ラベル Intel Cloud SSO の投稿を表示しています。 すべての投稿を表示
ラベル Intel Cloud SSO の投稿を表示しています。 すべての投稿を表示

2013年7月10日水曜日

[WAAD] IDaaS としての機能が充実してきた

ここのところ Windows Azure Active Directory(WAAD)の機能拡充が加速しているようです。
今回は以前に紹介した Intel Cloud SSO(現McAfee Cloud SSO)の様ないわゆる Identity as a Service(IDaaS)の持つ、クラウド・サービスのアイデンティティ管理基盤としての機能である「アプリケーション・アクセス」が追加されました。(現行 Preview)

公式 blog によると、以下のような機能が追加されたということです。

  • A gallery of pre-integrated SaaS apps including top apps like Office 365, Box.com, Salesforce.com, Concur, DropBox & Gmail (plus 40 more).
  • Easy SSO configuration using SAML federation or secure password mangement.
  • User provisioning integration with top SaaS apps like Box, Salesforce.com and Gmail.
  • Simple security reports reporting user logins and suspicious logins.
  • A browser based end-user access panel which makes it easy for employees to find the SaaS apps you're organization provides them and to Single Sign On (SSO) to those applications.


要するに、Office365 とか Box.com とか Salesforce.com など40種類以上の SaaS アプリケーションへの接続がプリセットで用意されていて、SAML もしくはパスワードの管理による SSO とユーザ・プロビジョニングが実行できて、利用者向けのアクセスパネルを使って各アプリケーションへの SSO アクセスが出来る、ということのようです。

Active Directory Team の blog でのアナウンス
 http://blogs.msdn.com/b/active_directory_team_blog/archive/2013/07/07/application-access-enhancements-for-windows-azure-active-directory.aspx


早速、Preview 機能を有効化して Azure 管理ポータルからディレクトリ・サービスを見ると、アプリケーションの追加のオプションで「アプリケーションへのアクセスの管理」を選べるようになっています。


設定を始めると確かに色々なアプリケーションへのアクセスをギャラリーから選択することが出来ます。


今日現在で以下の 75 個のサービスが使えるようです。

  • Adnovate
  • ADP Background Checking
  • ADP Easy Pay
  • ADP eTime
  • ADP Flex Direct
  • ADP HR/Benefits
  • ADP RUN
  • ADP VirtualEdge Recruitment
  • Amazon Web Services (AWS)
  • Annotag
  • Appetas
  • AppPoint
  • Aravo
  • Barium Live
  • Base Camp
  • Bentley Systems
  • Birst Agile Business Analytics
  • B-kin
  • Box
  • Cisco Webex
  • Citrix GoToMeeting
  • ClearlyInventory
  • Click2Translate
  • Concur
  • Dpcisign
  • DropBox for Business
  • Egnyte
  • ElasticWCM
  • Evernote
  • FabaSoft Folio Cloud
  • GitHub
  • Google
  • Google Apps
  • GT Nexus
  • Heroku
  • Hubwoo
  • IBM SmartCloud for Social Business
  • IBM Sterling Commerse Customer Center
  • iMedidata
  • Intacct
  • Intuit
  • litmus
  • LogMeln Rescue
  • LongJump
  • Microsoft Account (Windows Live)
  • Microsoft Bing Ads
  • Microsoft Developer Network (MSDN)
  • Microsoft Office365 Exchange Online (Outlook)
  • Microsoft Office365 SharePoint Online
  • Microsoft SkyDrive
  • MongoHQ
  • MySaasPlace
  • Netsuite
  • New Relic
  • Oracle Taleo
  • pingdom
  • Replicon
  • Saba Meeting
  • Sage North America
  • Salesforce
  • SDL Click2Translate
  • Skype
  • SpringCM
  • SuccessFactors
  • Sunwapta PenForms
  • Syncplicity
  • Thomson Reuters
  • TimeOffManager
  • Ultimate Software UltiPro
  • UPS
  • US Postal Service
  • Volusion
  • WorkflowMax
  • Yammer
  • YouSendIt



