSA)アイデンティティ管理 WG  書籍「クラウド環境におけるアイデンティティ管理ガイドライン」(http://amzn.to/A6MukD) ◦ Kantara Initiative Japan WG ◦ OpenID Foundation Japan 翻訳・教育WG  OAuth 2.0 Spec 翻訳(https://github.com/openid-foundation-japan/openid-foundation- japan.github.com) ◦ Facebook ページ(http://www.facebook.com/eidentity)  FIM / AD FS 関係 ◦ MVP for Forefront Identity Manager ◦ @IT連載  Windowsで構築する、クラウド・サービスと社内システムのSSO環境 (http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html)  クラウド・サービス連携の基本と最新トレンド (http://www.atmarkit.co.jp/fwin2k/operation/idftrend01/idftrend01_01.html) ◦ Blog  IdM 実験室(http://idmlab.eidentity.jp) 2
目次  アイデンティティ管理の基礎 ◦ アイデンティティとは ◦ アイデンティティ管理とは  FIM / AD FS アーキテクチャ解説 ◦ Forefront Identity Manager 2010 R2 ◦ Active Directory Federation Services 2.0 3
アイデンティティ管理の基礎 4
アイデンティティとは  “ID”から連想するよくある間違い ◦ 識別子(Identifier)  番号  ログインID  “ID”=“アイデンティティ” ◦ 実体(Entity)を構成する属性の集合  ISO/IEC 24760 5
アイデンティティの構成要素 要素 解説 例 属性 後天的に取得された主体に関わ 名前、電話番号、社員番 る情報(後から変化する) 号、メールアドレス、認 証状態、位置情報 好み 主体の嗜好に関わる情報 甘いものが好き 形質 主体の先天的な特有の性質 生年月日、性別? (後から変化しにくい) 関係性 他の主体との関係に関わる情報 XX大学卒業、YY部所属 (一部属性と重複) これらをコンピューターシステム上に反映したもの (コンピューターシステム上での実体を表すもの) ⇒ デジタル・アイデンティティ 6
アイデンティティ管理とは  3つの“A”を切り口に管理する 構成要素 意味 認証 ユーザが本人であることを証明すること (Authentication) (デジタル・アイデンティティとリアル・ア イデンティティの紐付を行う) 認可(Authorization) 認証されたユーザに権限を与えること (デジタル・アイデンティティに何を許可す るかを決定する) 属性(Attribute) ユーザを構成する情報 (何でデジタル・アイデンティティを構成す るかを決定する) 7
実装と管理  実装手段 ◦ 認証:パスワード、証明書、OTP、リスクベース ◦ 認可:リソース(フォルダ等)へのアクセス権付与 ◦ 属性:ユーザ DB の整備(AD、DBMSなど)  分散システムにおける管理手段 ◦ プロビジョニング  オーソリティにある属性情報を他システムへ反映する ◦ フェデレーション  認証状態などを含むアイデンティティ情報をシステム間で受け渡す  受け取ったシステム側に保持しているアイデンティティ情報との渡された 情報を紐付けることでシングルサインオンなどを実現する 8
実装例:プロビジョニング 対象システム 人事DB ID管理システム 利用 ユーザ 入社、異動、退社 利用ポリシーに などのイベントに 合わせて各シス 各システム間のアイ 合わせて人事情報 テムへ ID を配布 デンティティ情報の を取込み 整合性を担保 9
実装例:フェデレーション 認証サーバ フェデレーションサーバ アプリケーション (Identity Provider / IdP) (Relying Party / RP) 指定 事前信頼 ④認証指示 ⑥トークン発行 ②認証状態チェック ③リダイレクト 信頼できるサーバから ⑤認証 発行されたトークンの ①アクセス 中のID情報を自前のID 情報と紐付ける ユーザ ⇒SSOの実現 10
FIM / AD FS アーキテクチャ解説 11
FIM 12
FIM とは  アイデンティティ情報のライフサイク ル管理を行うエンジン 13
歴史 MIIS2003SP2+CLM Linkage/ MIIS200 ILM200 BHOLD LDE買 3 7 買収 収 1997 2003 2007 2011 1999 2005 2010 2012 Alacris/ VIA/ FIM2010 IdNexu FIM2010 Zoomit R2 s 買収 買収 ⇒MMS ⇒CLM 14
主な機能  様々なアイデンティティ・ストアとの同期(AD DS / SQL Server / SAP / Notes / Sun Oracle LDAP / Novell LDAP・・・)  グループ管理(セキュリティ・グループ、配布 グループ)  ID 管理ワークフロー  セルフ・プロファイル管理  セルフ・サービス・パスワード・リセット  アテステーション、レポーティング  証明書ライフサイクル管理 15
ハイレベル・アーキテクチャ FIM 2010 R2 FIM Reporting SCSM FIM Sync FIM Portal FIM Service Identity Stores Service ※PCNS(AD) Certification FIM Clients FIM CM Authority ※BHOLD Suite は除く 16
コンポーネントとスタック FIM Components FIM Portal WSS / Passwor Passwor FIM CM FIM MOSS d Reset d Regist Portal Repoting FIM FIM IIS / ASP.NET Sync SCSM Service Service SQL Server ※BHOLD Suite は除く17
コンポーネントと役割 コンポーネント 役割 FIM Portal FIM Service を構成するためのポータル FIM Service FIM の中心機能。ポリシー実行エンジン FIM Sync Service 各 ID ストアとのデータ同期エンジン FIM Password Registration Portal パスワードリセット用の秘密のキーワードを登録するた めのポータル FIM Password Reset Portal パスワードをリセットするためのポータル FIM Password Reset Extensions OS のログイン画面にパスワードリセット機能を追加す るクライアント拡張機能 FIM Add-ins for Outlook 申請・承認を Outlookで実行するアドイン FIM Reporting SCSM を使ったレポーティングモジュール Password Change Notification AD へのパスワード変更をフックするために各ドメイン Service コントローラへ導入するモジュール FIM CM Portal 証明書管理を行うためのポータル 18
コア・アーキテクチャ  FIM Service ◦ FIM Service Database 内にアイデンティ ティ情報を保持する ◦ そのアイデンティティ情報を管理(作成、 変更、削除)するための管理ポリシーを 定義する 19
コア・アーキテクチャ  FIM Service ◦ 管理ポリシー規則の処理パイプライン Request Delegation AuthN AuthZ FIM Service Action Processor &Permission Workflow Workflow Database Workflow s データを更新 申請を受信 認証を行う する 申請者の権限 更新後のアクショ 認可を行う をチェック ンを実行する 20
必須用語 用語 解説 管理ポリシー規則(MPR) FIM Service 内のオブジェクトを操作する 際の規則(誰が何を出来るか、など) 同期規則(SR) 各種アイデンティティ・ストアとの ID 情 報の同期を行うための規則(属性のマッ ピングなど) セット(SET) FIM Service の中でオブジェクトのグルー ピングを行う単位(条件ベースでのメン バシップ、明示的なメンバシップ) ワークフロー 認証(AuthN)、認可(AuthZ)、アク ションが存在。特にアクションは管理ポ リシー規則を適用した結果何を行うかを 定義する(同期規則の実行など) 21
プロビジョニング実行時の例 定義対象 定義内容 セット 処理対象となるオブジェクトの条件を定義(例:部署属性の値が「営業 部」なら) 管こ アクション 実行する内容を定義(例:AD DS への発信同期規則を追加する ⇒ AD DS 理の ワークフロー へユーザが作られる) ポ組 同期規則 FIM Sync Service 上の管理エージェントを使ってターゲットシステムとの リみ 同期を行う際のルールを定義(例:AD DS の sAMAccountName 属性には シ合 FIM Service 上の 表示名をマッピングする) ーわ 規せ 管理ポリシー規則 則が アクションワークフロー セット 同期規則 適用対象条件 適用内容定義 22
コア・アーキテクチャ  FIM Sync Service ◦ 各種アイデンティティ・ストアと情報を 同期する ◦ FIM Sync Service のレポジトリと各アイ デンティティ・ストア用のステージング 領域を同期し、各管理エージェントを 使って実際の各アイデンティティ・スト アと情報をやり取りする 23
必須用語 用語 解説 Metaverse FIM Sync Service の中央レポジトリ Connector Space 各 ID Store 用のステージング領域 (CS) Management Agent 各 CS のデータを実際の ID Store と接続するた (MA) めのエージェント Synchronization Metaverse と各 CS の間のデータを同期する (差分、フル) Import 各 ID Store から対応する CS にデータを取り込 む(差分、フル) Export 各 CS から対応する ID Store にデータを出力す る 24
コア・アーキテクチャ 各ID Store用 MA のデータ 同期 インポート CS ID MA CS Metaverse CS MA ID Store Stor e 中央データ 各ID Store用 ストア の接続Agent エクスポート CS MA 25
