Share point における id管理と認証・認可
10 likes12,834 views
Japan SharePoint Group #9 5/18 の資料
![User Profile Service と FIM Sync
設定すると以下のコネクタ(Management Agent)が作成される
基本的な流れ(実行プロファイル)は
同期元からの Import ⇒ FIM 内部での Sync ⇒ SharePoint への Export
完全同期(FULL)と増分同期(DELTA)
属性マッピングを変更した場合など構成変更をした後は完全同期
24
MA名 用途
ILMMA なし(使わない)
MOSS-UserProfile SharePoint へプロファイルを書き出す
MOSS[XX]-[接続名]
※IDProviderという名称でActive Directoryへ接続する
場合はMOSSAD-IDProviderとなる
各同期元から属性データを読み込む](https://image.slidesharecdn.com/sharepointid-130518022917-phpapp01/85/Share-point-id-24-320.jpg)
Share point における id管理と認証・認可
- 1. SharePoint Server と アイデンティティ管理 2013/05/18 NAOHIRO FUJIE / MVP FOR FOREFRONT IDENTITY MANAGER 1 Twitter : @phr_eidentity Facebook : naohiro.fujie / eidentity blog : IdM実験室 / http://idmlab.eidentity.jp
- 2. 自己紹介 アイデンティティ関係 NPO 日本ネットワークセキュリティ協会(JNSA)アイデンティティ管理 WG 書籍「クラウド環境におけるアイデンティティ管理ガイドライン」(http://amzn.to/A6MukD) Kantara Initiative Japan WG OpenID Foundation Japan 翻訳・教育WG / Enterprise Identity WG OAuth 2.0 Spec 翻訳(https://github.com/openid-foundation-japan/openid-foundation-japan.github.com) Facebook ページ(http://www.facebook.com/eidentity) FIM / AD FS 関係 MVP for Forefront Identity Manager ( Jan 2010 – Dec 2013 ) @IT連載 Windowsで構築する、クラウド・サービスと社内システムのSSO環境 (http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html) クラウド・サービス連携の基本と最新トレンド(http://www.atmarkit.co.jp/fwin2k/operation/idftrend01/idftrend01_01.html) Blog IdM 実験室(http://idmlab.eidentity.jp) 2
- 3. Contents アイデンティティ 管理の基礎 アイデンティティとは アイデンティティの構成要素 実装と管理 実装例 SharePoint の アイデンティティ 管理 SharePoint で扱う アイデンティティ SharePoint における認証 SharePoint における属性管理 SharePoint における認可 デモ フェデレーションの先にあるもの 分散環境に置ける信頼 トラストフレームワークという考え方 3
- 6. アイデンティティの構成要素 要素 解説 例 属性 後天的に取得された主体に関わ る情報(後から変化する) 名前、電話番号、社員番 号、メールアドレス、認 証状態、位置情報 好み 主体の嗜好に関わる情報 甘いものが好き 形質 主体の先天的な特有の性質 (後から変化しにくい) 生年月日、性別? 関係性 他の主体との関係に関わる情報 (一部属性と重複) XX大学卒業、YY部所属 6 これらをコンピューターシステム上に反映したもの (コンピューターシステム上での実体を表すもの) ⇒ デジタル・アイデンティティ
- 7. アイデンティティの構成要素:3A 7 構成要素 意味 認証 (Authentication) ユーザの正当性を検証すること (ユーザがデジタル・アイデンティティを利 用する権利があることを検証する) 認可 (Authorization) 認証されたユーザに権限を与えること (デジタル・アイデンティティに何を許可す るかを決定する) 属性(Attribute) ユーザを構成する情報 (何でデジタル・アイデンティティを構成す るかを決定する) ※注)大前提として、デジタル・アイデンティティの正当性の保証を行うことが大切である (実体に紐づく属性の精度・鮮度の保証、存在の確認など)
- 8. 実装と管理 実装手段 認証:パスワード、証明書、OTP、リスクベース 認可:リソース(フォルダ等)へのアクセス権付与 属性:ユーザ DB の整備(AD、DBMSなど) 分散システムにおける管理手段 プロビジョニング オーソリティにある属性情報を他システムへ反映する フェデレーション 認証状態などを含むアイデンティティ情報をシステム間で受け渡す 受け取ったシステム側に保持しているアイデンティティ情報と渡された情 報を紐付けることでシングルサインオンなどを実現する 8
