2013年7月10日水曜日

[WAAD] IDaaS としての機能が充実してきた

ここのところ Windows Azure Active Directory(WAAD)の機能拡充が加速しているようです。
今回は以前に紹介した Intel Cloud SSO(現McAfee Cloud SSO)の様ないわゆる Identity as a Service(IDaaS)の持つ、クラウド・サービスのアイデンティティ管理基盤としての機能である「アプリケーション・アクセス」が追加されました。(現行 Preview)

公式 blog によると、以下のような機能が追加されたということです。

  • A gallery of pre-integrated SaaS apps including top apps like Office 365, Box.com, Salesforce.com, Concur, DropBox & Gmail (plus 40 more).
  • Easy SSO configuration using SAML federation or secure password mangement.
  • User provisioning integration with top SaaS apps like Box, Salesforce.com and Gmail.
  • Simple security reports reporting user logins and suspicious logins.
  • A browser based end-user access panel which makes it easy for employees to find the SaaS apps you're organization provides them and to Single Sign On (SSO) to those applications.


要するに、Office365 とか Box.com とか Salesforce.com など40種類以上の SaaS アプリケーションへの接続がプリセットで用意されていて、SAML もしくはパスワードの管理による SSO とユーザ・プロビジョニングが実行できて、利用者向けのアクセスパネルを使って各アプリケーションへの SSO アクセスが出来る、ということのようです。

Active Directory Team の blog でのアナウンス
 http://blogs.msdn.com/b/active_directory_team_blog/archive/2013/07/07/application-access-enhancements-for-windows-azure-active-directory.aspx


早速、Preview 機能を有効化して Azure 管理ポータルからディレクトリ・サービスを見ると、アプリケーションの追加のオプションで「アプリケーションへのアクセスの管理」を選べるようになっています。


設定を始めると確かに色々なアプリケーションへのアクセスをギャラリーから選択することが出来ます。


今日現在で以下の 75 個のサービスが使えるようです。

  • Adnovate
  • ADP Background Checking
  • ADP Easy Pay
  • ADP eTime
  • ADP Flex Direct
  • ADP HR/Benefits
  • ADP RUN
  • ADP VirtualEdge Recruitment
  • Amazon Web Services (AWS)
  • Annotag
  • Appetas
  • AppPoint
  • Aravo
  • Barium Live
  • Base Camp
  • Bentley Systems
  • Birst Agile Business Analytics
  • B-kin
  • Box
  • Cisco Webex
  • Citrix GoToMeeting
  • ClearlyInventory
  • Click2Translate
  • Concur
  • Dpcisign
  • DropBox for Business
  • Egnyte
  • ElasticWCM
  • Evernote
  • FabaSoft Folio Cloud
  • GitHub
  • Google
  • Google Apps
  • GT Nexus
  • Heroku
  • Hubwoo
  • IBM SmartCloud for Social Business
  • IBM Sterling Commerse Customer Center
  • iMedidata
  • Intacct
  • Intuit
  • litmus
  • LogMeln Rescue
  • LongJump
  • Microsoft Account (Windows Live)
  • Microsoft Bing Ads
  • Microsoft Developer Network (MSDN)
  • Microsoft Office365 Exchange Online (Outlook)
  • Microsoft Office365 SharePoint Online
  • Microsoft SkyDrive
  • MongoHQ
  • MySaasPlace
  • Netsuite
  • New Relic
  • Oracle Taleo
  • pingdom
  • Replicon
  • Saba Meeting
  • Sage North America
  • Salesforce
  • SDL Click2Translate
  • Skype
  • SpringCM
  • SuccessFactors
  • Sunwapta PenForms
  • Syncplicity
  • Thomson Reuters
  • TimeOffManager
  • Ultimate Software UltiPro
  • UPS
  • US Postal Service
  • Volusion
  • WorkflowMax
  • Yammer
  • YouSendIt



試しに Google Apps を追加すると、

  • シングルサインオンの構成
  • アカウントの同期の構成
  • ユーザーアクセスの構成

という3点の構成が出来るようです。


それぞれ、簡単に機能を紹介します。

◆シングルサインオンの構成

WAAD からアプリケーションへのシングルサインオンを行う方法として下記の2つのオプションが提供されています。
1. ユーザーは Windows Azure AD のアカウントを使用して認証
 ⇒SAML を使ったフェデレーションです。
2. ユーザーは既存のアプリケーションアカウントを使用して認証
 ⇒ブラウザに SSO プラグインを導入しての疑似シングルサインオンです。Enterprise SSO のように各サービスのログイン URL の ID / PWD 入力フォームへ WAAD 上のアカウントに紐づけて記憶させた ID / PWD を自動的に入力して Submit してくれます。
 (現状、IE と Chrome 用の SSO プラグインが提供されています)



ちなみに何故かフェデレーションを使った SSO の設定をしようとすると予期せぬエラーが出てしまうので、今のところ 2. のプラグインを使った SSO しか試せていません。


◆アカウントの同期の構成

WAAD のアカウントを各サービスへプロビジョニングする機能です。
これには前提があり、
・WAAD に独自ドメインを追加しておく必要がある
 ⇒ドメイン名は Google Apps で使っているドメインと同じドメインを追加
・Google Apps 側で API アクセスを許可しておく必要がある
 ⇒ Provisioning API を使うために必要
という条件を満たす必要があります。

これさえクリアすれば、設定が完了し、次項で紹介するユーザーアクセスの構成が住んでいるユーザを自動的にサービス側へプロビジョニングしてくれます。

尚、設定する際に Google Apps の管理者ユーザの ID とパスワードを入力させられることから API 認可に OAuth を使わずにレガシーな ClientLogin を使っている?ようでちょっと微妙です。



◆ユーザーアクセスの構成

設定が終わったら WAAD 上のユーザがアプリケーションを使えるようにします。
これは簡単で、ユーザの一覧からユーザを選んで「アクセスの有効化」をクリックするだけです。


これで対象のユーザが Google Apps へプロビジョニングされます。(しばらく時間がかかります)


尚、プロビジョニングしただけのユーザのパスワードは初期状態で WAAD のパスワードが同期されているわけではないので、一旦は Google Apps 側へ直接ログインしてパスワードを変更しておく必要があります。
(フェデレーションを使う場合は不要)




設定としては以上なので、実際に試してみます。

WAAD のアプリケーション・ポータルへ対象のユーザでログインすると設定したアプリケーションが見えます。

 アプリケーション・ポータル
 https://account.activedirectory.windowsazure.com/applications



アイコンをクリックするとプラグインのインストールを促されますので、インストールを実行します。(フェデレーション設定をした場合はことなるはずです)


- IE の場合


- Chrome の場合(Chrome Web Store からのインストール)





プラグインを有効化してブラウザを再起動すると、今度はアプリケーション・アイコンをクリックすると初回は Google Apps 側の ID / PWD を求められます。


ここで入力した値が WAAD アカウントに紐づけられて、ブラウザのプラグインが対象サービスのログインフォームへ自動的に入力してくれる仕組みになっています。

ということで、うまくいけば Gmail のページにアクセスできるようになっているはずです。

まだフェデレーションでのアプリケーション・アクセスの設定が上手く言っていないので何とも言えませんが、これでローカルの AD FS と WAAD のフェデレーション設定がされている環境であれば、各サービス毎にローカル AD FS へ証明書利用者信頼の設定をしなくて済むので証明書の管理など非常に楽になる可能性があり、コスト面でもかなり優位なものになるのではないでしょうか?
(Ping Federate と Ping One の関係のようなイメージでクラウド連携が出来るようになると思われます)

0 件のコメント:

コメントを投稿