|
Windows Server 2003 R2で強化する最新ID管理(2) Peter Pawlak2005/11/03 Copyright (C) 2005, Redmond Communications Inc. and Mediaselect Inc. |
|
|
Insider's Eye信頼関係の構築シナリオ
再び前述の例で説明すれば、PR会社のADFSはPR会社のユーザー向けのセキュリティ・トークンを、そのユーザーのADアカウントを基に構築する。このトークンには、ユーザーの電子メール名と関連する所属グループ(ソフトウェア会社向けのPR管理グループの一員かどうかなど)が含まれる。ソフトウェア会社のADFSは、このトークンがPR会社によって署名されていることを確認し、電子メール名とグループ所属に関する情報をWebサイトに転送する。最後に、Webサイトは、そのPR会社のユーザーが所属するグループのメンバーに特定の文書へのアクセスが認められているかどうかを確認し、認められている場合には、そのユーザーにアクセス権を与える。
このシナリオを可能にするためには、リソース・パートナーの管理者は、アカウント・パートナーとの間にフェデレートによる信頼関係を構築しなければならない。そうした信頼関係が構築されれば、パートナー間の通信のセキュリティを確立するために必要なデジタル証明書が構築され、リソース・パートナーはそうした証明書を使ってセキュリティ・トークンを検証できる。さらに、フェデレートによる信頼関係を構築することで、リソース・パートナーのADFSはユーザーが供給する情報(ユーザーの電子メール名など)から、そのユーザーが所属するアカウント・パートナーのADFSサーバの場所を把握できる。
ADFSの信頼関係は一方通行であり、リソース・パートナーがアカウント・パートナーを信頼しても、アカウント・パートナーがリソース・パートナーを信頼することにはならず、推移的ではない(推移的な信頼関係とは、例えばAがBを信頼し、BがCを信頼すれば、自動的にAもCを信頼することを意味する)。もし、2つの組織がお互いに相手を信頼する必要がある場合には、一方通行の信頼関係を2つ(双方向に)構築することになる。
■Webアプリケーションへの影響
リソース・パートナーは、アカウント・パートナーに公開したいすべてのWebサーバにADFS Webサービス・エージェントをインストールしなければならない。このエージェントは、Webアプリケーションにアクセスしようとするユーザーが、リソース・パートナーまたは信頼できるアカウント・パートナーが発行する公認のセキュリティ・トークンを所持しているかどうかを判断する。
さらに、ADFSがセキュリティ・トークンから取り出したユーザーに関する申告情報を処理し、そのユーザーがWebアプリケーションに対して、どのような操作が許可されているかを判断する権限付与メカニズムが必要になる。
ADFSでは、アプリケーションが権限付与を実行する方法として、いくつかの選択肢が提供される。
●承認マネージャの活用
承認マネージャは、役割ベースのアクセス制御(RBAC)をサポートするWindows Server 2003のコンポーネントである。組織内のユーザーの役割に基づき、アプリケーションへのアクセス権を付与することができる。例えば、従業員の経費を管理するためのWebアプリケーションであれば、従業員に認める役割は「経費を申請する役割」と「経費を承認する役割」の2つが考えられる。従業員は自身の役割に応じて、経費精算アプリケーションを使って、異なる操作やタスクを実行できることになる。
承認マネージャは役割と関連の権限付与を管理するために、必要な情報を認証ポリシー・ストアにADまたはXMLファイルのいずれかで保存できる。この情報には、以下のような要素が含まれる。
-
アプリケーションが許可する操作とタスク
-
ビジネス・ルール(特定の役割のユーザーが提出できる経費の最高限度額など)
-
ADグループまたはLDAPクエリから作成されるユーザー・グループ
承認マネージャは、以下のような理由から、アプリケーション(フェデレートされることのない社内アプリケーションも含める)への権限付与を管理するための最善の方法といえるかもしれない。
-
組織はユーザーの組織内での役割に基づき、アプリケーションへのアクセスを管理できる。例えば、ビジネス・アナリストという役割を作成し、その役割に割り当てられ、ADまたはXMLベースのストアに保存されたビジネス・ルールに基づき、アプリケーション・データへのアクセスを割り当てられる。
-
アブストラクション(抽象化)により、組織はアプリケーションに変更を加えることなく、ユーザーの役割とそれに関連するビジネス・ルール(アプリケーションへの権限付与を管理する)を変更できる。
●アプリケーションに固有の権限付与メカニズムを採用する
開発者は、ASP.NET IsInRoleや、ローカルIDマッピング(あるいは自動的なのNT偽装機能により、SharePointなどのアプリケーションはアプリケーションに変更を加えることなくADFSと連携できる)、ASP.NET raw claims APIなど、各種のクラス・ライブラリやAPIを使って、自身のWebアプリケーション向けに独自の権限付与システムを開発できる。
●Web標準がフェデレーションの相互運用性を可能に
ADなど、Windowsサーバの既存のサービスを利用するほかに、ADFSは策定中の各種のWebサービス・アーキテクチャ標準(WS-*)も使用する。フェデレーションを作成するための標準的な方法を記述するWS-Federationや、署名されたセキュアなメッセージを交換するためのメカニズムの標準セットを定義するWS-Securityに対応している。
