ID&IT Management Conference 2014が開催されます

本日と明後日、東京と大阪それぞれで今年もID & IT Management Conferenceが開催されます。

　http://nosurrender.jp/idit2014/

昨年はJNSAのアイデンティティ管理WGとしてID管理システム導入時の要求定義のポイントについてパネルディスカッションを担当させてもらいましたが、今年は標準化が熱い！ということでグローバルスタンダードについてのパネルに出演させていただきます。

特に昨年～今年はOAuth2.0のRFC化やOpenID Connectの正式リリースなどアイデンティティに関する標準化に伴い、Microsoft Azure ADやSalesforce.com Identity、Ping IdentityのPing Oneなどの主要なIDaaS（Identity as a Service）ベンダが相次いで標準をサポートした年でした。
ただ、実際の導入の現場では標準かどうか？よりも各社に固有の事情に対応することの方が当然優先されるわけで、中々標準に目が行くことはありません。ということでSIer目線でID管理プロジェクトの現場ではどんなことを考えているか？という話をしようと思います。

　※ちなみに昨年度の話はこちら


当日になってしまいましたが、お手隙の人は是非いらしてください。

私も午後から大阪へ向かいます...orz　）某所のホテルの部屋にて。。

続Azure ADのSAML対応（IdP編）～SP Initiatedに対応

前回のPOSTで現状Azure Active DirectoryのSAML IdP対応はIdP Initiatedだけ、という話をしましたが、直近（9/3）のアップデートでSP Initiatedに対応しました。

　TechnetのActive Directory Teamのブログ
　- 50+ SaaS Apps and growing now support federation with Azure AD!
　　http://blogs.technet.com/b/ad/archive/2014/09/03/50-saas-apps-now-support-federation-with-azure-ad.aspx

ブログ本文の本筋はたくさんのSaaSアプリケーションがAzure ADとのフェデレーションに対応したよ、ということなんですが下の方にちょろっとSP Initiated対応！と書いてあります。
これでようやくアプリケーションポータルを経由しなくてもSaaSアプリを使うことが出来ます。

と、言うことで試してみます。
と言っても設定はこれまでと何ら変わりません。今回もGoogle Appsを使います。

①Azure ADの管理コンソールからGoogle Appsを追加し、構成を行います。

　まずはGoogle Appsのドメインを指定します。

　Google Appsに設定する情報が出てくるので、証明書のダウンロードします。

②Google Appsのセキュリティ設定からシングルサインオン設定を行います。
　先ほどダウンロードした証明書のアップロード、各種URLの設定を行います。
　この時、「ドメイン固有の発行元を使用」にチェックを入れておくことを忘れないようにしてください。（前回はこれを入れていなかったからダメだっただけかも知れません。。）

③Azure ADのコンソールでGoogle Appsを使うユーザを追加、選択します。
　※アプリケーションの構成でプロビジョニングを有効にしておく必要があります。
　Google Appsと同じドメインをAzure ADにも追加し、対象のドメインにユーザを作り、割り当てを行います。

④Google AppsへアクセスするとAzure ADのサインイン画面へリダイレクトされるので、先ほど追加したユーザでサインインします。

すると、無事にGoogle Apps（今回はGmail）が利用できます。

同じようなやり方でカスタムアプリや他のサービスも使えると思いますので、エンタープライズにおける利活用の選択肢がだいぶ拡がったと思います。