ACS の課題 - SSO、ID フロー、および承認
更新日: 2015 年 6 月 19 日
適用先:Azure
まとめ
このトピックでは、分散クラウド アプリケーションでのシングル サインオン (SSO)、ID フロー、および承認に関連する一般的な課題とソリューション アプローチの概要について説明します。
シナリオ
分散アプリケーションの標準シナリオの次のような回路図があるとします。
この標準シナリオには、主に次のような特徴があります。
.gif "ACS - challenge")
エンド ユーザーは、Windows Live ID (Microsoft アカウント)、Google、Yahoo!、Facebook、エンタープライズ Active Directory などの業界 ID プロバイダーによって管理される既存の ID を持つことができます。
エンド ユーザーは、Web ブラウザーまたはリッチ クライアント経由の認証と承認を必要とするシステムとやり取りします。
エンド ユーザーは、デスクトップ、スマートフォン、またはブラウザー内 (Silverlight または JavaScript など) で実行されるリッチ クライアント経由の認証と承認を必要とするシステムとやり取りします。
Web アプリケーションは、認証と承認を必要とするダウンストリームの Web サービスとやり取りすることがあります。
課題
このシナリオに関連する一般的なセキュリティ上の課題がいくつかあります。 以下、具体例に沿って説明します。
Web アプリケーションの認証を外部化する方法
Web サービスの認証を外部化する方法
複数のアプリケーションにインターネット資格情報を使用する方法
複数のアプリケーションにエンタープライズ資格情報を使用する方法
物理階層のセキュリティ コンテキストのフロー
さらに細かい要求ベースの承認のためにユーザー ID を変換する方法
相互運用方法
通信をセキュリティで保護する方法
管理を自動化する方法
ソリューション アプローチ
Microsoft Azure Active Directory Access Control (Access Control サービスまたは ACS とも呼ばれます) は、これらの課題に対する解決策を提供します。 WS-Federation、WS-Trust、SAML、OAuth 2.0、SWT ACS などのオープン標準とプロトコルを使用すると、次に示すように、複数の ID プロバイダーと安全に相互運用できるクラウドアプリケーションとオンプレミス アプリケーションを構築できます。
.gif "ACS-solution")
ACS アーキテクチャと主要コンポーネントの詳細については、「 ACS アーキテクチャ」を参照してください。