Azure ADにみるエンタープライズ領域におけるフェデレーションとIDaaSの活用

Azure ADにみるエンタープライズ領域におけるフェデレーションとIDaaSの活用

1. 1. Azure ADにみる エンタープライズ領域における フェデレーションとIDaaSの活用 MVP for Directory Services Naohiro Fujie / @phr_eidentity / http://idmlab.eidentity.jp 1
2. 2. 自己紹介 • Blog • IdM実験室（Identityに関することを徒然と）：http://idmlab.eidentity.p • Social • Facebook Page : eIdentity：https://www.facebook.com/eidentity • Interest • Enterprise Identity Management • 記事 • 企業のID管理／シングルサインオンの新しい選択肢「IDaaS」の活用 （http://www.atmarkit.co.jp/ait/articles/1508/07/news034.html） • その他 • JNSA アイデンティティ管理WG（書籍：「クラウド環境におけるアイデンティティ管理ガイドライン」etc） • OpenID Foundation Japan 教育・翻訳WG（OAuth/OpenID Connect仕様翻訳）、エンタープライズ・アイデン ティティWG 2
3. 3. Agenda • エンタープライズにおけるID管理の目的と動向 • 企業におけるID基盤のこれまで • クラウド利用・グローバル化による変化 • 共通部分の外部化とIDaaSの可能性 • Azure Active Directory概要 • エンタープライズにおけるAzure ADの活用 • 共同利用アプリケーションとのID連携 • 企業内ID基盤とのID連携 • まとめ 3
4. 4. エンタープライズにおけるID管理の目的と動向 • そもそもID基盤を導入したい訳ではない • 大体のプロジェクトはこんな理由で始まる • アプリケーションをグループ＆グローバル で共同利用したい • 監査に引っかかった • クラウド・サービス （Office365,GoogleApps,Salesforce等） を使いたい • BYODを導入したいが統制は効かせたい 4 運用効率化 セキュリティ 利便性向上 法令対応／ 内部統制 グローバル クラウド モバイル
5. 5. 企業におけるID基盤のこれまで 5 管理者 源泉情報（人事DB等） ID管理システム 統合認証システム アプリケーション - IDライフサイクル管理機能 （人事業務/イベントに合わせた アカウント管理） - ID同期機能 （認証用IDの同期） SSO 利用者 IDメンテナンス - PWDリセット - ID作成/更新/削除 IDメンテナンス - PWDリセット、 - プロファイル メンテナンス 認証機能（統合認証システム） • ID/PWDなどでログオン制御を行う • アプリケーションの認証機能を外出し、共同で利用することでシングルサインオ ンを実現する • 一般に、認証に使うID情報（社員番号やパスワード）はID管理システムを使っ て管理される 認可機能（アプリケーション） • ログオン後、ユーザの権限（メニューを出す・出さない等）制御を行う • 一般に制御自体はアプリケーション側で行い、認可に必要な情報（役職や所属組 織）はID管理システムを使って管理される ID同期機能（ID管理システム） • ID管理システムから認証システムへ、認証に使うID情報（社員番号やパスワー ド）を同期する • ID管理システムからアプリケーションへ、認可に使うID情報（役職や所属組 織）を同期する - ID同期機能 （認可用IDの同期） IDライフサイクル管理機能（ID管理システム） • ID情報を源泉（人事等）から取り込み、人事イベントに応じて認証システムや 各アプリケーションへ必要なID情報を同期する • 管理者や利用者自身でIDのメンテナンスを行う（パスワード・リセット、プロ ファイルメンテナンス等） ID（アイデンティティ）基盤 個別アプリケーションの運用に 合わせたID配信ロジックの作り こみ アプリケーションと密結合した 認証システム
6. 6. クラウド利用・グローバル化による変化 管理者 源泉情報（人事DB等） ID管理システム 統合認証システム アプリケーション SSO 利用者 親会社 管理者 ID管理システム アプリケーション SSO 利用者 源泉情報（人事DB等） 統合認証システム 関係会社 業務要件 アプリケーションの共同利用 利用要件 SSO継続 管理・運用要件 共同利用アプリケーションへ の複数社からのID同期
7. 7. 共通部分の外部化とIDaaSの可能性 （Identity as a Service） 管理者 個社 源泉情報 （人事DB等） 個社 ID管理システム 個社 統合認証 システム 個社アプリ SSO 利用者 管理者 個社 ID管理システム 個社アプリ 利用者 個社 源泉情報 （人事DB等） 個社 統合認証 システム 親会社 関係会社SaaSアプリ （共同利用） SSO IDaaS （共同利用） ID連携 （対APL） ID連携 （対認証SYS） ID同期 （対APL） ID同期 （対ID管理） IDaaSに求められる要件 個社のシステムや運用を極力変えずに、共同利 用アプリケーションを各社が便利かつセキュア に利用できるようにすること ⇒クラウド提供されるコントロールポイント