FIM Service + FIM Sync Service  FIM Service とのオブジェクト同期は FIM Sync Service の MA を介して行 う  FIM Sync Service の構成情報(他 CS の構成など)は Web Service 経由で FIM Service に伝搬する 26
同期規則の取り込み  FIM Sync Service で MA を作成 ◦ FIM Service に対して以下の申請が発行  Create ma-data „MA名‟ Request  Update to mv-data: „Metaverse configuration object‟ Request ⇒FIM Service が MA を認識、同期規則を作成す る際のターゲットシステムとして設定が可能に なる 27
同期規則の取り込み  FIM Service で同期規則の作成 ◦ FIM Service Database 内に同期規則オブ ジェクトが作成される ◦ FIM Sync Service で FIM Service MA の Import / Synchronization を実行  Metaverse 内に作成された同期規則オブジェク トが作成される 28
同期規則の取り込み インポート 同期 FIM Portal FIM New MA FIM CS MV Service / CS SR MA SR MA MAに対応す るSRの作成 MA の作成 MA定義の 作成 MA の作成 Request 29
プロビジョニング  FIM Service でオブジェクトを作成 ◦ 管理ポリシー規則により対象オブジェクトに 同期規則を割り当てる  Expected Rules Entry 属性にアクション・ワークフ ローで定義された同期規則への参照が設定される ◦ FIM Sync Service で FIM Service MA の Import / Synchronization を実行する  Metaverse 内にオブジェクトが作成される  ERE 属性に設定された同期規則オブジェクトの内 容に従い対象 CS との Synchronization が実行され る 30
プロビジョニング インポート 同期 自動同期 FIM Portal FIM New MA FIM CS MV Service / CS SE A SR ユーザ作成、 SR T W SETへ割当 関連付け て MPR ⇒ERE:SRへの参照 エクスポート ID Stor e 31
AD FS 2.0 32
AD FS 2.0 とは 認証サーバ フェデレーションサーバ アプリケーション (Identity Provider / IdP) (Relying Party / RP) 指定 事前信頼 ここが AD DS ここが ④認証指示 ⑥トークン発行 ②認証状態チェック AD FS 2.0 ⑤認証 ③リダイレクト ①アクセス ユーザ 33
AD FS 2.0 とは  セキュリティ・トークン・サービス (STS) ◦ Active Directory を使った認証 ◦ Active Directory / SQL Server などにスト アされている属性情報(クレーム)をセ キュリティ・トークンとして発行・変換 ◦ SAML 2.0 / ws-federation 等のプロトコル に対応 34
主な機能  セキュリティ・トークンを ◦ 発行する ◦ 変換する  セキュリティ・トークンを伝搬する ◦ SAML 2.0 プロトコル ◦ ws-federation プロトコル 35
AD FS 2.0 の世界では 認証オーソリティはAD DSのみ アーキテクチャ 属性オーソリティはAD DS/SQL/カスタム ポリシー決定ポイントはAD DS/SQL/カスタム  SAML オーソリティの構造と AD FS 2.0 SAML 認証 属性 ポリシー決 リクエ クレデンシャル オーソリティ オーソリティ 定ポイント スト 情報 SAML 認証 属性 認可決定 アサーション アサーション アサーション アクセス要求を 受けたサーバ ポリシー実 アプリケーション要求 施ポイント 36
SAML トークン / プロトコル  SAML トークン(アサーション) ◦ やり取りするメッセージ自身 ◦ アイデンティティ情報を表現する方法  SAML プロトコル ◦ SAML トークンを IdP ⇔ RP の間でやり 取りするための手順を定めたもの 37
SAML 2.0 の構成要素 構成要素 解説 トークン(アサー IdP が発行するトークンでありアイデンティティ ション) 情報が記載されたもの プロトコル アサーションを要求・返答するための方法 バインディング プロトコルを通信に乗せる方法(HTTP / SOAP /PAOS など) プロファイル プロトコルとバインディングとアサーションを組 み合わせた方法 メタデータ プロトコルやサービスエンドポイントが記載され たもの 38
SAML トークン構造 トークン  発行者(Issuer) ◦ 誰が、いつ発行したトークンなのか 認証アサーション  識別子(Subject) ◦ 何(誰)に関するトークンなのか 属性アサーション  受信者(AudienceRestriction) ◦ 誰宛に発行されたトークンなのか 認可決定アサーション  アサーション(AD FS2.0 ではクレーム) ◦ 認証アサーション(AuthNStatement) デジタル署名  認証された時間、手段 ◦ 属性アサーション(AttributeStatement)  属性情報(属性と値) ◦ 認可決定アサーション(AuthzDecisionStatement)  特定リソースへのアクセス許可されているか  デジタル署名 39
SAML トークン構造  発行者(Issuer) <saml:Issuer> https://myadfs.example.local/adfs/services/trust </saml:Issuer> フェデレーションにおける事前信頼 ⇒アプリケーション(RP)はこの発行者情報(エンドポイントアド レス)およびトークンに付与されるデジタル署名の情報を登録する ⇒AD FS 2.0 の「フェデレーションサービスの識別子」の URI ※SAML トークンは BASE64 でエンコードされ、やり取りされる ので、XML 形式に復号するには SAML 2.0 Debugger などを利用 する。 - SAML 2.0 Debugger 40
SAML トークン構造  識別子(Subject) <saml:Subject> <saml:NameID> hoge@mygapps.com </saml:NameID> </saml:Subject> フェデレーションにおけるアイデンティティの紐付け ⇒アプリケーション(RP)はこの識別子の属性名および属性値が 自身の保持するアイデンティティと一致することで紐付を行う。 例)Google Apps の場合、NameIdentifier 属性に入っているメー ルアドレスの値が GoogleApps 上のアカウントと一致すればその ユーザに関する情報とみなす。 41
SAML トークン構造  受信者(AudienceRestriction) <saml:AudienceRestriction> <saml:Audience>google.com/a/mydomain</saml:Audience> </saml:AudienceRestriction> フェデレーションにおける事前信頼 ⇒アプリケーション(RP)はこの発行者情報(エンドポイントア ドレス)およびトークンに付与されるデジタル署名の情報を登録 する ⇒AD FS 2.0 の「証明書利用者信頼の識別子」の URI 42
SAML トークン構造  認証アサーション(AuthNStatement) <saml:AuthnStatement AuthnInstant="2012-09- 22T00:00:00.000Z"> <saml:AuthnContext> <saml:AuthnContextClassRef> urn:federation:authentication:windows </saml:AuthnContextClassRef> </saml:AuthnContext> </saml:AuthnStatement> ※統合 Windows 認証の場合 43
SAML トークン構造  属性アサーション(AttributeStatement) <saml:AttributeStatement> <saml:Attribute Name="organization_id"> <saml:AttributeValue xsi:type="xs:anyType">ABCDEFG </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement> ※organization_id 属性の値が ABCDEFG となる例 44
SAML トークン構造  認可決定アサーション(AuthzDecisionStatement) <saml:AuthzDecisionStatement Resource="http://www.example.com/secret.html" Decision="Permit"> <saml:Action Namespace="urn:oasis:names:tc:SAML:1.0:action:ghpp"> GET </saml:Action> </saml:AuthzDecisionStatement> ※http://www.example.com/secret.html に対して GET を許可する 例 45
SAML トークン構造  デジタル署名 <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> ……(デジタル署名に関する情報)…… </ds:Signature> フェデレーションにおける事前信頼 ⇒アプリケーション(RP)はこのデジタル署名に関する情報を事 前に登録する ⇒AD FS 2.0 のトークン署名証明書 46
SAML プロトコル・フロー ブラウザ IdP RP サービスへアクセス リダイレクト認証要求を IdP へ送付 Assertion ユーザ認証 認証 の生成と署 Assertion Servic 名 署名の検証 アサーション発行 e アサーションを POST サービスへリダイレクト ACS サービスを利用 ※WebSSO Profile / SP Initiated / POST Binding の例 ※ACS : Assertion Consumer Service 47
とりあえず・・・  概念を説明してもらっても??な世界  デモだけ見ても??な世界 説明を聞いて、見て、触って、、、 ようやくなんとなく理解できる ⇒ハンズオンをやってみましょう。 48
 お疲れ様でした。 ◦ 問合せ先  富士榮 尚寛(naohiro.fujie@eidentity.jp) 49