- 9. 実装例:プロビジョニング 9 ユーザ 利用 対象システム ID管理システム人事DB 入社、異動、退社 などのイベントに 合わせて人事情報 を取込み 利用ポリシーに合 わせて各システム へ ID を配布 各システム間のアイ デンティティ情報の 整合性を担保
- 10. 事前信頼指定 実装例:フェデレーション 10 認証サーバ フェデレーションサーバ (Identity Provider / IdP) アプリケーション (Relying Party / RP) ①アクセス ②認証状態チェック ③リダイレクト ④認証指示 ⑤認証 ⑥トークン発行 ユーザ 信頼できるサーバから 発行されたトークンの 中のID情報を自前のID 情報と紐付ける ⇒SSOの実現
- 12. SharePoint で扱うアイデンティティ ユーザ 認証に利用する属性 識別子(Identifier) クレデンシャル プロファイル アクセス権管理(認可)に利用する属性 連絡先等で利用する属性 アプリケーション 認証に利用する属性 識別子(client_id) クレデンシャル(client_secret) 認可に利用する属性 アクセストークン 認証プロバイダで管理する情報 SharePoint 上で主に管理する対象となる情報 Windows Azure Access Control Service(ACS) を利用(OAuth2.0)した認可に必要な情報 12
- 13. SharePoint における認証 ユーザを認証する(ユーザの真正確認) クレームベース(デフォルト):セキュリティトークン Office Web App を使う場合はこちら クラシック:Windowsトークン アプリケーション / サーバ(アプリケーション / サーバの真正確認) Windows Azure Access Control Service(ACS)と連携 client_id / client_secret でのアプリケーション認証 13
- 14. ユーザを認証する 方式 実現手段 テクノロジ クレームベース認証 Windows認証 NTLM Kerberos ダイジェスト 基本 フォームベース認証 AD DS SQL等のデータストア LDAP SAMLトークンベース認証 SAML-P 1.1 ws-federation/Passive クラシックモード認証 Windows認証 NTLM Kerberos ダイジェスト 基本 その他 匿名認証 IISで設定 Web.configで設定 PowerShellで設定 14 今回はこの辺りを中心に 解説
- 15. フォームベース認証 SharePoint が提供する認証フォームを使った認証 認証 DB として LDAP / AD / SQL Serverなどが利用可能 15 SharePoint Server認証 DB ユーザー ① ID / パスワードの入力 ② ID / パスワード の検証 認証フォーム
- 16. SAML トークンベース認証 SAML 1.1 / ws-federation プロトコルを使った認証連携(フェデレーション) 事前に外部 ID プロバイダを登録(信頼関係の構築) New-SPTrustedIdentityTokenIssuer コマンドレットを使用 認証の仕組み SharePoint は未認証ユーザを外部 ID プロバイダへリダイレクト ID プロバイダ側でユーザ認証を行い、結果としてセキュリティ・トークン(SAML トークン)を発行 SharePoint は提示(POST)されたセキュリティ・トークンの署名および発行者 (Issuer)、対象(Realm)を検証し、提示したユーザを認証 16
- 17. SAML トークン構造(※SAML2.0。1.1でも似たようなもの) 発行者(Issuer) 誰が、いつ発行したトークンなのか 識別子(Subject) 何(誰)に関するトークンなのか 受信者(AudienceRestriction) 誰宛に発行されたトークンなのか アサーション(クレーム) 認証アサーション(AuthNStatement) 認証された時間、手段 属性アサーション(AttributeStatement) 属性情報(属性と値) 認可決定アサーション(AuthzDecisionStatement) 特定リソースへのアクセス許可されているか デジタル署名 17 トークン 属性アサーション 認可決定アサーション デジタル署名 認証アサーション
- 18. 認証の流れ 18 サービスへアクセス 認証要求を ID プロバイダ へリダイレクト 認証 Service ユーザ認証 トークン発行 ACS トークンを POST トークンの 生成と署名 トークン署名 の検証 サービスへリダイレクト サービスを利用 ※ACS : Assertion Consumer Service ユーザ IDプロバイダ SharePoint
- 19. SharePoint における属性管理 (プロファイル管理) SharePoint を使う上で必要な各種属性の管理 基本的に外部データソースとの同期(プロビジョニング)で実現 ユーザ自身によるセルフサービスもあり 各種同期手法 SharePoint 標準機能 User Profile Service Active Directory インポート FIM 2010 R2 SP1 SharePoint Connector for FIM 2010(Preview) 19
