Microsoft Passportが面白いのは、認証サーバからトークンを受け取れば、そのトークンを使って認証サーバと連携している他のサービスにもシングルサインオン(SSO)によってアクセスできることだ。SalesforceやGoogle Appsなどのサービスを利用する場合でも、最初にAzure ADで認証されていれば、他のサービスへのアクセス時にIDやパスワードなどを入力しなくてもいい(他のサービスとAzure AD間では業界標準のプロトコルが採用されている)。
Microsoft Passportの利用では幾つか注意がある。1つはクライアントデバイス側にTPMデバイスが必須という点だ。もう1つは、現状のオンプレミスの認証サーバとなるADドメインサービス(AD DS)がFIDOに対応しておらず、秘密鍵/公開鍵といったセキュリティ強度の高いシステムをサポートしていない点である。
つまり、いまの段階でMicrosoft Passportを利用できるのはコンシューマー向けのMicrosoftアカウント、Azure AD、FIDOをサポートしている他のサービスだけだ。Microsoftもこのあたりを認識しているようだ。2016年にリリースするサーバOSの最新版「Windows Server 2016」ではAD DSを全面的に変更して、FIDOをサポートする。また、クラウドのAzure ADとの連携を高めてオンプレミス、クラウドの両方で使用できるハイブリッドな認証システムを構築しようとしている。
FIDOを利用するMicrosoft Passportは先進的だが、FIDOを使用する他社のサーバがまだ少ない。しかし、今後はパスワードを使わないFIDOが主流になってくるだろう。こういった環境に対応すべくWindows 10ではFIDOをサポートしたMicrosoft Passportが採用されたのだろう。
多くのユーザーには生体認証のWindows Helloの方が分かりやすい。しかし、企業のIT管理者にとって実はMicrosoft Passportの方が重要なテクノロジーだ。
Copyright © ITmedia, Inc. All Rights Reserved.