AD FS 2.0によるクラウドアプリケーションへのSSO
マイクロソフト株式会社 安納 順一 氏
本日のテーマ
アプリケーションがクラウドにスケールアウトしたとき、認証と承認の仕組みがどう変わるのか、シングルサインオンは可能なのかについてお話します。
クレームベース セキュリティ
例えば、ある申請者がアメリカに入国する場合には、日本国政府からパスポートを発行してもらいます。米国の入国管理局では、パスポートの他に本人確認や滞在期間の確認などを行い、その人物が入国可能であるかを審査します。このプロセスの中で、米国政府が日本国政府に、あるいは入国管理局が米国政府に問い合わせていない点に注目してください。
これが、クレームベース セキュリティ モデルです。クレームプロバイダ(日本国政府)が、サブジェクト(申請者)に対するセキュリティ トークン(ユーザID、権限などの属性群と発行元による署名)を発行し、リソース(入国管理局)は、トークンのみでアクセス認証を行います。リソースはリライングパーティ(米国政府)を、リライングパーティはクレームプロバイダを信頼しており、リソースがリライングパーティやクレームプロバイダに問い合わせることはありません。このモデルの特徴として、処理が軽い点が挙げられます。
フェデレーション セキュリティ
クレームベース セキュリティ モデルを使用して、ID(セキュリティ トークン)とIDを対応付けることをフェデレーション アイデンティティといいます。
例として、あるレンタルビデオ店の会員がガソリンスタンドを利用する場合を想定します。
レンタルビデオ店(クレームプロバイダ)の会員証(ID)には、クレジットカード会社(クレームプロバイダ)が発行したクレジットカード(ID)が結び付けられており、この複数のID(セキュリティ トークン)を元にガソリンスタンド(リライングパーティ)が認証し、会員のロール(権限)を決定し、会員にサービスを提供します。ガソリンスタンドはレンタルビデオ店とクレジットカード会社を信頼しており、認証ごとに問い合わせることはありません。
SSOを実現するための構成要素
SSO(シングルサインオン)を実現するために、次の要素があります。
・AD DS (Active Directory Domain Service):認証サーバ。ユーザ認証、AD FS 2.0サービスを認証
する。
・AD FS 2.0 (Active Directory Federation Service):STSに代表される複数のサービスで構成され
る。STSは、クレームプロバイダ側では、AD認証されたユーザに対してセキュリティトークンを
発行、リライングパーティ側では、受け取ったトークンをアプリケーションに渡す。
・AD DS/ldap/SQL Server:クレームストア。セキュリティ トークンに組み込むトークン(ユーザ属性)
が格納される。
・WIF (Windows IdentITy Foundation):AD FSに対応したアプリケーションを作成するときに使用
する開発用のフレームワーク。
AD FSは、クレームプロバイダ、リライングパーティのそれぞれに配置します。企業内であれば、より簡易な構成として、クレームプロバイダにのみ配置することも可能です。この構成はクラウド アプリケーションであっても変わりません。
また、AD FSはSAML 2.0などの他社製品とも相互運用が可能です。
アプリケーション開発の観点からは、プロトコルの解析やユーザの認証を行わずに、情報の評価(ロールは何か)をするだけでよいという利点があります。
まとめ
信頼できるID基盤を用意しましょう。AD FS 2.0により、クラウド環境下でのSSOが可能になります。
オープンソース標準化時代のクラウド基盤 Red Hat Enterprise
Linux 6
レッドハット株式会社 中井 雅也 氏
レッドハットの製品戦略
有償Linux市場のシェア84%を有するレッドハットですが、選ばれるのには理由があります。クラウド的基盤が増えていく中で、ハードからソフト(オープンソースも含め)まで自由に選べる“互換性”、“相互運用性”が支持される理由の一つです。
現在使われているクラウド基盤には、多分にオープンソースが使われています。オープンソースを選択することにより、コスト削減効果が期待でき、特にミドルウェアのコスト削減は効果が大きく、ミドルウェアのオープンソース化でコスト削減を成功させている事例が多くあります。
また、ミッションクリティカルな分野への普及も進んでいます。JBoss製品群もクリティカルな使われ方が始まっています。オープンソースによるPaaS(Platform as a Service)環境の実現がレッドハットのフォーカスポイントの1つです。
レッドハットが目指すクラウドとは、“オープンなクラウド”です。80年代、IT基盤はハードからソフトまでメーカーごとに決まった時代でした。互換性がなく、最適なハードと最適なソフトを業務特性に応じて組み合わせることができませんでした。クラウド時代においてこのようなことにならぬよう、レッドハットは自由な選択が可能なクラウドを目指します。