Recommended

IDガバナンス&管理の基礎
IDガバナンス&管理の基礎IDガバナンス&管理の基礎
IDガバナンス&管理の基礎Hitachi, Ltd. OSS Solution Center.
 
金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性Tatsuo Kudo
 
Keycloakのステップアップ認証について
Keycloakのステップアップ認証についてKeycloakのステップアップ認証について
Keycloakのステップアップ認証についてHitachi, Ltd. OSS Solution Center.
 
Azure ADとIdentity管理
Azure ADとIdentity管理Azure ADとIdentity管理
Azure ADとIdentity管理Naohiro Fujie
 
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...日本マイクロソフト株式会社
 
MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要Naohiro Fujie
 
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified IDNaohiro Fujie
 
Azure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみるAzure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみるNaohiro Fujie
 

Recommended

IDガバナンス&管理の基礎
IDガバナンス&管理の基礎IDガバナンス&管理の基礎
IDガバナンス&管理の基礎Hitachi, Ltd. OSS Solution Center.
 
金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性Tatsuo Kudo
 
Keycloakのステップアップ認証について
Keycloakのステップアップ認証についてKeycloakのステップアップ認証について
Keycloakのステップアップ認証についてHitachi, Ltd. OSS Solution Center.
 
Azure ADとIdentity管理
Azure ADとIdentity管理Azure ADとIdentity管理
Azure ADとIdentity管理Naohiro Fujie
 
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...日本マイクロソフト株式会社
 
MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要Naohiro Fujie
 
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified IDNaohiro Fujie
 
Azure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみるAzure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみるNaohiro Fujie
 
Azure ADの外部コラボレーションとBYOID
Azure ADの外部コラボレーションとBYOIDAzure ADの外部コラボレーションとBYOID
Azure ADの外部コラボレーションとBYOIDNaohiro Fujie
 
組織におけるアイデンティティ管理の基本的な考え方
組織におけるアイデンティティ管理の基本的な考え方組織におけるアイデンティティ管理の基本的な考え方
組織におけるアイデンティティ管理の基本的な考え方Naohiro Fujie
 
OpenID Connect Flowの種類と使い道
OpenID Connect Flowの種類と使い道OpenID Connect Flowの種類と使い道
OpenID Connect Flowの種類と使い道iPride Co., Ltd.
 
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜Masaru Kurahayashi
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜Masaru Kurahayashi
 
次世代KYCと自己主権型アイデンティティの動向
次世代KYCと自己主権型アイデンティティの動向次世代KYCと自己主権型アイデンティティの動向
次世代KYCと自己主権型アイデンティティの動向Naohiro Fujie
 
Data platformdesign
Data platformdesignData platformdesign
Data platformdesignRyoma Nagata
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景Tatsuo Kudo
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~Tatsuo Kudo
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014Nov Matake
 
自己主権型IDと分散型ID
自己主権型IDと分散型ID自己主権型IDと分散型ID
自己主権型IDと分散型IDNaohiro Fujie
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからTatsuo Kudo
 
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...OpenID Foundation Japan
 
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!Yusuke Kodama
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~Hitachi, Ltd. OSS Solution Center.
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門Hiroyuki Wada
 
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティスAmazon Web Services Japan
 
OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方Hitachi, Ltd. OSS Solution Center.
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するHitachi, Ltd. OSS Solution Center.
 
Cognito、Azure ADと仲良くしてみた
Cognito、Azure ADと仲良くしてみたCognito、Azure ADと仲良くしてみた
Cognito、Azure ADと仲良くしてみたTakafumi Kondo
 
Share point における id管理と認証・認可
Share point における id管理と認証・認可Share point における id管理と認証・認可
Share point における id管理と認証・認可Naohiro Fujie
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理Naohiro Fujie
 

More Related Content

What's hot

Azure ADの外部コラボレーションとBYOID
Azure ADの外部コラボレーションとBYOIDAzure ADの外部コラボレーションとBYOID
Azure ADの外部コラボレーションとBYOIDNaohiro Fujie
 
組織におけるアイデンティティ管理の基本的な考え方
組織におけるアイデンティティ管理の基本的な考え方組織におけるアイデンティティ管理の基本的な考え方
組織におけるアイデンティティ管理の基本的な考え方Naohiro Fujie
 
OpenID Connect Flowの種類と使い道
OpenID Connect Flowの種類と使い道OpenID Connect Flowの種類と使い道
OpenID Connect Flowの種類と使い道iPride Co., Ltd.
 
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜Masaru Kurahayashi
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜Masaru Kurahayashi
 
次世代KYCと自己主権型アイデンティティの動向
次世代KYCと自己主権型アイデンティティの動向次世代KYCと自己主権型アイデンティティの動向
次世代KYCと自己主権型アイデンティティの動向Naohiro Fujie
 
Data platformdesign
Data platformdesignData platformdesign
Data platformdesignRyoma Nagata
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景Tatsuo Kudo
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~Tatsuo Kudo
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014Nov Matake
 
自己主権型IDと分散型ID
自己主権型IDと分散型ID自己主権型IDと分散型ID
自己主権型IDと分散型IDNaohiro Fujie
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからTatsuo Kudo
 
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...OpenID Foundation Japan
 
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!Yusuke Kodama
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~Hitachi, Ltd. OSS Solution Center.
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門Hiroyuki Wada
 
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティスAmazon Web Services Japan
 
Cognito、Azure ADと仲良くしてみた
Cognito、Azure ADと仲良くしてみたCognito、Azure ADと仲良くしてみた
Cognito、Azure ADと仲良くしてみたTakafumi Kondo
 

What's hot (20)

