ふじえさん: デバイスの種類、アプリの種類に依存しないSSO。Win8のタイルアプリなど、PCで作ったアプリもPhoneで動きますよ、というのをめざしていたUniversal → これが実装されてきている #idcon
2015-05-27 19:52:38ふじえさん: ブラウザを落としてもSSOできる、トークンの引つぎができる。ネイティブアプリとの間のトークンの引き渡し(カスタムスキーム経由)。このへんが実装できている #idcon
2015-05-27 19:53:20#idcon @phr_eidentity: ブラウザを落として上げてもSSOできる。デバイスのオンオフとトークンの引き継ぎ
2015-05-27 19:53:37ふじえさん: 登録されたWindows 10デバイスが、どんなネットワークからでも社内サービス、クラウドサービスに対して認証して使うことができる #idcon
2015-05-27 19:54:11ふじえさん: ドメインコントローラなしでも使える。デバイス登録/デバイスへのログイン/アプリアクセスの3ステップで #idcon
2015-05-27 19:55:56ふじえさん: Device Registration。DRSによる証明書発行とプロビジョニング。Key Pairの生成とTPMへのストア、Azure ADへの公開鍵登録 #idcon
2015-05-27 19:57:07#idcon @phr_eidentity: 3ステップ。まずデバイス登録(Azure AD Join)、PCを買ってきたときにDCへの参加やってたけど、それがAzure ADへの登録に。鍵のプロビジョニングやったりとか。NGC KEY-IDもらえる。「次世代資格情報」
2015-05-27 19:57:10ふじえさん: User Logon: ストアされたNGC KEY-IDと秘密鍵へPIN/生体情報を使ってアクセス(Windows Hello)、チャレンジに署名、primary refresh tokenを得る #idcon
2015-05-27 19:58:12#idcon @phr_eidentity: 次、ユーザーがログインするとこ。鍵をあけるところがWindows Hello。サインイン要求してPrimary Refresh Tokenもらう
2015-05-27 19:58:13#idcon @phr_eidentity: 3ステップ目、PRTをAzure ADに渡すとATがもらえて、それを使ってアプリケーションにアクセスしにいく
2015-05-27 19:58:40ふじえさん: Application Access: キーとなるのはprimary refresh token。Azure ADへPRTを送付してaccess tokenを受けとる。access tokenを使ってアプリにアクセス #idcon
2015-05-27 19:58:50#idcon @phr_eidentity: IdP Store / TPM、IdPに対するプラグインモデルになっている
2015-05-27 19:59:55ふじえさん: デバイスにIdP Storeがあり、複数IdPに対するキーペアをストアできる(DRSで証明書を発行)。クラウド側のKey Registration Serviceに公開鍵を登録 #idcon
2015-05-27 20:00:40ふじえさん: デバイス登録時、AD側で設定したポリシーがデバイス側に適用される。TPMアクセスのためのPINを登録するフローなどが発生 #idcon
2015-05-27 20:01:22#idcon @phr_eidentity: PCのキッティングするときに、Azure ADのアカウント入れて(ではなく、たとえばAzure ADと連携してるOpenAMのアカウント入れたりもできる)、鍵をあけるPINを登録
2015-05-27 20:01:27