Active Directory フェデレーション サービス 2.0: クラウドへの扉を開く
マイクロソフトの新しい Active Directory フェデレーション サービスでは、クラウドのセキュリティが大幅に向上することが期待されます。
Jeffrey Schwartz
マイクロソフトの Active Directory フェデレーション サービス (ADFS) 2.0 では、複数のシステムに対するセキュリティで保護された認証が簡略化されます。これは、クラウド ベースのマイクロソフト製品についても同様です。また、ADFS 2.0 の拡張された相互運用性により、標準のプロトコルをサポートしている他のクラウド プロバイダー (Amazon.com Inc.、Google Inc.、Salesforce.com Inc. など) に対するセキュリティで保護された同じ認証が提供されることが予測されます。
ADFS 2.0 (旧称、Geneva Server) は、5 月にリリースされました。ADFS 2.0 は、Microsoft Active Directory の待望の拡張機能で、総合運用性のあるクレーム ベースのフェデレーション ID 管理が提供されます。既存の AD 展開に ADFS 2.0 を追加すると、IT 部門では、個々のユーザーが Windows Server に一度ログインしたら、その後は、各自の資格情報を使用して、その他のクレームに対応したシステムやアプリケーションにサインインすることを許可できます。
マイクロソフトの Identity and Security Business Group のシニア ディレクターである John "J.G." Chirapurath 氏は、「重要なのは、社内からクラウドにアクセスする際の、アクセスのしくみとシングル サインオンのようなテクノロジのしくみが合理化されていることです」と述べています。
最初のリリースとは異なり、ADFS 2.0 では、広範に実装された Security Assertion Markup Language (SAML) 2.0 標準がサポートされます。多くのサード パーティ製のクラウド サービスでは、SAML 2.0 ベースの認証が使用されますが、これは、他のアプリケーションやクラウド サービスとの相互運用性を提供するうえで重要なコンポーネントです。
システム インテグレーターでマイクロソフト認定ゴールド パートナーでもある、米国オハイオ州インディペンデンスに拠点を置く Certified Security Solutions Inc. (CSS) 代表取締役兼 CEO である Kevin von Keyserling 氏は、「当社では、フェデレーション ベースやクレーム ベースの認証と承認を、クラウド ベースのサービスを適切に導入するための非常に重要なコンポーネントと見なしています」と述べています。
ADFS 2.0 では、従来のシステムやデータによるクラウドへの動作に関連する、すべてのセキュリティ上の問題が解決するわけではありませんが、皆さんの話からすると、主要な障害 (特に、SharePoint などのアプリケーションの障害や、もちろん、ありとあらゆるアプリケーションの障害) が取り除かれます。多くの企業は、セキュリティ上の問題や認証を制御できないという理由から、Windows Azure などのクラウド サービスを使用することに難色を示してきました。
Chirapurath 氏は次のように述べています。「セキュリティ上の問題 (特に、ID に関する問題や ID の管理に関する問題) は、おそらく、完璧なクラウド コンピューティングを実現する際の最も大きな障害となります。電子メールが Active Directory の爆発的な普及をもたらしたのと同様に、Active Directory フェデレーション サービスもクラウドに対して同じような効果をもたらすでしょう」
ADFS 2.0 は、Windows Azure で実行されるアプリケーションに簡単に統合できるので、組織では、クレーム ベースのデジタル トークンを使用することができます。このクレーム ベースのデジタル トークンは、Windows Server 2008 とクラウド ベースのマイクロソフト サービスの両方で機能するので、ハイブリッドなクラウド ネットワークが実現します。このテクノロジの目的は、ユーザーが Windows Server や Windows Azure に対してシームレスに認証されるようにして、SAML 2.0 ベースのトークンを受信できるアプリケーションとユーザーの資格情報を共有することです。
また、開発者は、Microsoft Windows Identity Foundation (WIF) を使用して、自分が開発した .NET アプリケーションを ID 対応にすることもできます。
WIF では、マイクロソフトが提供しているクレーム ベースの ID モデルの基盤となるフレームワークが提供されます。Microsoft .NET Framework に実装され、WIF を使用して開発されたアプリケーションでは、認証スキーマ (ID 属性、役割、グループ、ポリシー、およびクレームをトークンとして管理する方法) が提供されます。WIF に基づいて、社内の開発者や ISV によって作成されたアプリケーションでも、これらのクレームを受け取ることができます。
