[運用]
Windowsで構築する、クラウド・サービスと社内システムのSSO環境 第2回

2.マイクロソフトのアイデンティティに関するビジョン

Microsoft MVP
Identity Lifecycle Manager
伊藤忠テクノソリューションズ株式会社
富士榮 尚寛
2010/08/25
Page1 Page2 Page3

 これまで述べてきたように、クラウドのようなインターネットを絡めたネットワークでは、アイデンティティ管理テクノロジがセキュリティ上の課題解決に重要な役割を果たす。ここからは、そのアイデンティティ管理テクノロジについてマイクロソフトがどのようなビジョンを持ち、具体的にどのように製品として実装しているのかを解説する。

マイクロソフトのアイデンティティに関するビジョン

 かつてマイクロソフトは.NET Passportというサービスでインターネット上のアイデンティティ・プロバイダになろうとしていた。しかし当時は、サービス・プロバイダへの開示範囲の制限などユーザーのアイデンティティ情報を保護する仕組みの欠如や認証強度の問題などにより、ユーザー、そして何よりも対応するサービス・プロバイダが増えず、結果として取り組みは失敗に終わった。

 その失敗を踏まえてマイクロソフトは、2005年に同社のアイデンティティ管理製品の専門家であるKim Cameron氏を中心として、The Laws of Identity(インターネット世界におけるアイデンティティの7つの基本原則)という考え方/ビジョンを提唱した。

The Laws of Identity
2005年にMicrosoftのKim Cameron氏が提唱した「インターネット世界におけるアイデンティティの7つの基本原則」。

 各原則を簡単に紹介しておく。

# 原則 内容
1 ユーザーによる制御と同意 アイデンティティ・システムは、ユーザーの同意がなければユーザーを識別する情報を開示すべきではない
2 限定された用途で最低限の公開 最も安定し、長期にわたって使用できるソリューションとは、開示するアイデンティティ情報を最小限にし、情報へのアクセスを適切に制限するソリューションである
3 正当な関係者のみへの情報開示 アイデンティティ・システムは、特定の状況において識別情報を必要とし、かつ入手できる正当な権利を持つ関係者のみに対して情報を開示するように設計されなければならない
4 方向付けられたアイデンティティ アイデンティティ・システムは、公に使用する「全方位的」な識別子とプライベートで使用する「特定の方向性」を持った識別子の両方をサポートしなければならない。このことにより公共性を維持しながら不必要に関連付けの公開を防止できる
5 複数のアイデンティティ・プロバイダと技術の相互運用性 アイデンティティ・システムは、複数のアイデンティティ・プロバイダによって実行される複数のアイデンティティ技術の相互運用性を保持しなければならない
6 人間の統合 アイデンティティ・システムは、利用者たるユーザーを分散システムの1つのコンポーネントとして定義しなければならない。明確なマンマシン・インターフェイスを策定してユーザーを分散システムに統合し、アイデンティティを保護しなければならない
7 シンプルで一貫性のあるユーザー・エクスペリエンス アイデンティティ・システムは、さまざまな状況下でのアイデンティティ・コンテキストの分離を可能にしつつも、一貫性のあるユーザーとテクノロジのインターフェイスを提供しなければならない
「インターネット世界におけるアイデンティティの7つの基本原則」の概要
詳細が記されている原文はKim Cameron氏のブログに掲載されているPDF文書で閲覧できる。

 以後、マイクロソフトはこれらの基本原則にのっとってアイデンティティに関するソリューションを開発していくが、その全体像(アーキテクチャ)を示すのが次に紹介するアイデンティティ・メタシステムである。

アイデンティティ・メタシステムとは?

 前述のビジョン実現のため、マイクロソフトもやはりフェデレーションという概念を中心に据えている。ただ、.NET Passportの失敗やユーザー・エクスペリエンスを重視するという企業的な文化から、異なるアイデンティティ管理技術間の相互運用性やユーザー操作の単純化という点を重視しているのが特徴といえる。

 そのような相互運用性やユーザー・エクスペリエンスの単純化という点を踏まえ、マイクロソフトが提唱しているのが「アイデンティティ・メタシステム」である。これは、アイデンティティ管理システムのための「メタ」なシステムであり、デジタル・アイデンティティの相互運用のためのアーキテクチャを指す。

アイデンティティ・メタシステムの概念
サブジェクトとアイデンティティ・プロバイダ、リライング・パーティという3つの役割で構成される。若干の用語の違いはあるが、前のページで説明したフェデレーション(SAML)と各役割の構成が共通であることが分かる。