8. 8. Azure AD の役割 ～ Identity as a Service 利用者の利便性と 管理コスト低減 • セルフサービス クラウドアプリへ のアクセス制御 • コンディショナ ルアクセス 証跡管理 • 監査ログ • セキュリティレ ポート クラウド上のディ レクトリサービス • ユーザー管理 • 認証 • 特権管理 出典）日本マイクロソフト安納氏資料 https://docs.com/junichia/3924
9. 9. Azure AD Join パスワード連携 OMA-DM オンプレミス SAML 2.0 WS-Federation OpenID Connect OAuth 2.0 Identity is control plane ID 管理 認証 Active Directory ID Sync SSO 業界標準プロトコルの サポート 他社 SaaS との ID 連携 Microsoft Passport Windows Hello Windows 10 Browser セキュリティ ポリシー アプリ配布/利用制限 暗号化, 権限追跡 BYOD/CYOD 社内業務 SAML 2.0 WS-Fed. 監査 ﾛｸﾞ解析 ｼｬﾄﾞｳIT検出 Azure Machine Learning Intune Azure RMS Subscription RBAC … Proxy Connector KCD ID 同期 アクセス制御 特権 ID 管理 RBAC 多要素認証必須 アクセスOK アクセス不可ID 連携 Rights Management MDM/ MAM/ MCM B2B Azure IaaS Domain Services VPN 2015.10.27 版 Kerberos ldap NTLM Group Policy SPNego IWA 対個社の認証システム、ID管理 システムのID連携・ID同期 対共同利用アプリケーションの ID連携・ID同期 出典）日本マイクロソフト安納氏資料 https://docs.com/junichia/3924
10. 10. 共同利用アプリケーションとのID連携 （Federation／SSO） • 標準プロトコルに対応したアプリケーションとのID連携 • SAML ： Google Apps / salesforce.com / Box etc • OpenID Connect ： カスタムアプリ • ws-federation ： Office 365 etc • Federationの他、パスワードベースSSO（ブラウザプラグイン）にも対応 • 多数のアプリケーションへの対応 • 2,500種類以上のプリセットされたアプリケーションからの選択 • カスタムアプリとの連携 • アプリケーションサーバ（WebLogic / WebSphere / Jbossなど）との基盤レベルでの連携を行うことで業務ロ ジックとIDレイヤを分離 10
11. 11. 共同利用アプリケーションとのID連携 （ID同期／プロビジョニング） • 主要なSaaSアプリケーションへのID同期／プロビジョニングに対応 • Google Apps / salesforce.com / Box etc 11
12. 12. 12
13. 13. 共同利用アプリケーションとのID連携 （その他） • 利用条件によるアクセスコントロール • 条件 • 接続元ネットワーク • 適用対象および適用除外対象 • グループ（属性ベースの動的グルーピングも可能） • 制御内容 • 多要素認証の要求 • アクセスのブロック 13 営業部に所属する社員 社外からのアクセス 多要素認証の強制ブロック No Yes 例）営業部以外の社員は社外からの アクセスをブロックする
14. 14. 14
15. 15. 企業内ID基盤とのID連携 （ID連携、ID同期） • Azure AD Connect • AD FSおよびAzure AD Syncを同梱したパッケージ • AD FS（Active Directory Federation Services） • 社内のActive Directoryを使うws-federation / SAMLに対応したIdentity Provider • Azure ADとはws-federationでID連携 • Azure AD Sync • 社内のActive DirectoryとAzure ADの間でID（ユーザ、グループ等）を同期 • 複数のフォレストからの同期が可能 • パスワードハッシュをリアルタイムでAzure ADへ同期可能 15
16. 16. 各社で個社ADをこれまで通り管理するだけで ユーザに影響を出さずに共同利用APLを利用可能 管理者 個社 源泉情報 （人事DB等） 個社 ID管理システム 個社 統合認証 システム 個社アプリ SSO 利用者 管理者 個社 ID管理システム 個社アプリ 利用者 個社 源泉情報 （人事DB等） 個社 統合認証 システム 親会社 関係会社アプリケーション （共同利用） SSO IDaaS （共同利用） ID連携 （対APL） ID連携 （対認証SYS） ID同期 （対APL） ID同期 （対ID管理） Azure AD AD FS AD FS Azure AD Sync • 各社にAD FSを配置しAzure ADと連携 • Azure AD Synで各社ADよりIDをAzure ADへ同期 ⇒ユーザはこれまでと同じID/PWDで共同 利用APLへログイン可能
17. 17. まとめ • グローバル化に伴い、グループ企業間での共同業務が増加している • それに伴い、クラウド・サービスの活用が進んでいる • IT管理者は変化に対応するためにリーズナブルなID基盤を用意する必 要がある • ID連携をコア要素とするIDaaSがその課題への一つの解となりえる • Azure ADをはじめとする各IDaaSはすでに必要な機能を実装しており、 既存の環境への影響を最低限にとどめつつクラウドへシフトできる 17