ADFS 2.0 のパススルー統合認証は、Web Services Federation (WSFED) の WS-Trust 標準と SAML 標準の両方に基づいてトークンを受信することで有効になります。マイクロソフトは長い間 WSFED を奨励してきましたが、18 か月前に、より広く採用されている SAML の仕様をサポートすることだけに合意しました。
これは本当の話です
ボストンに拠点を置く、マイクロソフト認定ゴールド パートナーの FullArmor Corp. で CTO を務めている Danny Kim 氏は、既に ADFS 2.0 のストレス テストを行っていますが、ADFS 2.0 を使用してシステムをクラウドに配置することを望む主要な顧客がいると述べています。
Kim 氏は、「ADFS 2.0 では、ID をサーバーの領域とクラウド ベースのサービスにリンクすることで、それらのすべての環境にわたって機能する単一の ID が作成されます」と述べています。
Kim 氏によると、ADFS 2.0 をすぐに展開して、FullArmor 社の Windows Azure ベースのシステムでホストされるアプリケーションに対してユーザーが認証されるようにすることを望む企業の中には、ニューヨークのある大手投資銀行が含まれているそうです。
「この銀行はセキュリティに敏感なので、"セキュリティが保証されなければ、サービスはクラウドに配置しない" と言われました」と Kim 氏は述べます。同時に、Kim 氏は、この銀行が、安全にクラウドに移行できるようになったら、できるだけ早くサーバーの購入と運用を最終的にやめたいと考えていると付け加えました。Kim 氏の説明によると、ADFS 2.0 では、ユーザーのトークンが AD にマップされ、このトークンが他の ADFS 2.0 に対応したシステムに渡されます。
同じくらい重要なことですが、マイクロソフトの役員は、マイクロソフトでも、このようなクレームを SAML ベースのシステムに渡せるようになったと述べています。マイクロソフトは、Liberty Alliance (ID 管理の仕様を監視する標準化団体) を通じて、その他のベンダーとの相互運用性テストを実施しました。
マイクロソフトの ADFS チームのシニア プログラム マネージャーである Matt Steele 氏は、ADFS のリリース候補がリリースされた後に、マイクロソフトの Channel 9 ビデオで次のように話しています。「マイクロソフトと多数のベンダーが協力して、SAML プロトコルの実装をテストすると、このプロトコルが一連のテスト ケース全体にわたって準拠していることがわかりました。つまり、ADFS 2.0 で SAML プロトコルが実装されていることと、このすべてのテスト ケースに参加したすべてのベンダーとの相互運用性があることを公表できるという念願がかないます」
実装はテストと一致するか否か
依然として、マイクロソフトは大げさな約束をしていると主張する人がいます。複数のプラットフォーム間で機能する独自のシングル サインオン サーバーを提供している、Ping Identity Corp. の CTO である Patrick Harding 氏は、現時点では、他のベンダーのプラットフォームで提供されるトークンと SAML トークンにどれほどの互換性があるかは不明だと主張しています。
Harding 氏は、次のように述べています (Ping Identity Corp. は、マイクロソフトの競合企業でもありパートナーでもあります)。「当社は、約 4 年間 SAML に取り組んできました。当社は、ラボ環境の SAML と運用環境の SAML には、まったく異なる可能性があることを十分理解しています。特に、独自の SAML の実装を記述する多数の SaaS (Software as a Service) ベンダーがかかわる場合、その違いは顕著です。また、このようなベンダーが実装した SAML には必ず微妙な差異があります」
また、Harding 氏は、.NET 開発コミュニティで、どれほど迅速に WIF が採用されるのかを疑問視しています。「WIF は良い考えですが、アプリケーションを ADFS に統合する方法に関して、開発者がまったく新しいパラダイムとまったく新しい開発フレームワークを基礎から学習する必要があります」と Harding 氏は述べています。
ただし、Kim 氏は、「.NET 環境になじみのある開発者は、それほど多くのことを新たに学習する必要はないでしょう」と Harding 氏の意見に異論を唱えています。
探究心により使いやすい開発ツールが開発され、それほど多くのことを新たに学習する必要がなくなります。Sotnikov 氏は、「一部のツールやプラットフォームでは、既存の C++ や C# のコードを再利用できませんが、このソリューションでは、最大 50% のコードを再利用できました」と述べています。
このような問題は別として、Harding 氏は、ADFS 2.0 のリリースが新しいクラウド コンピューティング イニシアチブのための道を切り開く可能性があることを認めています。彼は次のように述べています。「ADFS 2.0 は、フェデレーション ID 管理が重要であることを証明しているので、非常に重要で、クラウド コンピューティングと SaaS コンピューティングにおける必需品となるでしょう。すべてのベンダーがマイクロソフトと共に成長することで、ユーザーは統合が可能だという事実を受け入れるようになります」
