Microsoft および F5 のお客様向けの ID フェデレーションと SSO

9 月の Microsoft Ignite からの勢いに乗って、Microsoft Active Directory Federation Services (AD FS) をご利用の皆さんに喜んでいただける理由があります。 信じられない気持ちになりますが、読み進めてください。きっと喜びが待っているはずです。   

AD FS の何がすごいのでしょうか? タイトルからお分かりのように、AD FS は、企業ネットワークからイントラネット、エクストラネット、クラウド アプリケーションへの ID フェデレーションとシングル サインオン (SSO) を実装するための Microsoft ソリューションです。 つまり、ユーザーは企業のログイン情報を使用して、組織外のアプリケーションにアクセスできます。 たとえば、AD FS を使用すると、ユーザーは Microsoft/Windows 環境からログインし、Office 365 や Salesforce や Box などの外部アプリケーションにシームレスにアクセスできるようになります。

おそらく、企業は何年も前からこれをやっていて、これは面白くないと思っているでしょう。 あなたが約束した喜びはどこにありますか？ もうすぐ始まります。頑張ってください。 AD FS の展開に慣れている人は、Microsoft Web アプリケーション プロキシ (WAP) にも精通している可能性があります。 WAP は、たとえば AD FS などの内部 (ファイアウォールの背後) アプリケーションへの外部アクセスを可能にする Microsoft のゲートウェイ製品です。 WAP は、Active Directory フェデレーション サービスとプロキシ統合プロトコル ( MS-ADFSPIP 、このブログに登場する最も長い頭字語になるでしょう) を使用した AD FS を具体的にサポートしています。 このプロトコルにより、必要な相互証明書ベースの認証と、AD FS サーバーと WAP 間の特定の情報の交換が可能になります。

外部ユーザーは、AD FS にアクセスするために WAP を経由する必要があります。 WAP は Windows サーバー上で実行されます。 これは複雑さとコストを追加する部分です。 これらのシステムは、オープンなインターネットに公開されるため、通常、負荷分散され、セキュリティが高度に構成されている必要があり、拡張のために多数のシステムが必要になる場合があります。

良いところはここです: F5 は、F5 BIG-IPプラットフォームで MS-ADFSPIP をサポートできるようにしました。これは、Microsoft 以外の製品としては初めてのサポートです。 これはどういう意味ですか？ Access Policy Manager (APM) を備えた F5 BIG-IP は、WAP サーバーとそれらをサポートするロード バランサーを置き換えることができます。 インターネットに公開されるように設計された安全なソリューションを使用して、AD FS をプロキシできます。 F5 を AD FS プロキシとして使用すると、DMZ 内のサーバーの数を減らし、展開を簡素化し、拡張を高速化しながら、MS-ADFSPIP を完全にサポートすることができます。

Microsoft のアイデンティティ部門プリンシパル グループ プログラム マネージャーである Samuel Devasahayan がエキサイティングなニュースを発表する Microsoft Ignite セッションをこちらでご覧いただけます。 喜びの涙が流れる音が聞こえてきそうです。