試しに Google Apps を追加すると、

  • シングルサインオンの構成
  • アカウントの同期の構成
  • ユーザーアクセスの構成

という3点の構成が出来るようです。


それぞれ、簡単に機能を紹介します。

◆シングルサインオンの構成

WAAD からアプリケーションへのシングルサインオンを行う方法として下記の2つのオプションが提供されています。
1. ユーザーは Windows Azure AD のアカウントを使用して認証
 ⇒SAML を使ったフェデレーションです。
2. ユーザーは既存のアプリケーションアカウントを使用して認証
 ⇒ブラウザに SSO プラグインを導入しての疑似シングルサインオンです。Enterprise SSO のように各サービスのログイン URL の ID / PWD 入力フォームへ WAAD 上のアカウントに紐づけて記憶させた ID / PWD を自動的に入力して Submit してくれます。
 (現状、IE と Chrome 用の SSO プラグインが提供されています)



ちなみに何故かフェデレーションを使った SSO の設定をしようとすると予期せぬエラーが出てしまうので、今のところ 2. のプラグインを使った SSO しか試せていません。


◆アカウントの同期の構成

WAAD のアカウントを各サービスへプロビジョニングする機能です。
これには前提があり、
・WAAD に独自ドメインを追加しておく必要がある
 ⇒ドメイン名は Google Apps で使っているドメインと同じドメインを追加
・Google Apps 側で API アクセスを許可しておく必要がある
 ⇒ Provisioning API を使うために必要
という条件を満たす必要があります。

これさえクリアすれば、設定が完了し、次項で紹介するユーザーアクセスの構成が住んでいるユーザを自動的にサービス側へプロビジョニングしてくれます。

尚、設定する際に Google Apps の管理者ユーザの ID とパスワードを入力させられることから API 認可に OAuth を使わずにレガシーな ClientLogin を使っている?ようでちょっと微妙です。



◆ユーザーアクセスの構成

設定が終わったら WAAD 上のユーザがアプリケーションを使えるようにします。
これは簡単で、ユーザの一覧からユーザを選んで「アクセスの有効化」をクリックするだけです。


これで対象のユーザが Google Apps へプロビジョニングされます。(しばらく時間がかかります)


尚、プロビジョニングしただけのユーザのパスワードは初期状態で WAAD のパスワードが同期されているわけではないので、一旦は Google Apps 側へ直接ログインしてパスワードを変更しておく必要があります。
(フェデレーションを使う場合は不要)




設定としては以上なので、実際に試してみます。

WAAD のアプリケーション・ポータルへ対象のユーザでログインすると設定したアプリケーションが見えます。

 アプリケーション・ポータル
 https://account.activedirectory.windowsazure.com/applications



アイコンをクリックするとプラグインのインストールを促されますので、インストールを実行します。(フェデレーション設定をした場合はことなるはずです)


- IE の場合


- Chrome の場合(Chrome Web Store からのインストール)





プラグインを有効化してブラウザを再起動すると、今度はアプリケーション・アイコンをクリックすると初回は Google Apps 側の ID / PWD を求められます。


ここで入力した値が WAAD アカウントに紐づけられて、ブラウザのプラグインが対象サービスのログインフォームへ自動的に入力してくれる仕組みになっています。

ということで、うまくいけば Gmail のページにアクセスできるようになっているはずです。

まだフェデレーションでのアプリケーション・アクセスの設定が上手く言っていないので何とも言えませんが、これでローカルの AD FS と WAAD のフェデレーション設定がされている環境であれば、各サービス毎にローカル AD FS へ証明書利用者信頼の設定をしなくて済むので証明書の管理など非常に楽になる可能性があり、コスト面でもかなり優位なものになるのではないでしょうか?
(Ping Federate と Ping One の関係のようなイメージでクラウド連携が出来るようになると思われます)
投稿者 時刻: 1:34 0 コメント
ラベル: , , , , , , , , , , , , , ,