Azure ADの外部コラボレーションとBYOID
Azure ADの外部コラボレーションとBYOIDAzure ADの外部コラボレーションとBYOID
Azure ADの外部コラボレーションとBYOID
 
組織におけるアイデンティティ管理の基本的な考え方
組織におけるアイデンティティ管理の基本的な考え方組織におけるアイデンティティ管理の基本的な考え方
組織におけるアイデンティティ管理の基本的な考え方
 
OpenID Connect Flowの種類と使い道
OpenID Connect Flowの種類と使い道OpenID Connect Flowの種類と使い道
OpenID Connect Flowの種類と使い道
 
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
 
次世代KYCと自己主権型アイデンティティの動向
次世代KYCと自己主権型アイデンティティの動向次世代KYCと自己主権型アイデンティティの動向
次世代KYCと自己主権型アイデンティティの動向
 
Data platformdesign
Data platformdesignData platformdesign
Data platformdesign
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
 
自己主権型IDと分散型ID
自己主権型IDと分散型ID自己主権型IDと分散型ID
自己主権型IDと分散型ID
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれから
 
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
 
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門
 
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
 
OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
 
Cognito、Azure ADと仲良くしてみた
Cognito、Azure ADと仲良くしてみたCognito、Azure ADと仲良くしてみた
Cognito、Azure ADと仲良くしてみた
 

Viewers also liked

Share point における id管理と認証・認可
Share point における id管理と認証・認可Share point における id管理と認証・認可
Share point における id管理と認証・認可Naohiro Fujie
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理Naohiro Fujie
 
ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実Naohiro Fujie
 
Caso Peugeot Argentina: Servicio al cliente en Redes Sociales
Caso Peugeot Argentina: Servicio al cliente en Redes SocialesCaso Peugeot Argentina: Servicio al cliente en Redes Sociales
Caso Peugeot Argentina: Servicio al cliente en Redes Socialesamdia
 
Understanding Identity Management with Office 365
Understanding Identity Management with Office 365Understanding Identity Management with Office 365
Understanding Identity Management with Office 365Perficient, Inc.
 
Microsoft の ID 連携技術
Microsoft の ID 連携技術Microsoft の ID 連携技術
Microsoft の ID 連携技術shigeya
 
Ultimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPS
Ultimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPSUltimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPS
Ultimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPSMichael Noel
 
Microsoft と Digital Identity
Microsoft と Digital IdentityMicrosoft と Digital Identity
Microsoft と Digital Identityjunichi anno
 
SaaS としての IDM の役割
SaaS としての IDM の役割SaaS としての IDM の役割
SaaS としての IDM の役割junichi anno
 
Active Directory 最新情報 2012.8.31 暫定版
Active Directory 最新情報 2012.8.31 暫定版Active Directory 最新情報 2012.8.31 暫定版
Active Directory 最新情報 2012.8.31 暫定版junichi anno
 
仮想化した DC を PowerShell で複製する
仮想化した DC を PowerShell で複製する仮想化した DC を PowerShell で複製する
仮想化した DC を PowerShell で複製するjunichi anno
 
Dynamic Access Control 解説編
Dynamic Access Control 解説編Dynamic Access Control 解説編
Dynamic Access Control 解説編junichi anno
 
Vdi を より使いやすいインフラにするためのセキュリティ設計
Vdi を より使いやすいインフラにするためのセキュリティ設計Vdi を より使いやすいインフラにするためのセキュリティ設計
Vdi を より使いやすいインフラにするためのセキュリティ設計junichi anno
 
Dynamic Access Control 演習編
Dynamic Access Control 演習編Dynamic Access Control 演習編
Dynamic Access Control 演習編junichi anno
 
Shared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」についてShared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」についてjunichi anno
 
カジュアルにセキュリティテストはじめよう
カジュアルにセキュリティテストはじめようカジュアルにセキュリティテストはじめよう
カジュアルにセキュリティテストはじめようMasahiro NAKAYAMA
 
3/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
3/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.13/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
3/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1junichi anno
 
SORACOM Funnelで手抜きIoTプラットフォーム #ssmjp
SORACOM Funnelで手抜きIoTプラットフォーム #ssmjpSORACOM Funnelで手抜きIoTプラットフォーム #ssmjp
SORACOM Funnelで手抜きIoTプラットフォーム #ssmjpMasahiro NAKAYAMA
 
リソーステンプレート入門
リソーステンプレート入門リソーステンプレート入門
リソーステンプレート入門junichi anno
 
クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割junichi anno
 

Viewers also liked (20)

Share point における id管理と認証・認可
Share point における id管理と認証・認可Share point における id管理と認証・認可
Share point における id管理と認証・認可
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理
 
ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実
 
Caso Peugeot Argentina: Servicio al cliente en Redes Sociales
Caso Peugeot Argentina: Servicio al cliente en Redes SocialesCaso Peugeot Argentina: Servicio al cliente en Redes Sociales
Caso Peugeot Argentina: Servicio al cliente en Redes Sociales
 
Understanding Identity Management with Office 365
Understanding Identity Management with Office 365Understanding Identity Management with Office 365
Understanding Identity Management with Office 365
 
Microsoft の ID 連携技術
Microsoft の ID 連携技術Microsoft の ID 連携技術
Microsoft の ID 連携技術
 
Ultimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPS
Ultimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPSUltimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPS
Ultimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPS
 
Microsoft と Digital Identity
Microsoft と Digital IdentityMicrosoft と Digital Identity
Microsoft と Digital Identity
 
SaaS としての IDM の役割
SaaS としての IDM の役割SaaS としての IDM の役割
SaaS としての IDM の役割
 
Active Directory 最新情報 2012.8.31 暫定版
Active Directory 最新情報 2012.8.31 暫定版Active Directory 最新情報 2012.8.31 暫定版
Active Directory 最新情報 2012.8.31 暫定版
 
仮想化した DC を PowerShell で複製する
仮想化した DC を PowerShell で複製する仮想化した DC を PowerShell で複製する
仮想化した DC を PowerShell で複製する
 
Dynamic Access Control 解説編
Dynamic Access Control 解説編Dynamic Access Control 解説編
Dynamic Access Control 解説編
 
Vdi を より使いやすいインフラにするためのセキュリティ設計
Vdi を より使いやすいインフラにするためのセキュリティ設計Vdi を より使いやすいインフラにするためのセキュリティ設計
Vdi を より使いやすいインフラにするためのセキュリティ設計
 
Dynamic Access Control 演習編
Dynamic Access Control 演習編Dynamic Access Control 演習編
Dynamic Access Control 演習編
 
Shared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」についてShared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」について
 
カジュアルにセキュリティテストはじめよう
カジュアルにセキュリティテストはじめようカジュアルにセキュリティテストはじめよう
カジュアルにセキュリティテストはじめよう
 
3/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
3/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.13/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
3/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
 
SORACOM Funnelで手抜きIoTプラットフォーム #ssmjp
SORACOM Funnelで手抜きIoTプラットフォーム #ssmjpSORACOM Funnelで手抜きIoTプラットフォーム #ssmjp
SORACOM Funnelで手抜きIoTプラットフォーム #ssmjp
 
リソーステンプレート入門
リソーステンプレート入門リソーステンプレート入門
リソーステンプレート入門
 
クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割
 

Similar to アイデンティティ管理の基礎~Fim adfsアーキテクチャ

クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014Egawa Junichi
 
Creating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case StudyCreating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case StudyFIDO Alliance
 
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版junichi anno
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインTakashi Yahata
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020OpenID Foundation Japan
 
IIJ@Cloud Days Tokyo 2011
IIJ@Cloud Days Tokyo 2011IIJ@Cloud Days Tokyo 2011
IIJ@Cloud Days Tokyo 2011IIJ
 