また、クラウド環境においてシームレスにつながることが求められていると考えています。アプリケーションの配置は業務特性に応じて決めるといったように、使い分けが重要になっています。クラウド環境を問わないポータビリティの実現も、目指すクラウドの一部です。異なるクラウド、異なる仮想化環境でも、ニーズに合わせて自由自在に再配置可能にするポータブルコンピューティングの実現に向け、クラウドエンジンの開発にも力を注いでいます。異なる仮想化環境ですとイメージのコピーだけでは動かせませんが、このメタクラウドAPIを利用すれば、異なるクラウドでも同じ操作、管理方法で利用できるようになります。
上記のことを踏まえ、レッドハットの今後一年の方向性として、以下の2つの言葉に集約されます。
・PaaSの充実
・アプリポータビリティの実現
最新版 Red Hat Enterprise Linux 6
2010年11月にリリースした、Red Hat Enterprise Linux 6(以下、RHEL6)は“今後10年を見据えた”OSです。10年後に使用されるであろうハード、環境にも合うように設計されています。
OSなので、“コンピュータのリソースをいかに巧く使うか”が評価の目安となりますが、ハードをいかに“使い切る”かということを強く意識した製品となっています(CPU然り、メモリー然り)。また、ネットワーク性能やパワーマネージメント性能などにおいても、従来と比べ向上しています。
Linuxは、ハードを使い切ることが得意と言われていますが、別のアプリへの転用が可能なところも利点の1つです。RHEL6は良好なスケーラビリティ、小さい仮想化オーバヘッドを実現しています。つまり、RHEL6を利用すれば、さらにビジネスに労力を傾けられるようになるということです。
特に仮想化については、仮想化機能であるKVM(Kernel based Virtual Machine) をさらにパワーアップしました。アプリの処理内容(業務特性)によって動的プライオリティ付けが可能となっており、メインフレームのような感覚で利用することができます。
このKVMですが、RHEL6のパッケージから仮想化の統合を行っており、KVMを利用するための機能を標準搭載しています。
上記のように仮想化を意識した製品構成となっていますが、この他にもクラウド環境に対応した高度な運用機能を提供するGUI管理ツールRed Hat Enterprise Virtualization、また昨今注目を浴びつつある仮想化デスクトップ環境をサポートするシンクライアントソリューションRed Hat Enterprise Virtualization for Desktopsなどをご用意し、“Open Standard Software”が主流となるであろう、クラウド時代のビジネス要件に対応する、最適な環境を選択可能としています。
仮想化、クラウドを包含するシスコの新データセンター戦略
シスコシステムズ合同会社 小坂 哲也 氏
データセンターの市場
IT部門やデータセンターを取り巻く環境には、さまざまな問題点があります。とりわけ、限られた予算の中でいかに新しい取り組みを行えるかという課題があります。クラウドも多くの問題を抱えています。コストや柔軟性には優れていますが、一方でセキュリティ、SLA、相互接続性に弱点を抱えています。シスコのネットワークプラットフォームでは、これらの弱みを強みに変えながら、クラウドの潜在能力を最大限に活用することが可能となります。
Cisco Data Center Business Advantage
Cisco Data Center Business Advantageとは、2007年にシスコが発表したデータセンター3.0を進化させ、ビジネスへの貢献をより明確に意識した新たな戦略、そしてアーキテクチャフレームワークです。シスコの強みであるスイッチングやセキュリティ、ストレージ、またはコンピューティングなどの製品を組み合わせた“システム”をベースとして、ソリューションを提供しています。
このフレームワークを支える新たな柱として、既存のユニファイドコンピューティング、ユニファイドファブリックに加えて、新たにユニファイドネットワークサービスを発表しました。ユニファイドネットワークサービスは、データセンターネットワーク、サーバ環境のアプリケーション配信、セキュリティサービスの提供方法を統合した新たなサービスで、どのような展開モデルにも適合する柔軟性と選択肢を提供しています。
セキュリティおよびアプリケーション高速化を動的に行うサービスとして、Cisco Virtual SecurITy Gateway と Cisco virtual WAASがあり、どちらもハイパーバイザー上のNexus 1000Vで動作するソフトウェアです。Cisco Virtual SecurITy Gatewayはオペレーションの簡素化、柔軟なシステム展開、一貫したセキュリティポリシーをVMレベルで実現して、法準拠と監視の強化を実現します。Cisco virtual WAASは業界初のクラウド対応WAN最適化ソリューションで、クラウドインフラからのアプリケーション提供を高速化し、オンデマンドオーケストレーションによってきめの細かいサービス提供と柔軟なシステム展開が可能となります。
