アイデンティティ プロバイダーとの連携手法 Windows Azure 1/17/2019 アイデンティティ プロバイダーとの連携手法 Tsuyoshi Matsuzaki (Microsoft, Japan) Manabu Kondo (Ping Identity, Japan) © 2011 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

本セッションの位置づけ 「SaaS としての アイデンティティ プロバイダーの役割」 「アイデンティティ プロバイダーとの 連携手法」 前セッション 「SaaS としての アイデンティティ プロバイダーの役割」 IT Pro、SI エンジニア (アーキテクト) にとっての 認証・認可の動向と技術 本セッション 「アイデンティティ プロバイダーとの 連携手法」 上記技術を活用したシステム (アプリケーション) 構築の立場から解説

Agenda アイデンティティ開発 における時代の波 Microsoft が提供する各開発技術とその使い分け アイデンティティ連携開発の実例 (Ping Identity, Japan)

Domain-based IdM から Federation Model へ Visual Studio Live! Las Vegas 2011MGB 2003 Domain-based IdM から Federation Model へ Web 標準がベース もはや事実上のデファクトへ (Google, Facebook, twitter, mixi 等) ただし、すべてが解決された わけではない ! (今後も進化 . . .) IdP（CP） SP（RP） CLAIMS 認証 認可 多数のコピー, 使いまわし クレームベースのフェデレーション © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

利用者にとって使いやすく ≠ 開発者にとって作りやすく 利用者にとって使いやすく ≠ 開発者にとって作りやすく 開発者にとってのハードルは、 むしろ 10 年前より各段にあがっている 開発の 1 要素から、より専門的な分野へ 高度化と分散化の同時進行 ～ 単一の技術はより高度化し、関心はより多様化へ 一般的な産業成熟の波 (今後もこの流れは続くであろう. . .)

アーキテクトにとって必要なスキル ～ すべての仕様、すべての実装を知る必要はない… 現実の理解と問題意識の共有 ネット上は、無駄な Spam, Malware, etc で溢れている. . . 各技術の背景にある課題と「何を解決するものか」の理解 トレンドの追跡 (将来、どこへ向かうのか)

Microsoft が提供する各開発技術と その使い分け

最新のプロジェクト・テンプレートが提供するフェデレーション開発ライブラリー (DotNetOpenAuth) OAuth, OpenID の認証・認可を扱うプロトコル・ライブラリー ソーシャル・アイデンティティ系の認証・認可連携であれば、これで充分 … ただし、WS-* の扱いは不可 (AD FS 連携も不可 !) Visual Studio 2012 の下記テンプレートで使用可能 ASP.NET MVC 4 インターネット アプリケーション ASP.NET Webフォーム ASP.NET Webサイト（Razor） プロジェクトは、複数の IdP に対応

開発者にとっての Windows Azure AD – Access Control STS によるアイデンティティ系処理分割 (モジュール化) 開発時のメリット アプリケーションは、単一 のプロトコル (WS-Fed) とセキュリティ・フォーマッ ト(RP ごとに選択可能) のみ を意識すれば良い IdPの変更 (追加など) に再 コンパイルは不要 WS-Fed (AD FS 2.0 -) にも 対応可能 クレームも変換 (特定 IdP に依存したコードを排除)

WS-Fed, WS-Trust の開発用に Windows Identity Foundation (WIF) を提供 DotNetOpenAuth に対し、WS-Fed, WS-Trust のプロトコル・ライブラリー的性格 MS は、従来、これらのプロトコルに投資 (AD FS, ACS, など) .Net 4.5 で標準ライブラリーへ組み込み SSO 開発については、Non-Programming で利用可能 (Identity and Access Tool による構成ファイルへの反映) セキュリティ・フォーマットは、SAML Assertion に対応。JWT を使用する場合は、別途のライブラリーを取得 今後は、Server-to-server 認証 (OAuth2) のライブラリーとしても拡張 (現在、拡張ライブラリーとして別途提供) SharePoint 2013 用アプリ開発テンプレートでは、既に使用