AWS re:Inforce 2019 re:Cap - 2019-07-30
AWS re:Inforce 2019 re:Cap - 2019-07-30AWS re:Inforce 2019 re:Cap - 2019-07-30
AWS re:Inforce 2019 re:Cap - 2019-07-30Yutaro Ono
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」Tatsuya (達也) Katsuhara (勝原)
 
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)CLOUDIAN KK
 
What are Passkeys.pdf
What are Passkeys.pdfWhat are Passkeys.pdf
What are Passkeys.pdfKeiko Itakura
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideTatsuo Kudo
 
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説Takashi Yahata
 
2012-12-04 BitVisor Summit (公開版)「BitVisorの現状と今後」
2012-12-04 BitVisor Summit (公開版)「BitVisorの現状と今後」2012-12-04 BitVisor Summit (公開版)「BitVisorの現状と今後」
2012-12-04 BitVisor Summit (公開版)「BitVisorの現状と今後」Takahiro Shinagawa
 
SCIM and OpenID Connect Intro
SCIM and OpenID Connect IntroSCIM and OpenID Connect Intro
SCIM and OpenID Connect IntroTatsuo Kudo
 
Security days 2015
Security days 2015Security days 2015
Security days 2015Manabu Kondo
 
BoF-09 Silverlight and WIF /TechEd Japan 2010
BoF-09 Silverlight and WIF /TechEd Japan 2010BoF-09 Silverlight and WIF /TechEd Japan 2010
BoF-09 Silverlight and WIF /TechEd Japan 2010Naohiro Fujie
 

Similar to アイデンティティ管理の基礎~Fim adfsアーキテクチャ (20)

クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014
 
Creating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case StudyCreating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case Study
 
Clould Service for Enterprise Market
Clould Service for Enterprise MarketClould Service for Enterprise Market
Clould Service for Enterprise Market
 
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
 
IIJ@Cloud Days Tokyo 2011
IIJ@Cloud Days Tokyo 2011IIJ@Cloud Days Tokyo 2011
IIJ@Cloud Days Tokyo 2011
 
Why Lotus Notes/Domino?
Why Lotus Notes/Domino?Why Lotus Notes/Domino?
Why Lotus Notes/Domino?
 
AWS re:Inforce 2019 re:Cap - 2019-07-30
AWS re:Inforce 2019 re:Cap - 2019-07-30AWS re:Inforce 2019 re:Cap - 2019-07-30
AWS re:Inforce 2019 re:Cap - 2019-07-30
 
Iddance2 fido
Iddance2 fidoIddance2 fido
Iddance2 fido
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」
 
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
 
What are Passkeys.pdf
What are Passkeys.pdfWhat are Passkeys.pdf
What are Passkeys.pdf
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
 
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
 
2012-12-04 BitVisor Summit (公開版)「BitVisorの現状と今後」
2012-12-04 BitVisor Summit (公開版)「BitVisorの現状と今後」2012-12-04 BitVisor Summit (公開版)「BitVisorの現状と今後」
2012-12-04 BitVisor Summit (公開版)「BitVisorの現状と今後」
 
Atomsystem
AtomsystemAtomsystem
Atomsystem
 
SCIM and OpenID Connect Intro
SCIM and OpenID Connect IntroSCIM and OpenID Connect Intro
SCIM and OpenID Connect Intro
 
Security days 2015
Security days 2015Security days 2015
Security days 2015
 
BoF-09 Silverlight and WIF /TechEd Japan 2010
BoF-09 Silverlight and WIF /TechEd Japan 2010BoF-09 Silverlight and WIF /TechEd Japan 2010
BoF-09 Silverlight and WIF /TechEd Japan 2010
 

More from Naohiro Fujie

分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要Naohiro Fujie
 
LINEログインの最新アップデートとアプリ連携ウォークスルー
LINEログインの最新アップデートとアプリ連携ウォークスルーLINEログインの最新アップデートとアプリ連携ウォークスルー
LINEログインの最新アップデートとアプリ連携ウォークスルーNaohiro Fujie
 
ざっくり解説 LINE ログイン
ざっくり解説 LINE ログインざっくり解説 LINE ログイン
ざっくり解説 LINE ログインNaohiro Fujie
 
Azure AD x LINE x Auth0
Azure AD x LINE x Auth0Azure AD x LINE x Auth0
Azure AD x LINE x Auth0Naohiro Fujie
 
LINE Payも取り組んでいるKYCってなんだろう?KYCの基本と最近の動向
LINE Payも取り組んでいるKYCってなんだろう?KYCの基本と最近の動向LINE Payも取り組んでいるKYCってなんだろう?KYCの基本と最近の動向
LINE Payも取り組んでいるKYCってなんだろう?KYCの基本と最近の動向Naohiro Fujie
 
LIFFとの連携でさらに強力に。こんなに使えるLINEログイン
LIFFとの連携でさらに強力に。こんなに使えるLINEログインLIFFとの連携でさらに強力に。こんなに使えるLINEログイン
LIFFとの連携でさらに強力に。こんなに使えるLINEログインNaohiro Fujie
 
祝!公式サポート Auth0 + LINE Login
祝!公式サポート Auth0 + LINE Login祝!公式サポート Auth0 + LINE Login
祝!公式サポート Auth0 + LINE LoginNaohiro Fujie
 
IDaaSにSign in with Appleをつないでみた
IDaaSにSign in with AppleをつないでみたIDaaSにSign in with Appleをつないでみた
IDaaSにSign in with AppleをつないでみたNaohiro Fujie
 
これからの KYC と Identity on Blockchain の動向
これからの KYC と Identity on Blockchain の動向これからの KYC と Identity on Blockchain の動向
これからの KYC と Identity on Blockchain の動向Naohiro Fujie
 
SSIとDIDで何を解決したいのか?(β版)
SSIとDIDで何を解決したいのか?(β版)SSIとDIDで何を解決したいのか?(β版)
SSIとDIDで何を解決したいのか?(β版)Naohiro Fujie
 
教育機関におけるBYOIDとKYC
教育機関におけるBYOIDとKYC教育機関におけるBYOIDとKYC
教育機関におけるBYOIDとKYCNaohiro Fujie
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門Naohiro Fujie
 
コンシューマIDのエンタープライズ領域での活用
コンシューマIDのエンタープライズ領域での活用コンシューマIDのエンタープライズ領域での活用
コンシューマIDのエンタープライズ領域での活用Naohiro Fujie
 
大学等におけるAzure AD B2Cを使用したSNS認証の活用
大学等におけるAzure AD B2Cを使用したSNS認証の活用大学等におけるAzure AD B2Cを使用したSNS認証の活用
大学等におけるAzure AD B2Cを使用したSNS認証の活用Naohiro Fujie
 
Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤
Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤
Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤Naohiro Fujie
 
Azure ADとLINE連携により実現する学校や企業における次世代ID/メッセージ基盤
Azure ADとLINE連携により実現する学校や企業における次世代ID/メッセージ基盤Azure ADとLINE連携により実現する学校や企業における次世代ID/メッセージ基盤
Azure ADとLINE連携により実現する学校や企業における次世代ID/メッセージ基盤Naohiro Fujie
 
認証/メッセージング領域へのモバイル/ソーシャルネットワークIDの活用
認証/メッセージング領域へのモバイル/ソーシャルネットワークIDの活用認証/メッセージング領域へのモバイル/ソーシャルネットワークIDの活用
認証/メッセージング領域へのモバイル/ソーシャルネットワークIDの活用Naohiro Fujie
 