不確かな運命
ADFS 2.0 のリリースのほんの数日前に、マイクロソフトは、情報カードの ID セレクターである CardSpace の次期バージョン (CardSpace 2.0) のリリースを延期しました。この次期バージョンでは、複数のログインを管理する共通の UI が提供される予定でした。昨年からベータ版が提供されている CardSpace 2.0 では、ADFS 2.0 および WIF と連携します。CardSpace 2.0 のベータ版を評価していたユーザーに対応するため、最近、マイクロソフトは、Windows Server が情報カードを発行できるようにする ADFS 2.0 のアドオンの Community Technology Preview (CTP) をリリースしました。
マイクロソフトの Forefront Server Security グループのシニア プロダクト マネージャーである Joel Sider 氏は、次のように述べています。「情報カードを取り巻く環境は複雑です。特に、RSA カンファレンスで大々的に取り上げられた、U-Prove などの暗号化テクノロジについて考慮するとなおさらです。OpenID などのような新しい標準が策定されており、マイクロソフトでは、このような新しい傾向に対処する必要があります」
それによって疑問が生じます。CardSpace 2.0 は日の目を見るのでしょうか。「もちろん、情報カードはサポートされます。情報カードへの取り組みは継続しています」と Sider 氏は述べています。マイクロソフトは、CardSpace 2.0 の計画を更新する時期を明言していませんが、このテクノロジに先があるかどうかを疑問に思っている人もいます。
Harding 氏によれば、CardSpace 2.0 の不確かな運命は、"CardSpace 2.0 の採用が限られていることを考えると、意外なことではない" そうです。彼は「残念ながら、マイクロソフトの後押しを受けて InfoCard のモデルを支持したすべてのユーザーと企業は予期せぬ事態に困惑しました」と述べています。
しかし、Trustworthy Computing (信頼できるコンピューティング) に取り組むマイクロソフトの副社長 Scott Charney 氏が、今年の 3 月の初めに、サンフランシスコで年に 1 度開催される RSA カンファレンスで、同社の U-Prove テクノロジの CTP を発表したときに、CardSpace 2.0 の計画を多少変更せざるを得ない状況になりました。U-Prove 製品は、デジタル トークンの発行に重点を置いています。これにより、ユーザーは、トークンの受信者と共有する情報量を制御できます。
ADFS 2.0 に対して使用することで、ユーザーは信頼関係が確立されたドメイン間で ID のフェデレーションを行えます。マイクロソフトは、Open Specification Promise (OSP) のもとで U-Prove をリリースしました。また、FreeBSD のライセンスに基づいてアルゴリズムを実装するための参照用ツールキットも 2 つ提供しました。さらに、U-Prove をオープンソースの ID セレクターに統合するために、OSP のもとで別の仕様を公開しました。.NET コミュニティとオープンソースのコミュニティが U-Prove を採用するかどうかに関して、この 2 つ目の仕様がどのように展開されるのかは現時点では不明です。
クラウドの変遷
多数の Windows IT プロフェッショナルやセキュリティの専門家は、ADFS 2.0 について楽観的な立場を取っているように見えます。CSS 社の von Keyserling 氏は、強化されたクラウド セキュリティを提供するにあたって、ADFS 2.0 が重要な役割を果たすと確信しているうちの 1 人です。
von Keyserling 氏は次のように述べています。「当社は、大規模なグローバル企業と連携し、それらの企業がフェデレーション モデルを構築して、クラウド コンピューティング環境により簡単に移行できるようにする手助けをしてきました。ADFS 2.0 では、別個の ID を持つ組織間で ID を管理するのに役立つ機能が拡張されます」
たとえば、von Keyserling 氏によると、CSS 社とクライアントが、共有のサーバー プールを通じてローカルにホストされていたシステムか、クラウドでホストされていたシステムのいずれかで共同作業を行う必要があった場合、2 つの組織は、実際にサービスのフェデレーションを行って、両者が各自の従業員の ID をより簡単に管理できるようにすることも可能でした。
von Keyserling 氏は、「既存の ID インフラストラクチャを使用して、これを、マイクロソフトでホストされているクラウドに適用するか、ホストされている SharePoint を通じてクラウドに適用すると、我々の考えでは、ID は当然セキュリティの最大関心事になります。もちろん、これは、クラウド セキュリティ全体の非常に重要な考慮事項です」と付け加えました。