- 20. プロファイル同期の方法 同期手段 同期元(データソース) 同期対象 特徴 User Profile Service (FIM 2010ベース) Active Directory ユーザ、グループ 無償 Active Directoryのログオンデータ ユーザ、グループ Active Directoryリソース ユーザ、グループ Business Data Connectivity ユーザ IBM Tivoli Directory Server ユーザ Novell eDirectory(増分同期不可) ユーザ Sun Java System Directory Server ユーザ Active Directory インポート Active Directory ユーザ、グループ 無償、高速 SharePoint Connector for FIM 2010 任意(FIM 2010 に設定したデータソー ス) ユーザ、グループ 有償、柔軟 20
- 21. 基本的な流れ 同期元データソースとの接続設定 各属性のマッピング設定(ユーザプロパティの管理) 同期の実行(定期的に自動実行) 21
- 22. 22
- 23. 現状FIM2010R2(SP1)の最新ビルドは4.1.3441.0 ちなみにOffice365のディレクトリ同期は5.0.227.2 23 User Profile Service は FIM 2010 ベースなので Synchronization Service Managerを利用可能(サポート外。知ってるとトラブル時は役に立つ) C:¥Program Files¥Microsoft Office Servers¥15.0¥Synchronization Service¥UIShell¥miisclient.exe
- 24. User Profile Service と FIM Sync 設定すると以下のコネクタ(Management Agent)が作成される 基本的な流れ(実行プロファイル)は 同期元からの Import ⇒ FIM 内部での Sync ⇒ SharePoint への Export 完全同期(FULL)と増分同期(DELTA) 属性マッピングを変更した場合など構成変更をした後は完全同期 24 MA名 用途 ILMMA なし(使わない) MOSS-UserProfile SharePoint へプロファイルを書き出す MOSS[XX]-[接続名] ※IDProviderという名称でActive Directoryへ接続する 場合はMOSSAD-IDProviderとなる 各同期元から属性データを読み込む
- 26. 参考)FIM Synchronization Service 各種アイデンティティ・ストアと情報を同期する FIM Sync Service のレポジトリと各アイデンティティ・ストア用のステージング 領域を同期し、各管理エージェントを使って実際の各アイデンティティ・ストア と情報をやり取りする 26
- 27. 参考)必須用語 27 用語 解説 Metaverse FIM Sync Service の中央レポジトリ Connector Space(CS) 各 ID Store 用のステージング領域 Management Agent (MA) 各 CS のデータを実際の ID Store と接続するためのエー ジェント Synchronization Metaverse と各 CS の間のデータを同期する(差分、フ ル) Import 各 ID Store から対応する CS にデータを取り込む(差分、 フル) Export 各 CS から対応する ID Store にデータを出力する Run Profile Import / Export / Synchronization の処理の定義
- 28. 参考)コア・アーキテクチャ 28 MetaverseMAID Store CS CS CS CS MA MA MA ID Store 各ID Store用 のデータ 中央データ ストア 同期 インポート 各ID Store用 の接続Agent エクスポート
- 29. 認証連携の世界 クレームマッピング ルール 認証ユーザとプロファイルのマッピング ID プロバイダ SAML トークン 29 プロファイル プロファイル マッピングルールプロファイル 同期元 プロファイル同期の世界 認証されたユーザと プロファイルの紐づけ Mail nameIdentifier upn SPS-ClaimID 氏名 mail 氏名 mail displayName mail
- 30. SharePoint における認可 リソースオーナーからユーザへの認可 Web アプリケーションへのアクセス サイトへのアクセス 個別オブジェクトへのアクセス リソースオーナーからアプリケーションへ認可 3rd パーティアプリケーションから SharePoint 上のリソースへのアクセス Windows Azure Access Control Service / OAuth を使用した認可 30
