マイクロソフトコーポレーション アイデンティティ部門 Azure AD Strategic Scale allianceチーム プログラムマネージャーの佐藤沙里那です。
この連載は、文系出身でAzure Portal にもログインしたことがなかった新米Identity プログラムマネージャーの私が、アイデンティティにまつわる素朴な疑問をセキュリティの専門家と一緒に解決しながら、しっかりと技術的なディスカッションができる一人前のIdentity マスターを目指していくコラムです。
これからセキュリティを学びたい人や、ウェブサービスやアプリケーションを開発している開発者・企業の方など必見です! 一緒にセキュリティやアイデンティティについて学んでいきましょう。
他社とのやりとりってどうすればよいの?
前回の河野さんとのやりとりの中で、自社のセキュリティを守るためには、全ての資産に対してID を付けることが大切ということを学びました。でも、仕事って会社の中だけでのやりとりで終わることはほとんどないし、他社とファイルを共有して一緒に編集を行ったり、他社の使っているアプリケーションを使って仕事をしたりすることも最近増えていると思うのです。
これってID はどういう風にかかわってくるのだろう? そもそも他社とやり取りをするってたくさん課題がありそうだ!
自社の資産管理だけでも大変なのに、他社の会社ともやりとりをするとなると、大切なデータやファイルの受渡しがあるだろうし、他社のユーザーが自社のアプリケーションにアクセスする際の認証や認可におけるユーザー情報の取り扱いとかはどのようにすればよいのだろう? いちいちユーザーIDとパスワードを設定したりしなきゃいけないのかな? いっぱい不安が出てきてしまった・・・・・。教えて、河野さん!
他社とのやりとりには、信頼関係が大切。でも、信頼関係って?
河野氏:「そもそも、他社のユーザーに自分の会社の環境に入ってもらって働いてもらうには、セキュリティや情報の取り扱いに関するルールを守ってもらい、信頼関係があることが前提でなければならないね」
確かに。不安材料が一つでもあったら、お互いの会社の信用にも影響を与えるし、両社が一緒に仕事をしたいとも思えないですしね。でも、信頼関係ってお互いの心理的なものでこれまでの積み重ねですよね? どうやって信頼関係ってどうやって考えればよいのでしょうか?
河野氏:「信頼関係といっても、『○○社さんと当社は信頼しあっているから大丈夫! ファイルやデータをお渡しします!』ではだめだよね。何をもって信頼関係なのかを、この場合ははっきりさせる必要がある。今のクラウド世界では、どのユーザーに対して、どのアプリケーションに対するアクセス許可を設定するかが信頼関係設定の上で必要になってくるんだ」
そうか。そうなると、前回のIDの話ともつながってきますね! 前回の河野さんがおっしゃっていた、全てのモノ(ユーザー)にID を付けるという話と同じように、両社で新しいIDを作って、それを両社がやりとりするときには使うというやり方で進めればいいのでしょうか?
河野氏:「統合するID を作るのは、現実的ではないね。お互いに持っているファイルやアプリケーションは多数あるし、そもそも会社のやり取りはその2社だけではなく、たくさんの会社とやりとりをするものだ。そんな中で、全部の会社と統合するID を作って使っていたら、それこそ手間だしセキュリティとしてもリスクがあるね」
では、いったいどうすればよいのでしょうか……。
個々のユーザー単位で他社のID基盤と連携(フェデレーション)
河野氏:「そこで、インターネットの異なるネットワークドメインをまたいだ認証・認可を実現するフェデレーション を実現するのが良い。IDを統合するのではなく、ID管理基盤はそのままに、ネットワークドメインをまたいで互いに連携させる手段だよ」
ふむふむ。フェデレーションっていうのは、一度認証を通れば、その認証情報を使って、許可されている全てのサービスを使えるようにする仕組みということですね。フェデレーションを使うことで、異なるクラウドサービス、異なる拠点、異なる企業がそれぞれのID管理基盤や認証基盤に手を加えることなくIDを連携し、共通のID管理基盤や認証基盤を実現することができるのか。
これなら、お互いの信頼関係を前提として、ユーザーや管理者に無駄な手間を与えることなく、簡単に安全に他社との連携や、やりとりを実現することができるんですね!
※クリックすると拡大画像が見られます
社外との連携をスムーズに実現するAzure AD
私が所属しているマイクロソフトは、フェデレーションを実現するために「IdP(ID Provider)」として Azure AD B2BやB2Cという機能を提供しているんですよね。 Azure ADを自分の会社で使っている人は、他社のユーザーとやりとりをする際には、必要不可欠な機能ということですね!