大学等におけるAzure AD B2Cを使用したSNS認証の活用
大学等におけるAzure AD B2Cを使用したSNS認証の活用大学等におけるAzure AD B2Cを使用したSNS認証の活用
大学等におけるAzure AD B2Cを使用したSNS認証の活用Naohiro Fujie
 
アイデンティティ API とデータ統合プラットフォームの活用
アイデンティティ API とデータ統合プラットフォームの活用アイデンティティ API とデータ統合プラットフォームの活用
アイデンティティ API とデータ統合プラットフォームの活用Naohiro Fujie
 

More from Naohiro Fujie (20)

分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要
 
LINE Login総復習
LINE Login総復習LINE Login総復習
LINE Login総復習
 
LINEログインの最新アップデートとアプリ連携ウォークスルー
LINEログインの最新アップデートとアプリ連携ウォークスルーLINEログインの最新アップデートとアプリ連携ウォークスルー
LINEログインの最新アップデートとアプリ連携ウォークスルー
 
ざっくり解説 LINE ログイン
ざっくり解説 LINE ログインざっくり解説 LINE ログイン
ざっくり解説 LINE ログイン
 
Azure AD x LINE x Auth0
Azure AD x LINE x Auth0Azure AD x LINE x Auth0
Azure AD x LINE x Auth0
 
LINE Payも取り組んでいるKYCってなんだろう?KYCの基本と最近の動向
LINE Payも取り組んでいるKYCってなんだろう?KYCの基本と最近の動向LINE Payも取り組んでいるKYCってなんだろう?KYCの基本と最近の動向
LINE Payも取り組んでいるKYCってなんだろう?KYCの基本と最近の動向
 
LIFFとの連携でさらに強力に。こんなに使えるLINEログイン
LIFFとの連携でさらに強力に。こんなに使えるLINEログインLIFFとの連携でさらに強力に。こんなに使えるLINEログイン
LIFFとの連携でさらに強力に。こんなに使えるLINEログイン
 
祝!公式サポート Auth0 + LINE Login
祝!公式サポート Auth0 + LINE Login祝!公式サポート Auth0 + LINE Login
祝!公式サポート Auth0 + LINE Login
 
IDaaSにSign in with Appleをつないでみた
IDaaSにSign in with AppleをつないでみたIDaaSにSign in with Appleをつないでみた
IDaaSにSign in with Appleをつないでみた
 
これからの KYC と Identity on Blockchain の動向
これからの KYC と Identity on Blockchain の動向これからの KYC と Identity on Blockchain の動向
これからの KYC と Identity on Blockchain の動向
 
SSIとDIDで何を解決したいのか?(β版)
SSIとDIDで何を解決したいのか?(β版)SSIとDIDで何を解決したいのか?(β版)
SSIとDIDで何を解決したいのか?(β版)
 
教育機関におけるBYOIDとKYC
教育機関におけるBYOIDとKYC教育機関におけるBYOIDとKYC
教育機関におけるBYOIDとKYC
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
 
コンシューマIDのエンタープライズ領域での活用
コンシューマIDのエンタープライズ領域での活用コンシューマIDのエンタープライズ領域での活用
コンシューマIDのエンタープライズ領域での活用
 
大学等におけるAzure AD B2Cを使用したSNS認証の活用
大学等におけるAzure AD B2Cを使用したSNS認証の活用大学等におけるAzure AD B2Cを使用したSNS認証の活用
大学等におけるAzure AD B2Cを使用したSNS認証の活用
 
Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤
Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤
Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤
 
Azure ADとLINE連携により実現する学校や企業における次世代ID/メッセージ基盤
Azure ADとLINE連携により実現する学校や企業における次世代ID/メッセージ基盤Azure ADとLINE連携により実現する学校や企業における次世代ID/メッセージ基盤
Azure ADとLINE連携により実現する学校や企業における次世代ID/メッセージ基盤
 
認証/メッセージング領域へのモバイル/ソーシャルネットワークIDの活用
認証/メッセージング領域へのモバイル/ソーシャルネットワークIDの活用認証/メッセージング領域へのモバイル/ソーシャルネットワークIDの活用
認証/メッセージング領域へのモバイル/ソーシャルネットワークIDの活用
 
大学等におけるAzure AD B2Cを使用したSNS認証の活用
大学等におけるAzure AD B2Cを使用したSNS認証の活用大学等におけるAzure AD B2Cを使用したSNS認証の活用
大学等におけるAzure AD B2Cを使用したSNS認証の活用
 
アイデンティティ API とデータ統合プラットフォームの活用
アイデンティティ API とデータ統合プラットフォームの活用アイデンティティ API とデータ統合プラットフォームの活用
アイデンティティ API とデータ統合プラットフォームの活用
 

