御成門プログラマーの日記

Microsoft AzureやAngularなどの技術情報を発信します

Microsoft Tech Summit 2018 セッション要約「開発部門が手掛けた Azure AD B2B 大規模展開 in Japan ~表面化した課題とそれらを解決する新機能・ロードマップ~」

登壇者情報

Microsoft Corporation
Identity Division
Principal Program Manager

山下さん

セッション内容まとめ

ばらばらだったアプリケーション認証基盤を統廃合した事例の話

f:id:tt-suzukiit:20181115190236p:plain 複数の認証基盤があると、セキュリティレベルが統一されず、
管理、サポート、管理が大変だった。

f:id:tt-suzukiit:20181115190401p:plain そこでAzureADで認証基盤を統一しようというお話

f:id:tt-suzukiit:20181115190611p:plain 構成図的には感じ。
内部の社員であろうが、外部のゲストであっても同じレベルのセキュリティを保つ仕組み。

認証基盤をAzureADにして発生した問題

f:id:tt-suzukiit:20181115190937p:plain

  1. 招待メールの見落とし
    →追加予定のジャストインタイム承認承諾機能が追加されれば解消する。
    要Azureアカウント

  2. b2bを利用できないアカウントを使用
    招待相手がAzureADまたはMicrosoftAccount(MSA)ユーザー出ない場合、 MSAの作成が促されるため、パスワードを2重管理する必要が出てきてしまう。 f:id:tt-suzukiit:20181115191805p:plain

課題をまとめると

f:id:tt-suzukiit:20181115192048p:plain 課題をそれぞれ下記のように名前付け
1.2 部分同期問題
2 悪の非管理テナント問題
3 MSA作れよ問題

b2bアカウントを利用できない課題の解決ロードマップ

f:id:tt-suzukiit:20181115192443p:plain この機能使えば解決できるんじゃない!!
1.2 部分同期問題→ワンタイムパスコード
2 悪の非管理テナント問題→ダイレクトフェデレーション、ワンタイムパスコード
3 MSA作れよ問題→ワンタイムパスコードGoogleフェデレーション

  • ワンタイムパスコード
    ワンタイムパスコードをメールアドレスで受け取ることができるので、
    ゲストはパスワードを新たに覚える必要がない。 f:id:tt-suzukiit:20181115192817p:plain

  • ダイレクトフェデレーション f:id:tt-suzukiit:20181115193056p:plain 直接企業のADにフェデレーションする。
    管理が大変で大企業向け、中小企業にはベビー。

  • Googleフェデレーション f:id:tt-suzukiit:20181115193233p:plain MSAを作らず、Gmailアカウントをそのまま利用できる。

B2B関連の機能について
  • 条件つきアクセスで利用条件の同意を要求
    外部のゲストと一人一人、利用契約をしてから登録を行うのは面倒 f:id:tt-suzukiit:20181115193636p:plain AADの条件付きアクセスで利用条件の同意を要求することができる。

  • アクセス権のチェック「アクセスレビュー」機能
    f:id:tt-suzukiit:20181115193917p:plain アクセス権を一覧でレビュー
    レビューする人を自由に設定可能
    本人に「このアクセス権いりますか」って聞くような使い方もできる。

  • ゲスト自らアクセス申請「ntitlement management」
    f:id:tt-suzukiit:20181115194319p:plain

AzureADの理想

f:id:tt-suzukiit:20181115194449p:plain 全てをAzureADに連携させよう。

以上です。他のセッションもまとめています

onarimonstudio.hatenablog.com