こうした標準を使うことで、MicrosoftはIBMやNetegrity、Oblix、OpenNetwork、Ping Identity、RSAなどのベンダのソリューションと、ADFSとの間の相互運用性をアピールしている。
Active Directory Application Modeの実装
Windows Server 2003 R2では、当初、Windows Server 2003の出荷後に無料の機能パックとしてリリースされたActive Directory Application Mode(ADAM)が、同サーバの機能として組み込まれる。
ADAMは、ディレクトリ対応アプリケーション向けにデータのストレージと検索機能を提供するLDAP(Lightweight Directory Access Protocol)ディレクトリ・サービスだ。ADAMはADとほぼ同様の機能を提供するが、ADのいくつかの制限事項は当てはまらない。例えば、ドメインやドメイン・コントローラの展開は不要で、ADAMの複数のインスタンスが同じサーバ上に同時に共存でき、各ADAMインスタンスに対して、個別に管理するスキーマを備えられる。
Windows Server 2003 R2では、以下の点も含め、ADAMにいくつかの新機能が追加されている。
●ADFSとの連携
ADAMは、新しいADFSコンポーネントとともに、ディレクトリ・ストアとして利用できる。
●ADからADAMへの同期
同期ツールにより、ADのオブジェクトをADAMインスタンスに同期化する。
●ユーザー・パスワードのチェイニング
ADAMは、ADAMのユーザー・パスワードに関する要求をADのユーザー・オブジェクトにチェイニングし(依頼し)、パスワードに変更があった場合に、どちらのディレクトリ・サービスでも変更が反映されるようにできる。新しいパスワードはあらゆるパスワード・ポリシーを満たさなければいけないという点で、ADAMのパスワードはADのユーザー・パスワードと同様に扱われる。
●改良されたLDAPツール
LDAPディレクトリ・サービスの一般的な管理を行う新しいGUIベースのツールは、新たにダイジェスト認証とアクセス・コントロール・リスト(ACL)エディタをサポートする。
UNIX Identity Managementの位置付け
ADAMと同様、当初はWindows Server 2003向けの無料の機能パックだったServices for UNIX(SFU)がWindows Server 2003 R2の機能として組み込まれる。SFUは概して、組織のUNIXからの移行やUNIXとの相互運用を容易にするための機能だ。ただし、以下の2つの特別なコンポーネント(もともとはSFUの一部だったが、現在はWindows Server 2003 R2に組み込まれている)は、ユーザー・アクセスの改善と、WindowsおよびUNIXにまたがるリソース管理の改善を提供するという意味で、ID管理と関連している。
●Server for Network Information Service(NIS)
このコンポーネントは、ADドメイン・コントローラを1つまたは複数のNISドメイン向けのマスタNISサーバとして機能できるようにすることで、WindowsとUNIXベースのNISサーバの統合を支援する。NISは当初Yellow Pages(YP)と呼ばれていた技術で、Sun Microsystemsが開発したものである。UNIXとLinuxの管理を中央に一元化する技術で、基本的にはADと似ている。Identity Management for UNIXコンポーネントには、管理者がNISドメイン・マップをActive Directoryエントリにエクスポートする際に利用できるウィザードが含まれる。
●パスワードの同期化
ユーザーは、WindowsとUNIXのアカウント向けに個別にパスワードを保守したり、複数のロケーションでパスワードを変更したりする必要はない。ユーザーがWindowsのパスワードを変更した場合には、パスワードの同期化機能により、自動的にUNIXネットワークのユーザー・パスワードも変更され、その逆の場合も同様となる。
ADFSは業界で広く採用されている標準をベースとし、R2のUNIX Identity ManagementサービスはUNIXシステムとの統合をサポートするが、こうした技術はいずれも、MicrosoftとSunの訴訟の和解条件として進められている両社の共同開発作業の一環ではない。
関連記事(Windows Server Insider)
参考資料
-
Windows Server 2003 R2 の Active Directory フェデレーション サービス (ADFS) の概要(マイクロソフト)
-
月刊誌『Directions on Microsoft日本語版』2002年8月号の「シングルサインオンでシンプルなリソース共有を実現するTrustBridge」
 Directions on Microsoft日本語版本記事は、(株)メディアセレクトが発行するマイクロソフト技術戦略情報誌「Directions on Microsoft日本語版」から、同社の許可を得て内容を転載したものです。『Directions on Microsoft 日本語版』は、同社のWebサイトより定期購読の申し込みができます。 |
 |
| INDEX | ||
| Insider's Eye | ||
| Windows Server 2003 R2で強化する最新ID管理(1) | ||
 |
Windows Server 2003 R2で強化する最新ID管理(2) | |
 |
||
 |
「Insider's Eye」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
