Download
1 / 13
130 likes | 373 Vues
シングル ・サインオンを使用した クラウド アプリケーション開発編. アジェンダ. クレームベース認証とシングル・サインオン (Web SSO) Windows Azure アクセス制御サービス (ACS) を使った連携 クレーム情報 の 受け渡し 企業向け連携シナリオと Active Directory Federation Service (AD FS) 2.0 Windows Azure Active Directory. クレームベース認証と シングル ・サインオン (Web SSO). ユーザーへのログイン画面表示. アイデンティティ・プロバイダー
E N D
シングル・サインオンを使用したクラウド アプリケーション開発編
アジェンダ クレームベース認証とシングル・サインオン (Web SSO) Windows Azure アクセス制御サービス (ACS) を使った連携 クレーム情報の受け渡し 企業向け連携シナリオとActive Directory Federation Service (AD FS) 2.0 Windows Azure Active Directory
クレームベース認証とシングル・サインオン (Web SSO) ユーザーへのログイン画面表示 アイデンティティ・プロバイダー (IdP) 既にログイン済 !(認証チケット発行済) サインイン 成功 ! (認証チケット発行) OAuth, OpenIDなど 認証要求(リダイレクト) リダイレクト リダイレクト アプリ B アプリ A ・・・ 権限がない! 認証チケット発行! 認証チケット発行! 接続 Relying Party(RP, 証明書利用者アプリ) 接続
クレームベース認証とシングル・サインオン (Web SSO) アイデンティティ・プロバイダー (IdP) Microsoft Account(Windows Live ID) アプリ B アプリ A SkyDrive Outlook.com(Hotmail) ・・・
Windows Azure アクセス制御サービス (ACS) を使った連携 ACS WEB アプリ(RP) WIF STS STS IdPMicrosoft Account,Google,Facebook など 情報の整形 情報 信頼 情報 情報 ACS:Windows Azure アクセス制御サービス STS:Security Token Service WIF:Windows Identity Foundation (Library, API)
Windows Azure アクセス制御サービス (ACS) を使った連携 アプリケーション側の変更をせずに、アイデンティティ プロバイダーの切り替えが可能(制御の分離) リリース後に、認証基盤を別途管理・変更 複数のアイデンティティ プロバイダーへの対応が可能 クレーム情報の柔軟な変換が可能 認証基盤ごとの煩雑化を隠ぺい(RP は、ACS さえ理解すれば良い)など
クレーム情報の受け渡し ACS WEB アプリ(RP) IdP メールアドレス 名前 ID 「ID」, 「名前」, 「メールアドレス」を使ったプログラム
クレーム情報の受け渡し ACS WEB アプリ(RP) 別のIdP E-メール 名前 ID 「ID」, 「名前」, 「メールアドレス」を使ったプログラム 「ID」, 「名前」, 「メールアドレス」を使ったプログラム バグ発生
クレーム情報の受け渡し ACS WEB アプリ(RP) 別のIdP E-メール メールアドレス 名前 ID クレーム情報の受け渡しの方針 (変換など) を細かく制御可能 「ID」, 「名前」, 「メールアドレス」を使ったプログラム
企業向け連携シナリオとActive Directory Federation Service 2.0 相互信頼 ACS WEB アプリ(RP) WIF 信頼 AD DS AD FS 2.0 情報の整形 情報の整形 信頼 さまざまなシナリオへの対応 Windows認証 SAMLAssertion SAMLAssertion プロトコルは、WS-Federation Basic認証やフォーム認証 Intranet Internet
今回のハンズオン・ラボの環境 WindowsAzure Windows AzureVirtual Machines Windows Azureアクセス制御サービス Windows AzureWeb Sites Windows Server 2012(contoso-adfs.cloudapp.net) Namespace A Web App 1 WIF AD DS AD FS 2.0 Custom code 既に稼働済み 名前空間の作成と設定 配置(アップロード) RP の設定
Windows Azure Active Directory(Preview) Identity as a Service 契約ベースの IdP(インストール不要) マルチ テナント さまざまな利用シーンへの対応 さまざまなプロトコル サポート PHP, Java 開発環境への対応 多要素認証 豊富な機能とユーティリティ 管理 UI Graph API DirSync 統一的 ID 管理基盤 Office 365, Dynamics CRM Online, Windows Intune ※ 現在、Developer Preview 版です (今後、予告なく変更される可能性があります)
