おたくはID連携?それともフェデレーション?  ~ 社内でもADFSの巻? ~

  • Article

先日書いたADFS について、ある方と別件でメールのやり取りをした時にこんなご指摘をいただきました。

 ADFS確かにおもしろそうなんですけど、どうも企業内ですと
 難しい様に感じており、構築したくてもなかなかできないでいます。
 (元々企業間の連携という意味合いでしょうから。)

私はドジなもので、「ADFSそのものが難しい」とのご指摘かと思って返事をしてしまいました(^_^;)
このBlogを読んでいただいているようなので、Blog上で謝っちゃおうと思います。
その節はどうも失礼しました。
夜中2時過ぎに頑張って返信したのでどうかお許しを<(_ _)>

その後もなかなか「頭の時間」をADFSに割り当てることができず、きちんと整理はできていないのですが、企業内にも使える場所はあるという思いが消えるどころか増すばかり。。。
ということで、まずはマイクロソフトのIDソリューションを整理してみようと思います。

まずは、MIISADAM が登場した数年前、”Active Directory への ID 統合(集約)”に片寄っていた私たちの訴求シナリオに余裕と多様性が出てくるようになりました。

*********************
企業内に分散するディレクトリや認証システムは(Active Directory かどうかではなく)1つに集約できたほうが良いはずで、ID統合という理想の形はこれからも求めていくべきだと思っているのですが、全てを統合するというシナリオは大掛かりな作業と投資になるのですぐに受け入れることもまた難しいだろうと。
だったら、複数のディレクトリを”統合”ではなく”連携”させるところから始めるのもありだと思いますし、そこにはMIIS が使えるわけです。そして、一旦連携ができてくれば徐々に統合していく道筋も見えてくることでしょう。

さらに、Active Directory はインフラの核となるので、セミナーなどで簡単に説明する”スキーマ拡張”も安易にやってしまうとネットワーク全体に影響を及ぼすことが考えられ、実際の作業以上に難しいものになりがちです。そこで、ADAMというLDAPサーバーをActive Directoryの横(物理的ではなく論理的な話)において、アプリケーションが必要とする拡張部分はADAMにカバーさせることも可能です。もちろん、Active DirectoryとADAMを連携させるIIFPというツールも用意してますから、別製品が要るの?みたいな話にはなりません。
*********************

いかがでしょう?
これらを組み合わせることによって、企業内における"統合" "連携" "拡張" とシチュエーションに応じたソリューションが選択できるにようになりました。でも、ここで考えてみてください。SCMやSOAなどの企業間シナリオとなると、結局アプリケーション任せだったのではないかと。。。

ここに登場したのがフェデレーションで、マイクロソフトがツールとして作ったのがADFSです。
(ちょっと強引な言い方をすると)ADFSを利用することで、ある企業が管理しているActive Directoryのユーザー認証機能を利用して別企業のアプリケーション認証が完了するわけです。別企業の認証機能を使えるということは、違う部署が持つ認証機能、もう少し広げてグループ会社が持つ認証機能をそのまま使えると便利だと思います。

あれ? 何かに気づきませんか???
そうです。今まではIDをどうやって統合するか、どうやって連携するかばかり考えてきたわけですが、フェデレーションという考え方やADFSというツールを使うと、ディレクトリやIDはバラバラでも良いのではないか?なんて思ったりもできるわけです。少なくともアプリケーション開発者は、苦手意識を持ちつつも頑張って作っていたID管理機能や認証機能の部分に手を染めなくてもよくなるのではないかと思っています。

「まさに個別最適」という話はこの辺にして、ここでポイントを整理しましょう
**********************************************************
ID統合や連携は、企業内のIDの管理負荷やコストを大幅に軽減すると共に、ユーザー情報のネットワークへの即時反映によるセキュリティリスクの軽減、複数のパスワード管理をユーザーに強いることもなくなります。

フェデレーションは、企業内・部署内・アプリケーションドメイン内に閉ざされていたセキュリティ境界の壁を越えてアプリケーション認証基盤を提供するもので、アプリケーション毎に持っていたユーザー情報や簡易認証機能を無くすことで無駄な開発コストを削減すると同時にリスク軽減にも効果を発揮する。
**********************************************************

ついでに書いておくと、ADFSで出てくる"クレーム"と"クレーム変換"を利用することによって、ロールベース認証(Role-besed Access Control)からクレームベース認証(Claim-based Access Control) へ移行が可能になってきます。そして、運用管理者とアプリケーション開発者の役割分担の明確化と双方の負荷軽減にもつながっていくことでしょう。

これらのシナリオについては、同じIT Pro エバンジェリストの田辺さんが作った非常に面白いセッションがあるので、本当は多くの方に聞かせてあげたいなあ。。。なんて。

まあ、ADFS は新しい用語も出てきますし、どうしても難しい話になりがちですが、まずはコンセプトをご理解いただければ幸いです。そして、皆さんが頭の中にフェデレーションをイメージした後で必要となる情報「実際にはどのようなインフラが必要で、どのような開発が必要か」を、開発系のエバンジェリストと一緒に整理することにしました。
なので、より具体的かつポイントを絞った話ができるようになるまで、もうちょっとお時間を下さいね。

それと、ここまで長く書いておいてなんですが、「私の頭の中にある上記シナリオが本当に正しいか」についてもこれからちゃんと整理をしていきます。そして、それらを共有することで皆さんにもADFSのよさをもっと理解してもらえるのではないかと思っています。

それでは、また。