2012年5月27日日曜日

[IDaaS] Intel Cloud SSO を試してみた


前回に引き続き IDaaS の話です。

今回はインテル(というかマカフィー)の IAMaaS である Intel Cloud SSO のトライアルをしてみました。
http://intelcloudsso.com/


■トライアル版へのサインアップ
まずはトライアルの始め方から。
まずはサービスのページにアクセスすると右側のあたりからトライアルの申し込み出来ます。
























色々と情報を登録するとメールにログインIDとログインURLが送られてくるので早速アクセスしパスワードを登録し、ログオンして基本設定を行います。


■基本設定
Admin タブをクリックし、基本設定画面で管理ユーザの情報とセキュリティトークンの設定を行います。
Admin Username:先ほどログインしたユーザ名
Admin Password:先ほど設定したパスワード
Security Token:画面上の赤く囲った部分の[HERE]をクリックした先で[Reset Security Token]ボタンをクリックするとメールでセキュリティトークンが送られてくるのでそれを設定


































■アプリケーションの設定
Admin タブでアプリケーションリストから対象となるアプリケーションを選択します。
かなりの数のアプリケーションが登録されています。

























この中から今回はオーソドックスに Google Apps を選んでみます。


























早速設定です。以下を設定します。
Application Name:任意の名前
GoogleApps Domain Name:GoogleApps に設定したドメイン名
Enable User Provisioning:プロビジョニングを行う場合はチェック
























同時に Google Apps 側にも設定をします。(高度な設定メニューより)・シングルサインオンを有効にする:チェック
ログインページの URL:Intel Cloud SSO の設定画面で表示された URL
ログアウトページ URL:https://www.google.com/a/[ドメイン名]
パスワード変更 URL:Intel Cloud SSO の設定画面で表示された URL
認証の確認:Intel Cloud SSO の設定画面からダウンロードできる証明書
ドメイン固有の発行元を使用:チェック
























ユーザプロビジョニングを行う場合は、GoogleApps のドメイン設定よりユーザ設定画面でプロビジョニング API を有効にします。
















次に、このアプリケーションを使えるユーザを設定します。設定方法としては
グループを作成し、そのグループメンバをアサインする
 ※グループメンバはユーザのロールや特定の属性値からダイナミックに設定が可能
個別にユーザをアサインする
という2通りの設定があります。

今回は個別にユーザを割り当てます。
アプリケーションの設定の中から、[Assign Users]メニューより[Assign by Users]を選択し、虫眼鏡をクリックすると登録されているユーザ一覧が表示されるので、必要なユーザにチェックを入れ、[Save]をクリックします。
























最後に設定したアプリケーションを有効化します。
Admin タブからアプリケーションを見ると作成したアプリケーションは Inactive Applications の中に入っていますので、Activate をクリックします。
Activate 後は以下の状態になるはずです。



































これでアプリケーションの設定は完了です。


■アプリケーションを利用する
この状態で MyApps タブを開くと GoogleApps 関連のアプリケーションアイコンが出来上がっているはずです。






















Gmail のアイコンをクリックするとそのまま Gmail へ遷移するはずです。

















※プロビジョニングが完了するまでに少し時間がかかるので失敗する場合は時間を置く必要があります。
※デフォルトで Intel Cloud SSO の firstname.lastname というユーザ名で GoogleApps にアカウントを作成しに行くので同一名のアカウントがいたり、削除したばかりだったりすると Google Provisioning API 側がプロビジョニング操作をはじきます。一向にアカウントが作成されないようならそのあたりを確認する必要があります。
投稿者 時刻: 9:00 0 コメント
ラベル: , , , , ,
登録: 投稿 (Atom)