PowerPoint プレゼンテーション

(1)

Room D

(2)

(3)

Windows

Intune

(4)

Windows

Intune

(5)

(6)

Azure Active Directory World

Windows Server Active Directory World

業務サービス

運用管理サービス

業務データ

社内 PC

社員

SaaS

(7)

Windows Server AD World

業務サービス

運用管理サービス

業務

データ

社内 PC

社員

Azure Active Directory World

(8)

(9)

ID Store

http://technet.microsoft.com/en-us/library/jj679342.aspx

Security Token

Services

（STS）

CP(IdP)

側

RP(SP)

側

(10)

SAML 2.0

WS-Federation

(11)

Sign-on end-point

https://login.windows.net/･･･

SAML 2.0

WS-Federation

ECP : Enhanced Client or Proxy

Active

(12)

(13)

(14)

Google

(15)

アクセスパネル

• Microsoft Azure AD テナントと関連付けられた SaaS の一覧（ポータル）

• ユーザーは、サービスをクリックすればよい

http://myapps.microsoft.com/

IDとパスワードを自動入

力してくれるアドイン

(16)

(17)

SAML/WS-Fed

の場合

OAuth2.0/

OpenID Connect

の場合

(18)



WS-Federation



SAML 2.0



OpenID Connect



OAuth 2.0

• どのサービスを利用できるかは IdP が決定

• CPがユーザーに対してクレームを発行

• ユーザーがアプリケーションにクレームを渡す

• どのサービスを利用するか（どのサービスを信頼

するか）をユーザーが決めることができる

• ユーザーはアプリケーションに対してクレーム取

得を許可する（クレームを取得するための API 利

用を許可する（API認可））

• クレームは RP が CP（のAPI）に取りに行く

RP

IdP/CP

信頼

利用者

①認証

②クレーム

③クレーム

RP

IdP/CP

利用者

①認証

④APIにアクセス

②API

アクセス

許可

⑤ユーザー情報

⑥アクセス許可

(19)

（例）管理用アプリ

• アカウント情報

• アプリケーション

• パーミッション等

※VS2013もOAuth Clientの

一種

ID ストア

Graph

RP(SP

)側

Federation

SAML 2.0

Security Token

Services

（STS）

CP(IdP)

側

https://graph.windows.net/contosojp.com/<method>

超お勧めエバンジェリスト松崎剛さんのBLOG

http://blogs.msdn.com/b/tsmatsuz/archive/2012/09/10/windows-azure-active-directory-aad-graph-api-oauth2.aspx

• Principal Id

• Symmetric Key

(20)

(21)

Protocol

Flow

Category Primary Purpose

ADFS 2 ADFS 3 AAD

ACS

OAuth 2.0

Authorization Code Grant Web API Browser-based authorization / delegation No Yes Yes Yes Client Credentials Grant Web API Server to server authorization / delegation No No Yes Yes

Implicit Grant Web API JavaScript based authorization / delegation (e.g. SPA) No No No No Resource Owner Password

Credentials Grant Web API Authorization / delegation by sending user credentials through highly trusted app No No No Yes

Refresh Token Web API Refreshing expired tokens without prompting user No Yes Yes Yes

OAuth WRAP

Web Resource AuthorizationProtocol (WRAP) Web API Browser-based authorization / delegation (deprecated by OAuth 2.0 auth code grant) No No No Yes

WS-Federation

Passive Requestor Profile UserSign In Browser-based federated authentication Yes Yes Yes Yes Active Requestor Profile

(aka WS-Trust) Web API Client (app) authentication Yes Yes Yes Yes

SAML 2.0

Single Sign On (WebSSO) UserSign In Browser-based federated authentication Yes Yes Yes No

Single Sign Out UserSign Out Browser-based federated sign-out Yes Yes Yes No

Kerberos/NTLM

_User

Sign In Authentication for intranet apps on domain-joined machines Yes Yes No No

OpenID Connect

_User

(22)

SAML Functions

IdP Lite

SP Lite

ADFS 2.0/3.0

Azure AD

Web SSO, <AuthnRequest>, HTTP Redirect

MUST

Yes

Web SSO, <Response>, HTTP POST

MUST

Yes

Web SSO, <Response>, HTTP Artifact

MUST

Yes

Artifact Resolution, SOAP

MUST

Yes

Name Identifier Management, HTTP Redirect (IdP-initiated) MUST NOT

MUST NOT

Name Identifier Management, SOAP (IdP-initiated)

MUST NOT

Name Identifier Management, HTTP Redirect

MUST NOT

Name Identifier Management, SOAP (SP-initiated)

MUST NOT

Single Logout (IdP-initiated) - HTTP Redirect

MUST

Yes

Single Logout (IdP-initiated) - SOAP

OPTIONAL

Single Logout (SP-initiated) - HTTP Redirect

MUST

Yes

Single Logout (SP-initiated) - SOAP

OPTIONAL

(23)

(24)

(25)

(26)

(27)

社内セキュリティドメイン

IT ガバナンス

• IDとパスワードの一元管理（認証の中心）

• アプリケーション/データへのアクセス制御

• セキュリティポリシーの管理と適用

セキュリティの壁を越えた IT ガバナンス

• パブリッククラウド

• 個人デバイス

セキュリティ

の壁

業務アプリ

業務サービス

業務データ

社内 PC

個人デバイス

(28)

セキュリティドメイン外

パ

ブ

リ

ッ

ク

ラ

ウ

ド

オ

ン

プ

レ

ミ

ス

IaaS への拡張

_{IaaS/SaaS/PaaS との連携}

企業間連携

外部 IdP との連携

セキュリティドメイン

Enterprise BYOD

セキュリティドメイン内

社内セキュリティドメイン