社内事例
シスコでは開発者向けのデータセンターが多く存在し、運用や利用方法が異なっていました。そこで、データセンターの仮想化と自動化を進め、シスコが提供するプライベートクラウド、CITEIS(Cisco IT Elastic Infrastructure Services)を開発者向けに適用しました。利用したい人が社内のポータルサイトを通じてリクエストすることで、導入までの期間が短縮され、さらにTCOを削減することに成功しました。
クラウドの進化
ハイブリッドクラウドはプライベートとパブリック双方の利点を享受できるクラウドの進化した形です。そこには、必ずネットワークが介在しています。ハイブリッドクラウドの主な要件であるセキュリティ、サービスの信頼性、コントロール、準拠性、相互運用性を実現するため、プラットフォームとしてのネットワークを利用することが企業としてのクラウド戦略における重要なカギとなります。
まとめ
Cisco Data Center Business Advantageは各地に分散しているデーセンターの統合化・仮想化・自動化・クラウド対応を支える新たなデータセンターアーキテクチャであり、お客様のデータセンターの資産を戦略的かつビジネスへの価値に繋げるためのソリューションを実現します。
VMwareで実現する“IT as a Service”
ヴイエムウェア株式会社 斉藤 竜太 氏
VMwareの紹介と日本市場におけるFocusエリア
VMwareは仮想化およびクラウドインフラストラクチャのグローバルリーダとして、コストを大幅に低減し、より柔軟かつ俊敏にサービスを提供しながら、ITの複雑性を低減するソリューションを提供しています。日本では5800社様以上のお客様がご導入いただいており、本年度は本番環境適応での拡大からミッションクリティカルな環境への導入が増えました。
日本市場における今後のFocusエリアは、以下3点が挙げられます。1つ目はVMwareユーザ会の設立、2つ目は中堅・中小企業様への仮想化導入支援の強化に向けたWebサイト「IT価値創造塾」の開設、3つ目は仮想化の先にあるクラウドを実現するための製品群(VMware vCloud Director)の投入です。
仮想化の歴史とクラウドへのステップ
2010年は仮想化システム数が物理システム数を超え、仮想化の歴史におけるマイルストーンとなった年でした。仮想化が普及した背景には、既存システムの膨大な保守費用により新規ITインフラの導入が行えず、早いビジネスの変化に対応できないという問題があります。そのため、ITのモデルチェンジが求められており、まずは仮想化、そしてその先にクラウドの導入が検討されています。実際に仮想化を導入されたお客様では、保守コストの削減や運用管理の容易化、新規サービスの迅速な対応というメリットを感じられています。
今後はクラウドへのステップとして、まずは仮想化に慣れ、仮想化したITインフラの構築やアプリケーションの開発を進め、クラウドへの移行の準備を進めることが重要になってきます。また、VMwareでは「IT as a Service」はITの生産性をビジネス利用のために最適化することであると考え、ITにより素早く柔軟にビジネスニーズに対応することを目的とし、それがクラウドによって可能になると考えています。
VMware製品戦略
VMwareでは新しい機能や既存のアプリケーション、SaaSアプリケーションまたはさまざまな端末を組み合わせた新しいIT環境の実現に向けて、3つのソリューション分野での展開を考えています。
1つ目はクラウドインフラストラクチャおよび管理製品です。ポリシーベースでアプリケーションのSLAを自動で管理する運用を目指して、vSphereによるリソースプールからアプリケーションに必要なリソースを割り当てる柔軟で迅速なITサービスの生産性の最適化、最新のvSphere 4.1での大規模な環境に適した機能の拡張、VMware DRSによるリソースの負荷状況に応じた仮想サーバの自動再配置機能の提供が挙げられます。
2つ目はクラウドアプリケーションプラットフォームという仮想化に最適なアプリケーション構築、実行および管理するための基盤の提供です。2011年にはセールスフォース様よりVMforceがサービスとして提供される予定です。
3つ目はエンドユーザーコンピューティングへの変革です。VMware Viewによる仮想デスクトップソリューションは、ユーザ様が端末にとらわれず自由にアプリケーションを利用できるような機能の提供をしています。
今後のITインフラでは、クラウドへの移行に向け使用用途と目標を明確にし、まずは仮想化環境で管理が容易で堅牢なITインフラを構築すること、そして仮想化、クラウドにより、コストを削減するだけでなく柔軟で迅速なITインフラの提供により、企業の競争力を向上させることが重要になります。
~IIM REPORT No.253(2011年2月号)より抜粋 |