シナリオ・ベースのヘルパー・ライブラリー Windows Azure Authentication Library (AAL) シナリオ・ベースの各種認証処理をヘルプ (Not a protocol library !) インタラクティブ UI によるトークン取得、User Credential 連携、など Server-to-server 認証 (OAuth2) は、将来 WIF へ分離予定 特に、リッチ・クライアント (Non-Web クライアント) を対象 AAD (ACS, Directory 双方) 用 現在、Beta 版

Windows Azure AD – ディレクトリ (Directory) の開発者向けトピック SSO は「Microsoft ASP.NET Tools for Windows Azure Active Directory – Visual Studio 2012」を使用すると便利 本ツールを使用すると、RP のサーバー側の Provisioning を自動化 Identity and Access Tool でも SSO 可能 Windows Azure AD Graph LOB アプリ (ユーザー一覧の表示、など) 管理アプリ (追加・変更・削除、同期機能、など) マルチテナント対応サービス構築など、応用的な開発にも対応 ただし、高度なスキル (ISV 向けエンドポイントの利用など) とセットアップ (Windows Azure Marketplace への製品登録) が必要

アイデンティティ連携開発の実例 ～ 仕組みを知れば、ここまでできる ! ～ 近藤 学(Ping Identity, Japan)

Managing Director of APAC & Japan Office 365 との認証連携例 Ping Identity Managing Director of APAC & Japan 近藤学 14 Copyright ©2013 Ping Identity Corporation. All rights reserved.

認証連携・アイデンティティセキュリティの専門企業 弊社のご紹介 認証連携・アイデンティティセキュリティの専門企業 2002年に会社設立、本社は米国デンバーで世界各地に拠点 日本では、2012年4月から、一次代理店を通じて販売開始 業界標準プロトコルの仕様策定に関与 今年2月、米フォーブス誌で米国で最も有望な企業の56位に選出 その他、最近も続々と新たな連携/パートナーシップを発表 Dropbox、Box、Concur、Cisco フォーチュン100の45社が顧客 Copyright ©2013 Ping Identity Corporation. All rights reserved.

900 以上の顧客と、280 以上のパートナー Fortune 100（米国の売上高トップ100企業）の 45 社にご採用いただいています。 主なお客様 主な SaaS パートナー First a short introduction to Ping and our mission. We are 100% focused on Cloud Identity. We work with customers to help them enable and protect the identities of customers, partners, and employees. We do this with Cloud Identity Management solutions and services that cover the full spectrum of enterprise identity management needs in the Cloud. 280 以上のパートナーシップ Copyright ©2013 Ping Identity Corporation. All rights reserved.

What Ping Identity Does Situation Copyright ©2013 Ping Identity Corporation. All rights reserved.

WS-Federation / WS-Trust 認証連携ソフトウェア「PingFederate」 既存の ID 体系/製品の 統合や変更は不要 Web SSO から API to API の認証連携まで一元管理 SAML 非対応の社内 Web アプリとも簡単に連携 IdP 100% 業界標準に準拠した 「Identity Bridge」 SP Active Directory Office365 SAML / OpenID / OAuth WS-Federation / WS-Trust LDAP Dynamics CRM 各社 ID 管理製品 クラウドサービス パートナー企業 社内業務アプリ クラウドサービス B2B ポータル SNS など B2C ポータル Copyright ©2013 Ping Identity Corporation. All rights reserved.

IdP SP これからご覧頂くデモについて OpenID プロバイダ (mixi) Facebook Office 365 Copyright ©2013 Ping Identity Corporation. All rights reserved.

2 1 OpenID Provider 3 6 4 5 Active Directory DirSync Copyright ©2013 Ping Identity Corporation. All rights reserved.

Visit www.pingidentity.jp Thank you Visit www.pingidentity.jp 22 Copyright ©2013 Ping Identity Corporation. All rights reserved.

Visual Studio Live! Las Vegas 2011MGB 2003 この中で、本日紹介した各技術をサンプル・コード付きで掲載します http://www.buildinsider.net/ 新時代を切り開くソフト開発者のためのサイト Build Insider 公開を記念し、How toではなくハイレベルなアーキテクト向けのセッションを含むイベントを実施予定です。ぜひご参加ください。 日時 : 6月8日(土) 10:30 – 18:00 場所 : 日本マイクロソフト(株) 品川オフィス 30F, 31F (株)デジタル アドバンテージ主催 日本マイクロソフト(株) 他 協賛 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.