Windows Azure Active Directory プレビューの機能強化

このポストは、11 月 8 日に投稿された Enhancements to Windows Azure Active Directory Preview の翻訳です。

皆さん､こんにちは。

Windows Azure Active Directory プレビューの機能がさらに強化されました。今年 5 月のプレビュー版リリースに際して開発者の皆様からさまざまな反響をいただき、それから数か月間、マイクロソフトは、お寄せいただいたフィードバックやユーザーの皆様の使用状況データに基づき、改善に力を注いできました。

今回の更新では、次のような機能強化が行われました。

• ディレクトリ テナントにアプリケーションを登録するグラフィカル ユーザー インターフェイスの追加
• Web SSO での SAML 2.0 プロトコルのサポート
• Web SSO での WS-Federation プロトコルによるサインアウトのサポート
• Graph API での差分クエリのサポート
• Windows Azure Authentication Library (Windows Azure 認証ライブラリ) の更新 (100% マネージ コード化)
• ディレクトリ テナントとアクセス制御 (Access Control) 名前空間とのフェデレーション

アプリケーションから Windows Azure Active Directory への接続が簡単に

Windows Azure Active Directory プレビューの最初のリリースでは、アプリケーションに企業の Windows Azure AD テナントへのアクセス許可を付与するツールとして PowerShell が使用されており、管理者は Windows PowerShell 用 Microsoft Online Services モジュールをインストールする必要がありました。PowerShell も管理者によっては非常に使いやすいツールですが、クリック数回でアプリケーションへのアクセス許可の付与を実行できるようなグラフィカル　ユーザー インターフェイスも提供する必要があると考えられていました。

Web ベースのビジネス アプリケーション群を構築する企業開発者の方などは、単一のディレクトリ　テナントに対するシングル サインオンを必要とします。そうしたニーズに応えるため、今回、Visual Studio に拡張機能が追加され、開発プロセスの一部としてディレクトリ　テナント内のアプリケーションを登録する作業が容易になりました。この機能拡張は、ASP.NET の 2012 年秋の更新 (英語) の一環として実施されたものです。この更新で提供された Windows Azure AD 認証の拡張機能についての情報は、こちらのページ (英語) を参照してください。

さらにマルチテナントの SaaS アプリケーションの開発に対応した機能として、皆様のお客様がディレクトリ テナントへのアプリケーション登録を Web ベースで行えるようなインターフェイスを構築しました。お客様のディレクトリ テナントへのアクセスに必要な権限など、アプリケーションの詳細情報をマイクロソフトへ送信することにより、お客様がシングル　サインオンをセットアップし、ご使用のアプリケーションにサインアップする処理の中でディレクトリ テナントへのアクセス許可をアプリケーションに付与できるようになります。また、Windows Azure Marketplace でアプリケーションを公開して、お客様がアプリケーションを見つけ、機能の詳細を閲覧できるようにすることも可能です。

皆様にこの機会を活用していただけるよう、使用開始にあたって役立つリソースを作成しました。

• Windows Azure AD 開発者ポータル (英語): アプリケーション構築のチュートリアルを公開しています。
• サンプル アプリケーションを使用したガイダンス (英語): アプリケーションの構築方法と登録方法を学習できます。

マイクロソフトでは、この機能強化についてのご意見をお待ちしております。フィードバックやご質問は Windows Azure AD フォーラムまでお寄せください。

Windows Azure Active Directory 上の Web SSO に関する機能強化

Web SSO での SAML 2.0 プロトコルのサポート

Windows Azure AD 開発者プレビューに参加された多数の開発者から、SAML 2.0 フェデレーション プロトコルのサポートを求める声が上がりました。サインインに　SAML 2.0 を使用できる SaaS アプリケーションは既に多数存在しており、今回のサポート追加により、これらのアプリケーションの開発者にとって、Windows　Azure AD との統合が一層容易になりました。

この機能は、さまざまなアプリケーション プロバイダー様にご試用いただいたうえで、今回正式に提供できることとなりました。マイクロソフトでは、プロジェクトの進行に合わせて統合に関するドキュメントをさらに充実させる予定です。詳細については、Windows Azure AD での SAML 2.0 のサポートに関する MSDN ドキュメント (英語) を参照してください。

WS-Federation によるサインアウトのサポート

アプリケーションが　WS-Federation プロトコルを使用してシングル サインアウトを行う機能が新たにサポートされました。さらに、今後の更新では SAML 2.0 でのサインアウトもサポートされる予定です。

アプリケーション識別子として URI を使用可能に

開発者プレビューのリリース時に認識されていた問題の 1 つに、Windows Azure AD から送信されるトークンのオーディエンス フィールドが SPN 形式であり、アプリケーションの識別子とテナントの識別子の両方が含まれるという点がありました。一般的なフェデレーション　システムでは SPN 形式ではなく URI が使用されており、この形式への対応が待たれていましたが、今回の更新により、開発者プレビューでも URI をアプリケーション識別子として使用できるようになりました。これにより、受信するトークンのオーディエンス値として、"spn:<appID_GUID>@<tenantID_GUID>"　のような形ではなく、シンプルな "https://www.example.com" のような形式を使用できます。