フェデレーションを中心としたアーキテクチャ
 このアイデンティティ・メタシステムは、前のページで解説したサブジェクト、アイデンティティ・プロバイダ、リライング・パーティという3つの役割で構成される。先に述べた言葉とはサービス・プロバイダがリライング・パーティというように若干用語が異なるが、ほぼ同義と考えて問題はない。同様にAssertion属性は、アイデンティティ・メタシステムにおいては「クレーム」と呼ばれる。このクレームをセキュリティ・トークンという形にカプセル化してやりとりを行うため、アイデンティティ・プロバイダの中のセキュリティ・トークンを発行する機能をSecurity Token Service(STS)と呼ぶ。

セキュリティ・トークンとクレーム
セキュリティ・トークンは、識別子とクレーム、デジタル署名からなり、IdP内のSecurity Token Service(STS)から発行される。またクレームは、前のページで説明したSAMLのAssertion属性に相当する。

 このようにクレームという形でアイデンティティ情報を表現するので、このモデルをクレームベースのアイデンティティ管理という。また同様にクレームを基にリライング・パーティ側でアクセス権管理を行うので、併せてクレームベースのアイデンティティ&アクセス管理ということもある。いずれにせよ、情報の形や呼び方は多少異なるものの、IdPとSPの間で認証情報をやりとりしてアプリケーションを利用する、という意味でフェデレーションという概念が中心に据えられていることが分かる。

Identity Selectorの役割
 また、このアーキテクチャの中では、サブジェクトとなるユーザー側のオペレーションの統一(単純化)およびユーザー同意の下でのクレーム情報の提示という思想に基づき、Identity Selectorというコンポーネントが定義されている。

 従来、ユーザーは、認証方式に応じてIDとパスワードを入力したり、デジタル証明書を提示したりするなど、認証の都度さまざまな操作を行う必要があった。また、例えばアプリケーションAが動作するためにはメール・アドレスが必要だが、アプリケーションBは年齢が21歳以上でないと使えないなど、利用するリライング・パーティによって提示すべきクレームの種類も多種多様である。そのため、適切な情報を持つアイデンティティ・プロバイダで認証を受けてクレームの発行を受ける必要性がある。従来は、どのリライング・パーティを使う場合はどのアイデンティティ・プロバイダを使うべきかを、ユーザー自身が管理する必要があった。

 そのような煩わしさを解消しつつ統一されたユーザー・エクスペリエンスを提示するために、アイデンティティ・メタシステムでは認証行為をカード(Information Card)の提示、というメタファを使って表現している。Identity Selectorは、利用するリライング・パーティが要求するクレームの種類によって利用可能なカードの種類を自動的に絞り込み、ユーザーが実際にどのカードを利用するか(どのアイデンティティ・プロバイダで認証され、どのようなクレームを提示するか)を選択させる。これにより、ユーザーの同意の下でアイデンティティ情報を提示するという原則と、統一されたユーザー・エクスペリエンスという原則を同時に充足している。

Identity Selectorの利用イメージ
アイデンティティ・メタシステムでは、認証行為をカードというメタファで表している。この例の場合、リライング・パーティは氏名と年齢というクレームが必要なので、適合するカード「InfoCard(2)」がIdentity Selectorによって選択候補としてリストアップされる(逆に「InfoCard(1)」は候補から外される)。ユーザーは選択候補からカードを選ぶという仕組みのため、IdPの種類に左右されることなく、統一されたユーザー・エクスペリエンスでこのシステムを利用できる。

 まとめると、アイデンティティ・メタシステムは、

  • クレームベースのアイデンティティ&アクセス管理
  • Identity Selectorとユーザー同意によるアイデンティティ情報の提示と統一されたユーザー・エクスペリエンスの提供

という大きな2つの考え方をベースに構築されるフェデレーションのアーキテクチャといえる。


 INDEX
  [運用]Windowsで構築する、クラウド・サービスと社内システムのSSO環境
  第1回 クラウド・コンピューティングとアイデンティティ管理の概要
    1.クラウド・コンピューティングの基礎と課題
    2.クラウドでのセキュリティ対策とアイデンティティ管理の役割
    3.クラウドがアイデンティティ管理システムにもたらす変化
 
  第2回 クラウド・コンピューティング時代の認証技術
    1.アイデンティティ連携(フェデレーション)の要素技術
  2.マイクロソフトのアイデンティティに関するビジョン
    3.アイデンティティ・メタシステムの実装
 
  第3回 クラウド・サービスと社内ADとのSSOを実現する(前)
    1.AD FS 2.0のセットアップ
    2.Google AppsとAD FS 2.0との連携
    3.Windows Live IDとAD FS 2.0との連携
    4.Salesforce.com CRMとAD FS 2.0との連携
 
  第4回 クラウド・サービスと社内ADとのSSOを実現する(後)
    1.Windows AzureとAD FS 2.0との連携(1)
    2.Windows AzureとAD FS 2.0との連携(2)

 Windows 運用

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH