Windows Azure Active Directory 開発者プレビューを公開


このポストは、7 月 13 日に投稿された Announcing the Developer Preview of Windows Azure Active Directory の翻訳です。

本日、マイクロソフトは、Windows Azure Active Directory 開発者プレビューを公開いたします。

John Shewchuk がブログの記事「ソーシャル エンタープライズに向けた Active Directory の見直し」で説明しているように、Windows Azure Active Directory (AD) はアプリケーション開発者、企業、および組織向けのクラウド ID 管理サービスです。現在、Windows Azure AD は、既に Office 365、Dynamics CRM Online、および Windows Intune の ID システムとして利用されています。Windows Azure AD は、25 万を超える企業や組織で使用されており、1 週間に数十億回の認証処理を行っています。この開発者プレビューでは、Windows Azure AD をサード パーティに開放し、サービスとしての ID 管理を真の意味で実現するためのプロセスを開始します。

Windows Azure AD は、ユーザー ID を保存および管理するためのユーザー指向のクラウド サービスをソフトウェア開発者に提供します。これは、世界水準のセキュアな標準ベースの承認システムおよび認証システムにより実現されています。Windows Azure AD は、.NET、Java、および PHP をサポートしており、ソフトウェア開発者が現在使用している主要なすべてのデバイスおよびプラットフォームで使用できます。

もう 1 つの大きな特徴として、Windows Azure AD では、企業や組織がそれぞれのクラウド ベースのアプリケーションやリソースへのアクセスを管理するために、独自のクラウド ベースのディレクトリが作成されます。また、Windows Azure AD は、オンプレミスの Active Directory との同期およびフェデレーションを実施します。これにより、Windows Server Active Directory のメリットをクラウドでも同様に活用できます。

本日の開発者プレビューのリリースは、このビジョンを実現するための第一歩です。これまでの開発の成果を皆様と共有できることができて光栄です。この件について、皆様からのご意見やご感想をお待ちしております。

Windows Azure AD 開発者プレビューでは、次の 2 つの機能について開発者の皆様にプレビューをご利用いただけます。

  • Graph API
  • Web シングル サインオン

このプレビュー版では、新しい REST API、一連のデモンストレーション用アプリケーション、試用版の Windows Azure AD テナントの取得方法、運用を開始するために必要なドキュメントが開発者に提供されます。また、このプレビュー版を使用して Windows Azure AD と統合されたクラウド アプリケーションを構築すると、Office 365、お客様が作成したアプリケーション、およびディレクトリと統合されたその他のアプリケーションとの間でシングル サインオン機能を利用できます。さらに、これらのアプリケーションから、Windows Azure AD に格納されている Office 365 のユーザー データにアクセスすることもできます (アプリに IT 管理者やユーザーとしての必要なアクセス許可が付与されている場合)。

Graph API

John Shewchuk が執筆したブログの最新記事で説明しているように、Graph API を使用すると、Windows Azure AD と Office 365 (および Windows Server AD) に格納されているエンタープライズ ソーシャル グラフがインターネット上で利用可能になります。また、各種の新しいコラボレーション アプリケーションを作成する機会が広がります。

このプレビュー版では、以下の機能が追加されました。

  • Graph API REST インターフェイス (およびメタデータ エンドポイント)。これは、Windows Azure AD 内のデータを読み取るための大規模な API セットを提供するものです (プレビュー版で利用可能なデータの詳細な一覧については、下記のドキュメントをご覧ください)。
  • PowerShell コマンドレット。これは、テナントから Windows Azure AD への読み取りアクセスをアプリケーションに許可するものです。
  • OData のサポート。これにより、Visual Studio やその他のマイクロソフト製テクノロジとの迅速な統合が可能になります。
  • .NET 向けの詳細なコード チュートリアル。アプリケーションに Graph API を追加する方法を説明しています。

Graph API の基本的な使用方法については、以下のドキュメントを参照してください。

Windows Azure AD Graph API の詳細については、これらのトピックに関する MSDN のページを参照してください。

今回のリリースはプレビュー版であることにご注意ください。現時点から正式リリースまでの間に、API や機能は変更される予定です。現在、Graph API は読み取り専用の機能を提供しており、現時点で利用できるのは Windows Azure AD データのサブセットのみです。今後数か月の間に、より多くのデータ、追加の OData フィルター、ロール ベースのアクセス制御、および書き込み操作のサポートを追加する更新プログラムを提供する予定です。

Web シングル サインオン

Graph API のプレビュー リリースをサポートするために、Windows Azure AD の SSO 機能のプレビューもリリースされています。この 2 つの機能を組み合わせると、ドメインに参加している PC、オンプレミスのサーバー、および Office 365 などのその他のクラウド アプリケーションにログオンするユーザーがシングル サインオン (SSO) 機能を使用するためのクラウド アプリケーションを、容易に作成できます。Windows Azure AD によって SSO を実現すると、企業や組織では、クラウド アプリケーションへのユーザーのアクセスを容易に管理できます。この際、新しいユーザー資格情報を取得および管理するためのコストや労力が新たに必要となることはありません。

