11. Windows Azure Connect
クラウドとオンプレミス間の仮想ネットワーク接続
Windows Azure インスタンスが
オンプレミスの一部になる
企業内システム
11
12. Windows Azure Connect
どう使う?
Windows Azure アプリがオンプレミスの SQL Server にアクセス
Windows Azure インスタンスを Active Directory ドメインに参加
Windows Azure アプリからファイル サーバーにアクセス
Windows Azure アプリからオンプレミスのプリンターに印刷
Windows Azure アプリ/OS を PowerShell でリモート管理
12
13. Windows Azure Connect の仕組み
• 「ロール」と「エンドポイントグループ」間を Relay を通して接続
(IPv6 with IPSEC)
• 既存のネットワークも同時に使用可能
Role
インスタンス インスタンス インスタンス
Azure Connect
Relay エンドポイント
ソフトウェア
Firewall
エンドポイント グループ
13
14. Windows Azure Connect を使用すると
業務サービス
認証 AD ドメインに参
認証基盤に直接アクセス
加
する必要は無い
Windows Azure Connect により社
内サーバーとの通信が可能に
クラウド
オンプレミス
認証基盤
Silverlight アプ
リ mobile 9
IE 認証 業務サービス
14
15. Windows Azure Connect の設定方法
1. ライセンス認証トークンを取得する
2. ライセンス認証トークンをプロジェクトに埋め込む
3. プロジェクトを Windows Azure にデプロイ
15
29. Windows Phone と認証
本日のテーマはこれ
ライブラリ Identity Provider
Active
SL.IdentityModel
Directory
Windows Live Connect
Windows Live
SDK
Facebook C# SDK Facebook
Windows Azure
SL.Phone.Federation AppFabric ACS
Google
29
30. Windows Phone と Active Directory
• System.DirectoryServce がサポートされていない
– Active Directory に直接アクセスできない
– 何らかのサービスを介して認証の代行を依頼する必要がある
AD DS
認証
利用 認証
認証代行
サービス
30
31. Windows Phone と Active Directory Federation Service
WS-Trust(SOAP) AD FS AD DS
① UserID/Password ② 認証
⑤ セキュリティトークン ③ 属性
④ 属性に署名
① AD FS にはドメインのユーザーIDとパスワードを渡す(もちろん SSL)
② AD 認証は AD FS が代行
③ AD DS からユーザーの属性が返される(どんな属性を返すかはAD FSに定義されている)
④ AD FS は「属性(クレーム)」に署名をしてセキュリティートークン(SAML アサーション)
を生成
⑤ WP アプリにはセキュリティトークンが返される
31
32. セキュリティトークンの使い道
WS-Trust(SOAP) AD FS AD DS
① UserID/Password ② 認証
⑤ セキュリティトークン ③ 属性
④ 属性に署名 信頼
⑦ 認可
⑥ セキュリティトークン
業務アプリ
⑥ アプリケーションにセキュリティトークンを送付
⑦ アプリケーションはセキュリティトークンを参照して「認可」
32
35. AD FS とは Domain Service
Lightweight Directory Service
• Active Directory 5兄弟 の五男 Certificate Service
• AD 認証されたユーザーに対してセキュリティトーク Rights Management Service
ンを発行する(セキュリティトークンサービス:STS) Federation Service
社内ネットワーク DMZ
AD DS 構成DB AD FS AD FS PROXY
cluster
load balance
load balance
認証 or
standalon
AD DS or
SQL Server or
e Internet
AD LDS
or
WID
クレーム
ストア
構成DB STS R-PROXY
35
36. AD FS のセットアップ
• 正確には Active Directory Federation Service 2.0
• 最新版は WEB からダウンロード
http://www.microsoft.com/downloads/ja-jp/details.aspx?FamilyID=118C3588-
9070-426A-B655-6CEC0A92C10B
ADFS ダウンロード 検索
• サポートしている OS
• Windows Server 2008 Datacenter/
• Windows Server 2008 Enterprise/
• Windows Server 2008 R2/
• Windows Server 2008 R2 Datacenter/
• Windows Server 2008 R2 Enterprise/
• Windows Server 2008 R2 Foundation/
• Windows Server 2008 R2 Standard/
• Windows Server 2008 Service Pack 2/
• Windows Server 2008 Standard/
• Windows Small Business Server 2008 Premium/
• Windows Small Business Server 2008 Standard
• Active Directory ドメイン 必須
36
54. セキュリティトークンを受け取るメリット
WS-Trust(SOAP) AD FS AD DS
② 認証
• 情報の正当性が担保されている ① UserID/Password
• STS による署名 ⑤ セキュリティトークン ③ 属性
• STS との信頼関係 ④ 属性に署名
⑦ 認可
⑥ セキュリティトークン
• クレームによりユーザーを認可(承認)できる 業務アプリ
• AD グループのメンバーシップ
• 所属部署や役職 など アプリが固有に持つ必要が無い
• アプリケーションの動作に必要な情報を受け取れる
• 氏名
• メールアドレス など 取りに行く必要が無い
54
55. Identity Developer Training Kit 2010 April
http://www.microsoft.com/download/en/details.aspx?id=1434
7
EXERCISE 1:
USING WINDOWS IDENTITY FOUNDATION TO HANDLE
AUTHENTICATION AND AUTHORIZATION IN A WCF SERVICE
EXERCISE 2:
ACCEPTING TOKENS FROM AN ACTIVE DIRECTORY FEDERATION
SERVICES (ADFS) STS
EXERCISE 3:
INVOKING A WCF SERVICE ON THE BACKEND VIA DELEGATED
ACCESS
55
57. まとめ
• クラウドのミドルウェアは要注目です
• Windows Azure Connect
• Windows Azure AppFabric ACS
• Windows Azure Sync Service など
• AD FS は AD DS の安全装置でもあります
• アプリが直接 AD DS にアクセスするのを防げます
• この分野は「知ってる者勝ち」です
57