アイデンティティ管理の基礎~Fim adfsアーキテクチャ

  • 1. アイデンティティ管理の基礎 ~ FIM / AD FS アーキテクチャ解 説 2012/09/22 MVP for Forefront Identity Manager Naohiro Fujie / @phr_eidentity
  • 2. 自己紹介  アイデンティティ関係 ◦ NPO 日本ネットワークセキュリティ協会(JNSA)アイデンティティ管理 WG  書籍「クラウド環境におけるアイデンティティ管理ガイドライン」(http://amzn.to/A6MukD) ◦ Kantara Initiative Japan WG ◦ OpenID Foundation Japan 翻訳・教育WG  OAuth 2.0 Spec 翻訳(https://github.com/openid-foundation-japan/openid-foundation- japan.github.com) ◦ Facebook ページ(http://www.facebook.com/eidentity)  FIM / AD FS 関係 ◦ MVP for Forefront Identity Manager ◦ @IT連載  Windowsで構築する、クラウド・サービスと社内システムのSSO環境 (http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html)  クラウド・サービス連携の基本と最新トレンド (http://www.atmarkit.co.jp/fwin2k/operation/idftrend01/idftrend01_01.html) ◦ Blog  IdM 実験室(http://idmlab.eidentity.jp) 2
  • 3. 目次  アイデンティティ管理の基礎 ◦ アイデンティティとは ◦ アイデンティティ管理とは  FIM / AD FS アーキテクチャ解説 ◦ Forefront Identity Manager 2010 R2 ◦ Active Directory Federation Services 2.0 3
  • 5. アイデンティティとは  “ID”から連想するよくある間違い ◦ 識別子(Identifier)  番号  ログインID  “ID”=“アイデンティティ” ◦ 実体(Entity)を構成する属性の集合  ISO/IEC 24760 5
  • 6. アイデンティティの構成要素 要素 解説 例 属性 後天的に取得された主体に関わ 名前、電話番号、社員番 る情報(後から変化する) 号、メールアドレス、認 証状態、位置情報 好み 主体の嗜好に関わる情報 甘いものが好き 形質 主体の先天的な特有の性質 生年月日、性別? (後から変化しにくい) 関係性 他の主体との関係に関わる情報 XX大学卒業、YY部所属 (一部属性と重複) これらをコンピューターシステム上に反映したもの (コンピューターシステム上での実体を表すもの) ⇒ デジタル・アイデンティティ 6
  • 7. アイデンティティ管理とは  3つの“A”を切り口に管理する 構成要素 意味 認証 ユーザが本人であることを証明すること (Authentication) (デジタル・アイデンティティとリアル・ア イデンティティの紐付を行う) 認可(Authorization) 認証されたユーザに権限を与えること (デジタル・アイデンティティに何を許可す るかを決定する) 属性(Attribute) ユーザを構成する情報 (何でデジタル・アイデンティティを構成す るかを決定する) 7
  • 8. 実装と管理  実装手段 ◦ 認証:パスワード、証明書、OTP、リスクベース ◦ 認可:リソース(フォルダ等)へのアクセス権付与 ◦ 属性:ユーザ DB の整備(AD、DBMSなど)  分散システムにおける管理手段 ◦ プロビジョニング  オーソリティにある属性情報を他システムへ反映する ◦ フェデレーション  認証状態などを含むアイデンティティ情報をシステム間で受け渡す  受け取ったシステム側に保持しているアイデンティティ情報との渡された 情報を紐付けることでシングルサインオンなどを実現する 8
  • 9. 実装例:プロビジョニング 対象システム 人事DB ID管理システム 利用 ユーザ 入社、異動、退社 利用ポリシーに などのイベントに 合わせて各シス 各システム間のアイ 合わせて人事情報 テムへ ID を配布 デンティティ情報の を取込み 整合性を担保 9
  • 10. 実装例:フェデレーション 認証サーバ フェデレーションサーバ アプリケーション (Identity Provider / IdP) (Relying Party / RP) 指定 事前信頼 ④認証指示 ⑥トークン発行 ②認証状態チェック ③リダイレクト 信頼できるサーバから ⑤認証 発行されたトークンの ①アクセス 中のID情報を自前のID 情報と紐付ける ユーザ ⇒SSOの実現 10
  • 11. FIM / AD FS アーキテクチャ解説 11
  • 12. FIM 12
  • 13. FIM とは  アイデンティティ情報のライフサイク ル管理を行うエンジン 13
  • 14. 歴史 MIIS2003SP2+CLM Linkage/ MIIS200 ILM200 BHOLD LDE買 3 7 買収 収 1997 2003 2007 2011 1999 2005 2010 2012 Alacris/ VIA/ FIM2010 IdNexu FIM2010 Zoomit R2 s 買収 買収 ⇒MMS ⇒CLM 14
  • 15. 主な機能  様々なアイデンティティ・ストアとの同期(AD DS / SQL Server / SAP / Notes / Sun Oracle LDAP / Novell LDAP・・・)  グループ管理(セキュリティ・グループ、配布 グループ)  ID 管理ワークフロー  セルフ・プロファイル管理  セルフ・サービス・パスワード・リセット  アテステーション、レポーティング  証明書ライフサイクル管理 15
  • 16. ハイレベル・アーキテクチャ FIM 2010 R2 FIM Reporting SCSM FIM Sync FIM Portal FIM Service Identity Stores Service ※PCNS(AD) Certification FIM Clients FIM CM Authority ※BHOLD Suite は除く 16
  • 17. コンポーネントとスタック FIM Components FIM Portal WSS / Passwor Passwor FIM CM FIM MOSS d Reset d Regist Portal Repoting FIM FIM IIS / ASP.NET Sync SCSM Service Service SQL Server ※BHOLD Suite は除く17
  • 18. コンポーネントと役割 コンポーネント 役割 FIM Portal FIM Service を構成するためのポータル FIM Service FIM の中心機能。ポリシー実行エンジン FIM Sync Service 各 ID ストアとのデータ同期エンジン FIM Password Registration Portal パスワードリセット用の秘密のキーワードを登録するた めのポータル FIM Password Reset Portal パスワードをリセットするためのポータル FIM Password Reset Extensions OS のログイン画面にパスワードリセット機能を追加す るクライアント拡張機能 FIM Add-ins for Outlook 申請・承認を Outlookで実行するアドイン FIM Reporting SCSM を使ったレポーティングモジュール Password Change Notification AD へのパスワード変更をフックするために各ドメイン Service コントローラへ導入するモジュール FIM CM Portal 証明書管理を行うためのポータル 18
  • 19. コア・アーキテクチャ  FIM Service ◦ FIM Service Database 内にアイデンティ ティ情報を保持する ◦ そのアイデンティティ情報を管理(作成、 変更、削除)するための管理ポリシーを 定義する 19
  • 20. コア・アーキテクチャ  FIM Service ◦ 管理ポリシー規則の処理パイプライン Request Delegation AuthN AuthZ FIM Service Action Processor &Permission Workflow Workflow Database Workflow s データを更新 申請を受信 認証を行う する 申請者の権限 更新後のアクショ 認可を行う をチェック ンを実行する 20
  • 21. 必須用語 用語 解説 管理ポリシー規則(MPR) FIM Service 内のオブジェクトを操作する 際の規則(誰が何を出来るか、など) 同期規則(SR) 各種アイデンティティ・ストアとの ID 情 報の同期を行うための規則(属性のマッ ピングなど) セット(SET) FIM Service の中でオブジェクトのグルー ピングを行う単位(条件ベースでのメン バシップ、明示的なメンバシップ) ワークフロー 認証(AuthN)、認可(AuthZ)、アク ションが存在。特にアクションは管理ポ リシー規則を適用した結果何を行うかを 定義する(同期規則の実行など) 21
  • 22. プロビジョニング実行時の例 定義対象 定義内容 セット 処理対象となるオブジェクトの条件を定義(例:部署属性の値が「営業 部」なら) 管こ アクション 実行する内容を定義(例:AD DS への発信同期規則を追加する ⇒ AD DS 理の ワークフロー へユーザが作られる) ポ組 同期規則 FIM Sync Service 上の管理エージェントを使ってターゲットシステムとの リみ 同期を行う際のルールを定義(例:AD DS の sAMAccountName 属性には シ合 FIM Service 上の 表示名をマッピングする) ーわ 規せ 管理ポリシー規則 則が アクションワークフロー セット 同期規則 適用対象条件 適用内容定義 22
  • 23. コア・アーキテクチャ  FIM Sync Service ◦ 各種アイデンティティ・ストアと情報を 同期する ◦ FIM Sync Service のレポジトリと各アイ デンティティ・ストア用のステージング 領域を同期し、各管理エージェントを 使って実際の各アイデンティティ・スト アと情報をやり取りする 23
  • 24. 必須用語 用語 解説 Metaverse FIM Sync Service の中央レポジトリ Connector Space 各 ID Store 用のステージング領域 (CS) Management Agent 各 CS のデータを実際の ID Store と接続するた (MA) めのエージェント Synchronization Metaverse と各 CS の間のデータを同期する (差分、フル) Import 各 ID Store から対応する CS にデータを取り込 む(差分、フル) Export 各 CS から対応する ID Store にデータを出力す る 24
  • 25. コア・アーキテクチャ 各ID Store用 MA のデータ 同期 インポート CS ID MA CS Metaverse CS MA ID Store Stor e 中央データ 各ID Store用 ストア の接続Agent エクスポート CS MA 25
  • 26. FIM Service + FIM Sync Service  FIM Service とのオブジェクト同期は FIM Sync Service の MA を介して行 う  FIM Sync Service の構成情報(他 CS の構成など)は Web Service 経由で FIM Service に伝搬する 26
  • 27. 同期規則の取り込み  FIM Sync Service で MA を作成 ◦ FIM Service に対して以下の申請が発行  Create ma-data „MA名‟ Request  Update to mv-data: „Metaverse configuration object‟ Request ⇒FIM Service が MA を認識、同期規則を作成す る際のターゲットシステムとして設定が可能に なる 27
  • 28. 同期規則の取り込み  FIM Service で同期規則の作成 ◦ FIM Service Database 内に同期規則オブ ジェクトが作成される ◦ FIM Sync Service で FIM Service MA の Import / Synchronization を実行  Metaverse 内に作成された同期規則オブジェク トが作成される 28
  • 29. 同期規則の取り込み インポート 同期 FIM Portal FIM New MA FIM CS MV Service / CS SR MA SR MA MAに対応す るSRの作成 MA の作成 MA定義の 作成 MA の作成 Request 29
  • 30. プロビジョニング  FIM Service でオブジェクトを作成 ◦ 管理ポリシー規則により対象オブジェクトに 同期規則を割り当てる  Expected Rules Entry 属性にアクション・ワークフ ローで定義された同期規則への参照が設定される ◦ FIM Sync Service で FIM Service MA の Import / Synchronization を実行する  Metaverse 内にオブジェクトが作成される  ERE 属性に設定された同期規則オブジェクトの内 容に従い対象 CS との Synchronization が実行され る 30
  • 31. プロビジョニング インポート 同期 自動同期 FIM Portal FIM New MA FIM CS MV Service / CS SE A SR ユーザ作成、 SR T W SETへ割当 関連付け て MPR ⇒ERE:SRへの参照 エクスポート ID Stor e 31
  • 32. AD FS 2.0 32
  • 33. AD FS 2.0 とは 認証サーバ フェデレーションサーバ アプリケーション (Identity Provider / IdP) (Relying Party / RP) 指定 事前信頼 ここが AD DS ここが ④認証指示 ⑥トークン発行 ②認証状態チェック AD FS 2.0 ⑤認証 ③リダイレクト ①アクセス ユーザ 33
  • 34. AD FS 2.0 とは  セキュリティ・トークン・サービス (STS) ◦ Active Directory を使った認証 ◦ Active Directory / SQL Server などにスト アされている属性情報(クレーム)をセ キュリティ・トークンとして発行・変換 ◦ SAML 2.0 / ws-federation 等のプロトコル に対応 34
  • 35. 主な機能  セキュリティ・トークンを ◦ 発行する ◦ 変換する  セキュリティ・トークンを伝搬する ◦ SAML 2.0 プロトコル ◦ ws-federation プロトコル 35
  • 36. AD FS 2.0 の世界では 認証オーソリティはAD DSのみ アーキテクチャ 属性オーソリティはAD DS/SQL/カスタム ポリシー決定ポイントはAD DS/SQL/カスタム  SAML オーソリティの構造と AD FS 2.0 SAML 認証 属性 ポリシー決 リクエ クレデンシャル オーソリティ オーソリティ 定ポイント スト 情報 SAML 認証 属性 認可決定 アサーション アサーション アサーション アクセス要求を 受けたサーバ ポリシー実 アプリケーション要求 施ポイント 36
  • 37. SAML トークン / プロトコル  SAML トークン(アサーション) ◦ やり取りするメッセージ自身 ◦ アイデンティティ情報を表現する方法  SAML プロトコル ◦ SAML トークンを IdP ⇔ RP の間でやり 取りするための手順を定めたもの 37
  • 38. SAML 2.0 の構成要素 構成要素 解説 トークン(アサー IdP が発行するトークンでありアイデンティティ ション) 情報が記載されたもの プロトコル アサーションを要求・返答するための方法 バインディング プロトコルを通信に乗せる方法(HTTP / SOAP /PAOS など) プロファイル プロトコルとバインディングとアサーションを組 み合わせた方法 メタデータ プロトコルやサービスエンドポイントが記載され たもの 38
  • 39. SAML トークン構造 トークン  発行者(Issuer) ◦ 誰が、いつ発行したトークンなのか 認証アサーション  識別子(Subject) ◦ 何(誰)に関するトークンなのか 属性アサーション  受信者(AudienceRestriction) ◦ 誰宛に発行されたトークンなのか 認可決定アサーション  アサーション(AD FS2.0 ではクレーム) ◦ 認証アサーション(AuthNStatement) デジタル署名  認証された時間、手段 ◦ 属性アサーション(AttributeStatement)  属性情報(属性と値) ◦ 認可決定アサーション(AuthzDecisionStatement)  特定リソースへのアクセス許可されているか  デジタル署名 39
  • 40. SAML トークン構造  発行者(Issuer) <saml:Issuer> https://myadfs.example.local/adfs/services/trust </saml:Issuer> フェデレーションにおける事前信頼 ⇒アプリケーション(RP)はこの発行者情報(エンドポイントアド レス)およびトークンに付与されるデジタル署名の情報を登録する ⇒AD FS 2.0 の「フェデレーションサービスの識別子」の URI ※SAML トークンは BASE64 でエンコードされ、やり取りされる ので、XML 形式に復号するには SAML 2.0 Debugger などを利用 する。 - SAML 2.0 Debugger 40
  • 41. SAML トークン構造  識別子(Subject) <saml:Subject> <saml:NameID> hoge@mygapps.com </saml:NameID> </saml:Subject> フェデレーションにおけるアイデンティティの紐付け ⇒アプリケーション(RP)はこの識別子の属性名および属性値が 自身の保持するアイデンティティと一致することで紐付を行う。 例)Google Apps の場合、NameIdentifier 属性に入っているメー ルアドレスの値が GoogleApps 上のアカウントと一致すればその ユーザに関する情報とみなす。 41
  • 42. SAML トークン構造  受信者(AudienceRestriction) <saml:AudienceRestriction> <saml:Audience>google.com/a/mydomain</saml:Audience> </saml:AudienceRestriction> フェデレーションにおける事前信頼 ⇒アプリケーション(RP)はこの発行者情報(エンドポイントア ドレス)およびトークンに付与されるデジタル署名の情報を登録 する ⇒AD FS 2.0 の「証明書利用者信頼の識別子」の URI 42
  • 43. SAML トークン構造  認証アサーション(AuthNStatement) <saml:AuthnStatement AuthnInstant="2012-09- 22T00:00:00.000Z"> <saml:AuthnContext> <saml:AuthnContextClassRef> urn:federation:authentication:windows </saml:AuthnContextClassRef> </saml:AuthnContext> </saml:AuthnStatement> ※統合 Windows 認証の場合 43
  • 44. SAML トークン構造  属性アサーション(AttributeStatement) <saml:AttributeStatement> <saml:Attribute Name="organization_id"> <saml:AttributeValue xsi:type="xs:anyType">ABCDEFG </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement> ※organization_id 属性の値が ABCDEFG となる例 44
  • 45. SAML トークン構造  認可決定アサーション(AuthzDecisionStatement) <saml:AuthzDecisionStatement Resource="http://www.example.com/secret.html" Decision="Permit"> <saml:Action Namespace="urn:oasis:names:tc:SAML:1.0:action:ghpp"> GET </saml:Action> </saml:AuthzDecisionStatement> ※http://www.example.com/secret.html に対して GET を許可する 例 45
  • 46. SAML トークン構造  デジタル署名 <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> ……(デジタル署名に関する情報)…… </ds:Signature> フェデレーションにおける事前信頼 ⇒アプリケーション(RP)はこのデジタル署名に関する情報を事 前に登録する ⇒AD FS 2.0 のトークン署名証明書 46
  • 47. SAML プロトコル・フロー ブラウザ IdP RP サービスへアクセス リダイレクト認証要求を IdP へ送付 Assertion ユーザ認証 認証 の生成と署 Assertion Servic 名 署名の検証 アサーション発行 e アサーションを POST サービスへリダイレクト ACS サービスを利用 ※WebSSO Profile / SP Initiated / POST Binding の例 ※ACS : Assertion Consumer Service 47
  • 48. とりあえず・・・  概念を説明してもらっても??な世界  デモだけ見ても??な世界 説明を聞いて、見て、触って、、、 ようやくなんとなく理解できる ⇒ハンズオンをやってみましょう。 48
  • 49. お疲れ様でした。 ◦ 問合せ先  富士榮 尚寛(naohiro.fujie@eidentity.jp) 49