このプレビュー リリースでは、以下の機能を提供しています。

  • STS メタデータ エンドポイント。Windows Azure AD をアプリケーションに統合する際に使用します。
  • WS-Federation プロトコルのサポート。SAML 2.0 トークンを使用します。
  • PowerShell コマンドレット。アプリケーションで SSO を実行するための Windows Azure AD テナントを構成します。
  • PHP、Java、および .NET 向けの詳細なコード チュートリアル。アプリケーションに対する SSO 機能を説明しています。

今後数か月間に、SAML 2.0 他のインターネットで一般的に使用されている認証プロトコルをサポートするために、対象プロトコルを拡大する更新プログラムをリリースする予定です。

コード サンプルとデモンストレーション用アプリケーションについては、以下のリンク先を参照してください。

理解を深めるために: Windows Azure AD デモンストレーション用経費清算アプリケーション

Windows Azure AD の機能を紹介するために、経費清算のサンプル アプリケーションを開発しました。このアプリケーションでは、Web SSO と Graph API を使用して、Office 365 をご利用のお客様にシームレスなサインオンおよび管理の機能を提供しています。

このアプリケーションはプラットフォームの改善にあわせて更新してまいります。サンプル アプリケーションおよび今後の更新プログラムはご自由にご利用ください。また、フィードバックのご協力をお願いいたします。

最初の一歩

お客様のご意見、ご感想はマイクロソフトにとって重要なもので、Windows Azure AD プラットフォームを構築するにあたって、適切な機能と適切な開発者向けのエクスペリエンスを提供しているかどうかを確認するために使用させていただいています。

本日、下記の資料を公開いたします。Windows Azure AD 開発者プレビューの使用方法をご理解いただくためにお役立てください。

これらのリソースは、新しい API を使用して Windows Azure AD にアクセスする方法を理解したり、提供される機能や Web ベースのアプリケーションで SSO を有効にする方法について学習したりする上で大変有用なものです。どうぞご活用ください。

検討の必要がある既知の問題点

繰り返しになりますが、これは初期段階のプレビュー版であるため、デモンストレーション アプリケーションやコード サンプルを使用しているときに、現在修正中の問題が発生する可能性があります。ここでは、お客様が短期間で使用方法を習得できるように、これらの問題点をまとめました。

テナント管理者がアプリケーションを承認する際に PowerShell の使用が必須である。

このプレビュー リリースでは、管理者がアプリケーションで Windows Azure AD テナントを操作できるようにするためのツールとして、このリリース用に更新された Microsoft Online Services Module for Windows PowerShell を利用しています。ドキュメントのサンプルでは、管理者用にこの作業の大部分を自動化する PowerShell スクリプトを作成しましたが、このアプローチには限界があることを認識しており、将来のリリースではグラフィカルな承認インターフェイスを提供できるように作業を進めています。

オーディエンス URI がテナントによって異なる。また、spn: 形式である。

Windows Azure AD 開発者プレビューでアプリケーションの SAML 2.0 トークンを発行すると、トークン内のオーディエンス URI には、アプリケーションの識別子だけではなく、アプリケーションの識別子とテナントの識別子が含まれます。Windows Identity Foundation ベースのアプリケーションで、このテナントによって異なるオーディエンス URI を処理するには、WIF に対する機能拡張コードが必要です (Web SSO のサンプルにはこの機能が含まれています)。また、オーディエンス URI は、一般的なアプリケーションの URL の形式ではなく、spn: 形式です。現在、修正作業を進めており、将来の更新プログラムではこの形式が簡素化される予定です。

例:

SAML トークンに AuthenticationStatement が含まれていない。

このプレビュー版で発行される SAML 2.0 トークンには、AuthenticationStatement が含まれていません。フェデレーション ソフトウェアの実装によっては、トークンに AuthenticationStatement が含まれていることが必要な場合があります。この場合、今回のプレビュー リリースと相互運用できない可能性があります。

完成への道のりは遠く、まだ多くの課題が残されています。開発作業が適切に進められているかどうかを見極める上で、皆様からのフィードバックは大変重要です。これからも Windows Azure AD の機能を向上させるための取り組みを続けていきますので、皆様からのご意見、ご感想をお寄せいただきますと共に、今後リリースされる更新プログラムもぜひお試しくださいますようお願いいたします。

最後までお読みいただき、ありがとうございました。

Alex Simons (Active Directory 部門 Program Management 担当ディレクター)

Comments (0)

Skip to main content