- 31. アプリケーションへの認可 ユーザの代わりにアプリケーションが SharePoint 上のリソースへアクセス するようなケース 課題 ユーザがログインしていない(認証されていない)状態でもアプリケーション が SharePoint へアクセスできる必要がある アプリケーションへユーザ ID とパスワードを埋め込みたくない 解決策 OAuth の利用 31
- 32. OAuth の基礎 認可のためのプロトコル OAuth 認証という言葉が Technet や MSDN にも出てくるが間違い アプリケーション(クライアントと呼ぶ)がユーザの代わりにリソースへアクセスする 時の認可情報を受け渡すためのプロトコル メリットはクライアントにユーザIDとパスワードを持たせなくても良い点 クライアントはあらかじめ認可サーバへ登録しておく必要がある client_id / client_secret の払い出しを受ける 以後、アプリケーションは client_id / client_secret を使ってリソースへアクセス(アプリ ケーション自体の認証) ユーザ(リソースオーナー)は許可する権限の範囲(スコープ)を指定しクライアント を認可 認可を受けたクライアントへはアクセストークンが発行され、そのトークンを使うこと でリソースを利用できる 32
- 33. OAuth を利用した認可フロー 33 サービスへアクセス 認可要求・リダイレクト 認可(承認) 認可コード発行・リダイレクト 認可コード 認可コード・client_id・client_secret アクセス・トークン発行 リソース利用(アクセス・トークン提示) User Agent ブラウザ 3rd Party APL クライアント リソース SharePoint 認可サーバ Azure ACS
- 34. 注意点 client_secret の取り扱い client_id / client_secret でアプリケーションを「認証」している ユーザ ID / パスワードと同じ扱い Web.config に埋め込むことになるので漏れない様に注意が必要 アクセストークンの取り扱い アクセストークンはリソースへ適切な権限でアクセスするためのトークン 発行先のクライアント以外でも使いまわせてしまう アクセストークンを持っているからといって本人確認としない(OAuthを認証に使用しない) 他のクライアントへアクセストークンが漏れない様に注意が必要 34
- 35. デモ 35
- 36. デモ内容 フォームベース認証 認証DB:Active Directory SAML トークンベース認証 Windows Azure Access Control Service 経由 Facebook Google 36
- 37. デモ環境 37 Windows Azure Access Control Service (ACS) facebook Google SharePoint Server Active Directory 認証 フォーム ユーザ プロファイル同期 信頼(IdP) 信頼(IdP) 信頼(IdP) 認証 認証 認証 利用
- 38. 環境構築手順概要 Windows Azure Access Control Identity Provider の設定 Facebook : facebook アプリを作成し、client_id / client_secret を取得して ACS 上に登録 Google : 特に設定不要。有効化のみ Claim 発行ルールの設定 Facebook / Google から発行された Claim をパススルー Relying Party の設定 SharePoint Server との接続 ws-federation での接続。SAML トークンバージョンは 1.1 トークン署名用の証明書の作成とアップロード(makecertコマンド) 38
- 39. 39
- 40. 40
- 41. 環境構築手順概要 SharePoint Server 2013 フォームベース認証 SharePoint STS、Central Adminitration、Web アプリケーションのweb.configの編集 Web アプリケーションの認証プロバイダへ作成した ID プロバイダを設定 ユーザーポリシー(アクセス許可)の設定 SAML トークンベース認証 ID プロバイダの作成(New-SPTrustedIdentityTokenIssuer) Web アプリケーションの認証プロバイダへ作成した ID プロバイダを設定 ユーザーポリシー(アクセス許可)の設定 プロファイル管理 User Profile Service の有効化 同期接続の作成 ユーザプロパティマッピング 41
- 42. 42
- 43. 43
- 45. 分散システムにおける信頼 外部の認証プロバイダを信頼できるか? 本当にちゃんと認証しているのか? 本当に認証対象のユーザは存在するのか? 45 http://en.wikipedia.org/wiki/On_the_Internet,_nobody_knows_you're_a_dog
- 46. トラストフレームワークという考え方 信頼の枠組み ポリシー(基準)を定め、 評価軸・評価基準を定め、 認定された評価者が評価する 認定レベル LoA(Level of Assurance) LoP(Level of Protection) 適用対象 認証プロバイダ サービスプロバイダ 利用者の視点 第3者機関によって認定されたサービス を安心して利用する 46
- 47. 47 おしまい