Chirapurath says that’s a key focus within Microsoft.「ID について考えると、ID はユーザーの身分と実行できる操作を通知するものなで、ストアにとって ID は非常に重要です。ほとんどの場合、クラウド コンピューティングの課題は ID の領域にあります。ADFS で実行できるのは、社内で使用している ID をクラウドと共有することです。これには、Windows Azure や、SAML または WS 標準をサポートしているその他のクラウドが含まれます。社内で使用している ID をクラウドと共有することにより、社内の Active Directory への既存の投資を活用して、クラウド コンピューティングへの取り組みで既存の ID が機能するようにできます。
ADFS 2.0 の実装
マイクロソフトによると、スキーマ拡張を必要とすることなく、ADFS 2.0 を AD 上に実装できると言われています。ADFS 2.0 は、Windows Server 2008 または Windows Server 2008 R2 にインストールする必要があります。
また、マイクロソフトでは、Windows の販売代理店で、3 月にリリースされた新しい無償の Forefront Identity Manager (FIM) 2010 プラットフォームが導入されることを期待しています。FIM は、ID、アクセス権、および資格情報を管理し、これらに関連付けられているポリシーを管理するリポジトリです。また、IT プロフェッショナルは、SharePoint ベースの管理コンソールを使用して、ID を管理することもできます。
クラウドにはセキュリティに関連する問題がたくさんありますが、このような問題がアプリケーションをクラウドに配置する際の致命的なものになることがあります。これらの問題をいくつか挙げると、コンプライアンス、データの整合性、およびマルチテナント機能による影響を理解することなどがあります。
ただし、ID 管理に関して言うと、マイクロソフトと他の組織は、インフラストラクチャを強化する際に大きな進歩を遂げ、共通の ID を渡せるようにしました。しかし、まだクライアント側の作業が残っています。とはいえ、ADFS 2.0 を使用すると、クラウド サービスの使用を検討している企業は、Windows Server に無償でアップグレードできるというメリットを享受できます。
von Keyserling 氏は、次のように述べています。「エンド ユーザーは、社内ネットワークで作業しているときと変わらず、クラウドで同じ操作を実行できます。これは、フェデレーション サービスを使用して拡張することを検討している大企業にとってメリットまたは推進力の 1 つになります。フェデレーション サービスでは、パスワードのリセットや資格情報の管理のために作業を中断することなく、クラウド サービスを使用できます。また、企業は、ビジネス戦略の遂行と、日々微妙に異なるセキュリティ上の問題に取り組むことに集中できます」
Jeffrey Schwartz は、多くの時間を Redmond Magazine の編集者として過ごしています。彼の連絡先は jschwartz@1105media.com (英語のみ) です。
補足記事: 主なテクノロジの特質
- Active Directory フェデレーション サービス (ADFS) 2.0: Active Directory の拡張機能です。クレーム ベースのフェデレーション ID 管理を、Windows Server、Windows Azure、および他のクラウド サービスやクラウド アプリケーションを通じてシームレスに実現できます。
- SAML 2.0: セキュリティ ドメイン間で ID 情報を交換するための、広くサポートされている XML 標準です。ADFS 2.0 でサポートされるようになりました。
- WSFED: WS-Federation は、ADFS にもともと組み込まれていた中核となる仕様です。SAML が事実上の業界標準になったことを受けて、マイクロソフトは、この仕様のサポートを新しいリリースに追加しました。
- Windows Identity Foundation (WIF): WIF では、マイクロソフトが提供しているクレーム ベースの ID モデルの基盤となるフレームワークが提供されます。.NET Framework に実装することにより、アプリケーションで、認証スキーマ (ID 属性、役割、グループ、ポリシー、およびクレームをトークンとして管理する方法) が提供されます。WIF に基づいて、社内の開発者や ISV によって作成されたアプリケーションでも、これらのトークンを受け取ることができます。
- CardSpace 1.0: Windows 7 と Windows Vista でネイティブな ID セレクターを提供する Microsoft .NET Framework のコンポーネントです。
- U-Prove: U-Prove は、デジタル トークンの発行に重点を置いています。これにより、ユーザーは、トークンの受信者と共有する情報量を制御できます。ADFS 2.0 に対して使用することで、ユーザーは信頼関係が確立されたドメイン間で ID のフェデレーションを行えます。3 月に Community Technology Preview がリリースされました。
- OpenID: 識別子を提供するための、事実上の業界標準です。マイクロソフト、Google、Yahoo!、VeriSign、および多数の主要なブログ サイトとソーシャル ネットワーキング サイトでサポートされています。
—J.S.