-
- いいね!3
Kaoru Maeda 前田 薫
@mad_p
ふじえさん: デバイスの種類、アプリの種類に依存しないSSO。Win8のタイルアプリなど、PCで作ったアプリもPhoneで動きますよ、というのをめざしていたUniversal → これが実装されてきている #idcon
2015-05-27 19:52:38
Kaoru Maeda 前田 薫
@mad_p
ふじえさん: ブラウザを落としてもSSOできる、トークンの引つぎができる。ネイティブアプリとの間のトークンの引き渡し(カスタムスキーム経由)。このへんが実装できている #idcon
2015-05-27 19:53:20
Tatsuo Kudo
@tkudos
#idcon @phr_eidentity: ブラウザを落として上げてもSSOできる。デバイスのオンオフとトークンの引き継ぎ
2015-05-27 19:53:37
Kaoru Maeda 前田 薫
@mad_p
ふじえさん: 登録されたWindows 10デバイスが、どんなネットワークからでも社内サービス、クラウドサービスに対して認証して使うことができる #idcon
2015-05-27 19:54:11
Kaoru Maeda 前田 薫
@mad_p
ふじえさん: ドメインコントローラなしでも使える。デバイス登録/デバイスへのログイン/アプリアクセスの3ステップで #idcon
2015-05-27 19:55:56
Kaoru Maeda 前田 薫
@mad_p
ふじえさん: Device Registration。DRSによる証明書発行とプロビジョニング。Key Pairの生成とTPMへのストア、Azure ADへの公開鍵登録 #idcon
2015-05-27 19:57:07
Tatsuo Kudo
@tkudos
#idcon @phr_eidentity: 3ステップ。まずデバイス登録(Azure AD Join)、PCを買ってきたときにDCへの参加やってたけど、それがAzure ADへの登録に。鍵のプロビジョニングやったりとか。NGC KEY-IDもらえる。「次世代資格情報」
2015-05-27 19:57:10
Kaoru Maeda 前田 薫
@mad_p
ふじえさん: User Logon: ストアされたNGC KEY-IDと秘密鍵へPIN/生体情報を使ってアクセス(Windows Hello)、チャレンジに署名、primary refresh tokenを得る #idcon
2015-05-27 19:58:12
Tatsuo Kudo
@tkudos
#idcon @phr_eidentity: 次、ユーザーがログインするとこ。鍵をあけるところがWindows Hello。サインイン要求してPrimary Refresh Tokenもらう
2015-05-27 19:58:13
Tatsuo Kudo
@tkudos
#idcon @phr_eidentity: 3ステップ目、PRTをAzure ADに渡すとATがもらえて、それを使ってアプリケーションにアクセスしにいく
2015-05-27 19:58:40
Kaoru Maeda 前田 薫
@mad_p
ふじえさん: Application Access: キーとなるのはprimary refresh token。Azure ADへPRTを送付してaccess tokenを受けとる。access tokenを使ってアプリにアクセス #idcon
2015-05-27 19:58:50
Tatsuo Kudo
@tkudos
#idcon @phr_eidentity: IdP Store / TPM、IdPに対するプラグインモデルになっている
2015-05-27 19:59:55
Kaoru Maeda 前田 薫
@mad_p
ふじえさん: デバイスにIdP Storeがあり、複数IdPに対するキーペアをストアできる(DRSで証明書を発行)。クラウド側のKey Registration Serviceに公開鍵を登録 #idcon
2015-05-27 20:00:40
Kaoru Maeda 前田 薫
@mad_p
ふじえさん: デバイス登録時、AD側で設定したポリシーがデバイス側に適用される。TPMアクセスのためのPINを登録するフローなどが発生 #idcon
2015-05-27 20:01:22
Tatsuo Kudo
@tkudos
#idcon @phr_eidentity: PCのキッティングするときに、Azure ADのアカウント入れて(ではなく、たとえばAzure ADと連携してるOpenAMのアカウント入れたりもできる)、鍵をあけるPINを登録
2015-05-27 20:01:27