注意 : 今回の更新版の展開前に Windows Azure AD に登録されたアプリケーションは、今後サインインの応答を受け取れなくなります。アプリケーションが適切に動作するように、必ず更新を適用してください。詳細については、こちらのフォーラムの記事 (英語) を参照してください。

差分クエリ : Graph で処理するオブジェクトの差分変更を取得

Graph API の機能の 1 つに、アプリケーションの対象ディレクトリの情報に基づいて処理を実行できるという点があります。差分クエリにより、対応が必要な情報のみをリッスンすることが可能になり、アプリケーションの速度が向上すると共に開発が容易になりました。

差分クエリ要求では、2 つの連続する要求の間に特定のエンティティに対して実施されたすべての変更が返されます。たとえば、差分クエリ要求を　1 度発行し、1 時間後に再度発行したとします。この場合、この 1 時間の間に、クエリが指定する範囲内のオブジェクトに対して実施された変更のみが返されます。この機能は、ローカルのアプリケーション　ストアでディレクトリのデータをキャッシュし、ディレクトリ内のコンテンツと同期させる必要がある場合に特に有効です。

マイクロソフトでは、このプラットフォームの新機能は、アプリケーション開発者の皆様にとって大変便利なものであると考えています。この機能を使用される際にお役に立つ次のようなリソースも用意していますので、ぜひご利用ください。

• 差分クエリに関する MSDN ドキュメント (英語)
• 差分クエリのデモンストレーション用サンプル アプリケーション (英語)

Windows Azure Authentication Library (Windows Azure 認証ライブラリ) プレビューの更新

マイクロソフトでは、リッチなアプリケーションの開発、および REST を使用した開発をさらに容易で安全にするための取り組みを継続して進めています。今回の更新では、Windows Azure 認証ライブラリ (WAAL) の一部が再リリース (英語) され、次の点が改善されました。

• ライブラリがすべてマネージ コードになりました。これにより、初回リリース時で問題となっていた混合モードの特性による制約が解消されました。その他、対象環境の　"ビット数" に関係なくライブラリを使用できるようになり、VC ランタイムも不要になりました。
• WAAL プレビューの初回リリースでは、クライアントと保護リソース機能の両方が同一パッケージに収められていました。このため、WIF　1.0 ランタイムへの依存、.NET 4.0 Client Profile を使用した開発ができないなど、さまざまな制約がありました。今回の更新では WAAL　がリファクタリングされ、クライアント ロールと排他的に動作するため、そのような制約がなくなりました。今後、個別のコンポーネントで保護リソース ロールを処理する機能も提供する予定です。詳細についてはしばらくお待ちください。

新しい WAAL の一部の機能は、既に他の製品で使用されています。ASP.NET の 2012 年秋の更新 (英語) で追加された Windows Azure Active Directory　の統合機能では、セットアップおよび公開の操作の一部で WAAL が使用されています。また、Graph API へのセキュアな呼び出しを実行する新しいサンプル アプリケーションにも WAAL が使用されています。

近日中に WAAL のサンプル集を、完全にマネージ コードのみとなった新しいパッケージに対応させる予定です。同時に、現行の x86 および x64 専用のパッケージは提供を終了します。

ディレクトリテナントと Windows Azure アクセス制御 (Access Control) 名前空間とのフェデレーション機能

Windows Azure AD のアプリケーション識別子の処理方法が変更されたことにより、Windows Azure アクセス制御サービスの名前空間でディレクトリ テナントを ID プロバイダーとして使用できるようになりました。この新機能により、ディレクトリ テナントが発行した組織の ID と Facebook、Google、Yahoo!、Microsoft　アカウント、およびその他の OpenID プロバイダーが発行したコンシューマー ID の両方を Web アプリケーションで承認するなど、待望されていたさまざまなシナリオが実現できるようになります。このようなシナリオの実装方法についての詳細は、こちらの記事 (英語) を参照してください。

開発者プレビューの今後の変更について

皆様からのフィードバックにお応えし、新機能の追加や既存の機能の拡張を行う過程で、プレビュー版の仕様を大幅に変更する場合があります。既に Windows Azure Active Directory でアプリケーションを開発している、または開発を計画中の皆様は、定期的に Windows Azure Active Directory のフォーラムに目を通し、更新情報を確認してください。

ご意見をお待ちしています

マイクロソフトでは、今回の機能強化について、ユーザーの皆様からのご意見をお待ちしております。実際に動いている様子をご覧になりたい方は、BUILD 2012 カンファレンスで実施された Vittorio　Bertocci のプレゼンテーション (英語) をご視聴ください。

最後に、Windows Azure　Active Directory のご利用について、少し補足しておきます。Office 365 では既に Windows Azure Active Directory テナントが全面的に使用されていることを知ると、驚く方が多いようです。Windows Azure Active Directory は、現時点でマイクロソフトのさまざまなクラウド　サービスで使用されていますが、開発者プレビューを通じて、さらに他のアプリケーションでもこれらのディレクトリ テナントを活用できるようになります。マイクロソフトのプロビジョニング システムを使用して、"スタンドアロン" のディレクトリ テナントを取得することもできます。

ぜひフォーラムにもご参加ください。

最後までお読みいただき、ありがとうございました。

Alex