河野氏:「そうだね。ここのブログを参照にすると良いよ。外部ユーザーに対してAADから招待状を送り、外部ユーザーに対してのアクセス許可の確認が行われる。IDとパスワードを入れて外部ユーザーが招待状を承認することで、その外部ユーザーが自社のリソースにアクセスできる準備ができる。ただしこの時点では、まだファイルやアプリにアクセスすることはできないんだ。外部ユーザーがAADの招待を承認した後、管理者から権限の付与を外部ユーザーに与えることで、権限を与えられた特定のアプリケーションやファイルにアクセスできるようになり、簡単にやりとりを行うことができるね。ちなみに、これはテナント同士では連携されることはないので、外部ユーザーの属性値や情報がコピーされることはない。外部ユーザー側もセキュリティやプライバシーが漏れる心配がなく、他社の環境で仕事をすることができるね」
すごい! 自分たちが既に持っているIDを使って、安心安全に社外と連携することができるのですね。ちなみに、Azure AD同士では、こうして社外との連携を実現できると思うのですが、世の中全ての会社がAzure ADを使って仕事をしているわけではないですよね。例えば、連携したい会社がAzure AD以外のIDを使っていた場合はどうすればよいのでしょうか?
Azure AD同士じゃない場合に連携はできないの?
河野氏:「もちろん、Azure AD同士でなくとも、連携をすることができる。Azure ADだけではなく、GoogleアカウントやGithubアカウントを使っているユーザーとも簡単に連携を行うことができるよ」
Azure AD B2Bの場合には、Azure ADだけではなくGoogleやGithubアカウントを使っているユーザーとも連携ができるのか!
河野氏:「この仕組みはOAuth 2.0 protocolを使った連携によって実現しているんだよ。だから、Azure ADのサインイン画面でGoogleのユーザー名を入力すると、Google IdPで認証を行うようにGoogleの認証画面が再度現れるんだ。そこで、Googleアカウントの認証を完了すると、認証を完了したというトークン(証明書)がAzure AD側に送られるというような流れが発生する。このブログを参考にするとよい」
OAuth2.は、アクセストークンの要求とその応答を標準化したものでしたね。この仕組みを使っているから、Azure AD同士だけではなく、Azure ADと他のIDでも、安心・安全に連携をすることができるんだ。
今回のまとめ
今回は、自社のみだけではなく他社とのお仕事をする際に関わる、IDの仕組みについて学んできました。安心・安全な連携には、信頼関係が大前提で、これらを支えるフェデレーションの仕組みを活用しよう。Microsoftでは、Azure AD B2Bという機能でフェデレーションの仕組みを提供していて、Azure AD 同士はもちろんのこと、他のアカウントを使っているユーザーとも連携を実現できることが分かった!
日頃なんてことないファイルのやりとりを行っていたけれど、こうして安全にアクセスしたり、安心してデータを渡すことができたりしたのは、IDのおかげだったんだ。また一つ、IDについて知ることができたぞ! それにしても、IDという世界は奥が深いですね。IDマスターへの道はまだまだ遠そうです。また次回も専門家たちと一緒に学んでいきたいと思います。
※クリックすると拡大画像が見られます
ご紹介
マイクロソフトでは、アイデンティティ管理のツールとして、Azure AD を提供しています。今回のテーマでは、他社とのやり取りに必須な機能Azure AD B2Bについてもご紹介をさせていただきました。
その他にもAzure AD はアイデンティティ管理のためにさまざまな機能が備わっています。どんな機能が備わっているのか、どんな風に活用ができるのか。皆さんの気になるAzure ADにまつわる基本的な情報を、2018年より定期的に当社Azure AD エンジニアチームがWebinar 形式でご紹介をしております。 ウェビナーは全て本社開発チームのメンバーがプレゼンターとなり、日本語でのコンテンツとなります。過去開催したコンテンツは全て以下のURL より資料のダウンロードや録音内容の視聴が可能ですので、ぜひ気になった方はチェックしてみてください。
ウェビナーアーカイブProfile
Strategic alliance team Program Manager
佐藤沙里那氏
経歴:
2016年日本マイクロソフト株式会社に新卒入社。
法人営業部の流通・小売、商社、飲料業界チームに配属後担当営業として活動。
その後現在の部門に異動をし、SaaS アプリケーション業界での更なるAzure AD 技術活用の推進をする。
