少し時間が経ってしまいましたが先日のPDC2010のアイデンティティ関係のセッション(といっても一つだけでしたが)の概要を紹介したいと思います。
セッションはおなじみのVittorio Bertocciによるもので
Identity & Access Control in the Cloud
というタイトルのものです。
PDCのオフィシャルサイトで動画とスライドが公開されています。(同時通訳も公開されているので日本語でも聞くことができます。たぶん英語で聞いたほうがわかりやすいとは思いますが・・・。後、動画を見るとわかりますがタブレットでスライドにリアルタイムで絵をかきながらプレゼンを進めていたり、デモが多いのでスライドだけをダウンロードしても何もわからないと思います)
内容ですが、メインテーマは「アプリケーションをクラウドに移行するにあたって認証やアイデンティティをどうするか?」というもので、以下のステップで解説をしています。
1.オンプレミス・アプリケーションの認証
2.Windows Azure上のアプリケーションの認証
3.複数の企業が存在する場合
4.ソーシャルプロバイダで認証
5.他のアプリケーション用の認証
6.モバイルの例
それぞれを簡単に解説します。
1.オンプレミス・アプリケーションの認証
自社内にデータセンタがあり、アプリケーションがある
本人認証はActive Directoryを使うことによりアプリケーションから分離できる
2.Windows Azure上のアプリケーションの認証
アプリケーションをWindows Azure上に持っていく
STS(AD FS2.0)をDirectoryの上に乗せる=IdPとなる
Claim-Basedという考え方が必要となる
アプリケーション側にClaimを解釈する仕組み(Windows Identity Foundation=WIF)
3.複数の企業が存在する場合
HomeRealm Discoveryが必要になる
→IdPのリストを表示することで対応する
企業ごとにIdPを持っているのでトークンのフォーマットが異なる
→中間にFederation Providerを配置し、トークンの変換を行う
Microsoftが用意したのがAppFabric Access Control Service(ACS)である
4.ソーシャルプロバイダで認証
Facebook、Google、WindowsLive、Yahoo!を例として取り上げる
課題は、それぞれプロトコルが違う(facebook api,openid,live api...)ことである
WIFのようなライブラリが個々のプロトコル(しかも頻繁に変わる)をサポートするのではなく、Federation Providerでプロトコルを変換する
5.他のアプリケーション用の認証
OAuthの話
ACSが呼び出し元となるFacebook上のアプリケーションにアクセストークンを渡す
Facebook上のアプリケーションがAzure上のアプリケーションにトークンを渡すことでリソースを利用する
6.モバイルの例
モバイル(Windows Phone7)上で動くSilverlightアプリケーションの認証をACS経由でFacebookで行い、Azure上のサービスを利用する
尚、スライド上で出てくるデモについては今週ベルリンで開催されるTechEd Europeでさらに詳細に解説されるようです。
また、Windows Phone7でのデモについてはVittorioのblogで公開されています。
全体を通じて感じたことですが、PDCというDeveloper対象のイベントの性質上もあるのかも知れませんが、Identity Federationの訴求ポイントが「ソーシャルプロバイダとの連携機能を持つACSを使ったAzure上のアプリケーションを開発することにより、5億人もいるFacebookユーザをターゲットすることができる」というビジネスチャンスの拡大にあった点が印象的でした。
現状日本においてはIdentity FederationはあくまでIT管理者をターゲットに「いかにセキュアに自社のアプリケーションをクラウドに持っていくか」という点が訴求ポイントになっていることが多いと思われる中でこれは非常に印象が強かったポイントでした。(しかもマイクロソフトが公式に発言している点で)
日本では「クラウド上でアプリケーションを展開する」という段階のハードルをまずは超える必要があるからだと思われますが、新しいACSのリリースされるタイミングで同様の考え方も広がってくると面白いと思います。
投稿
0 件のコメント:
コメントを投稿