PowerPoint プレゼンテーション

Size: px

Start display at page:

Download "PowerPoint プレゼンテーション"

ようじろうやぶき
4 years ago
Views:

1 オープンソースで実現する統合認証統合 ID 管理基盤のご紹介 OpenAM/OpenIDM 株式会社野村総合研究所情報技術本部オープンソースソリューション推進室保田和彦株式会社野村総合研究所情報技術本部オープンソースソリューションセンター (OSSC) Mail : ossc@nri.co.jp Web:

2 はじめに 1

自己紹介野村総合研究所にて多くの大規模 Web システム構築プロジェクトに IT アーキテクト ( 基盤リーダー ) として従事方式設計基盤構築を行う 2003 年にオープンソースソリューションセンター (OSSC) 設立スタートアップメンバーとして従事 2004 年に MySQL

3 自己紹介野村総合研究所にて多くの大規模 Web システム構築プロジェクトに IT アーキテクト ( 基盤リーダー ) として従事方式設計基盤構築を行う 2003 年にオープンソースソリューションセンター (OSSC) 設立スタートアップメンバーとして従事 2004 年に MySQL 社とパートナー契約 2005 年に旧 JBoss 社とパートナー契約 2006 年社内ベンチャーにて OSS サポート事業を外販を開始サービス名称を OpenStandia にオープンソースワンストップサービスを展開現在 SSO/ID 管理に関するコンサルテーションを中心に提案活動に従事 2

4 アジェンダ高まるシングルサインオン統合 ID 管理のニーズシングルサイオンと統合 ID 管理とはオープンソースを活用した統合認証基盤の構築シングルサインオン (SSO) ID 管理 ID 連携認証 LDAP AD SAML 対応 GoogleApps 連携 SalesforceCRM 連携事例に見る提案のポイント導入目的は多岐に渡る 3

5 高まるシングルサインオン統合 ID 管理のニーズ 4

6 シングルサインオンについて SSO 認証を導入すると様々なシステムへの SSO とアクセス制御が可能となり利用者の利便性向上やセキュリティ向上につながる As-Is( 現状運用 ) To-Be(SSO 導入後 ) 各基幹システム ( 販売在庫人事システムなど ) SSO 認証アクセス権限販売システム GW ファイルサーハ各基幹システム ( 販売在庫人事システムなど ) 利用者ログイン各システム個別に別々の ID/ パスワードで認証各サービス系システム ( ポータルグループウェア elearning など ) 各インフラ系システム ( ファイルサーバメールなど ) シングルサイオンオン利用者アクセス権限付与に基づく厳密なアクセス制御セキュリティポリシに基づいた厳密な認証インタフェースシステムへのアクセスの認証の統合化による利便性向上アクセスログの一括取得多様化する認証方式への対応対象システム : Web 系システム C/S 系システム OS 認証連携インタフェース : ID/PWD 生体認証 PKI など各サービス系システム ( ポータルグループウェア elearning など ) 各インフラ系システム ( ファイルサーバメールなど ) 5

7 ID 管理について入社退社人事異動時に利用システム毎のアカウントの個別 ID 管理 ( 登録 / 修正 / 削除 / 参照 ) に対して導入後は統合的に管理することにより運用効率化負担 &ID 管理ミス軽減となる As-Is( 現状運用 ) To-Be(ID 管理導入後 ) ワークフロー人事システムマスタデータ個別対応管理者管理者管理者システム毎の個別 ID 管理 ( 追加 / 変更 / 削除 / 参照 ) システム毎のアカウントポリシー各基幹システム ( 販売在庫人事システムなど ) 各サービス系システム ( ポータルグループウェア elearning など ) 各インフラ系システム ( ファイルサーバメールなど ) ワークフロー人事システムマスタデータ個別対応管理者 ID 一元管理 ID 管理ライフサイクル ( ユーザ情報の登録, 変更, 削除 ) の統合化 ID のプロビジョニング ( ユーザアカウントの適切な管理提供 ) 監査内部統制セキュリティ対策ワークフローによる申請承認定期パスワード管理など ID 管理操作に対するログの一元管理人事システムなどマスタ情報との登録連携セルフサービスでの自動管理業務サーバ上の不正アカウント有無のチェック各基幹システム ( 販売在庫人事システムなど ) 各サービス系システム ( ポータルグループウェア elearning など ) 各インフラ系システム ( ファイルサーバメールなど ) 6

高まる SSO 統合 ID 管理のニーズ業務の自動化 ID 管理の効率化内部統制コンプライアンス強化個人情報保護 IT 環境の変化 SaaS クラウド基盤モバイル端末スマートフォンタブレット事業環境の変化グループ企業間グローバル規模での情報システム共有企業合併社内認証基盤統合サービス統合サービス事業強化 ( 出所 )Tokyo, Japan - seen from

8 高まる SSO 統合 ID 管理のニーズ業務の自動化 ID 管理の効率化内部統制コンプライアンス強化個人情報保護 IT 環境の変化 SaaS クラウド基盤モバイル端末スマートフォンタブレット事業環境の変化グループ企業間グローバル規模での情報システム共有企業合併社内認証基盤統合サービス統合サービス事業強化 ( 出所 )Tokyo, Japan - seen from the North Observatory 45th floor - Tokyo Metropolitan Government Building in Shinjuku. By UggBoy UggGirl [ PHOTO // WORLD // TRAVEL ] 7

9 オープンソースを活用した統合認証基盤の構築 8

システム全体概要 9 お客様利用者管理者 NRI 独自拡張部分人事システム又は AD など C/S システム認証モジュール Office365 連携モジュールヘルプデスク向け機能 ( パスワード初期化アカウントロック解除 ) ID 登録変更削除監査レポート ( 課金ログ : 予定 ) 源泉データご提案の範囲パスワード変更初期化ユーザ属性変更統合認証ポータル監査ログ

10 システム全体概要 9 お客様利用者管理者 NRI 独自拡張部分人事システム又は AD など C/S システム認証モジュール Office365 連携モジュールヘルプデスク向け機能 ( パスワード初期化アカウントロック解除 ) ID 登録変更削除監査レポート ( 課金ログ : 予定 ) 源泉データご提案の範囲パスワード変更初期化ユーザ属性変更統合認証ポータル監査ログ品質向上 ( バグ修正 ) 品質向上 ( バグ修正 ) フェデレーション (SAML) リバプロ型 SSO エージェント型 SSO 代理認証 C/S 型 SSO アクセスコントロールシングルサインオン OpenAM 認証ログ統合ディレクトリ OpenLDAP 品質向上 ( バグ修正 ) 配信ルール ID 管理 ( プロビジョニング ) OpenIDM ユーザ ID 情報組織ロール等の配信 Google Salesforce Office365 他 SaaS パブリッククラウド貴社システム A クラウド連携 AD 貴社システム B

11 ソフトウェアスタックフル OSS! OpenAM Tomcat mod_proxy mod_rewrite Apache httpd Linux WebAgent (Apache) OpenIDM OpenLDAP Linux MySQL heartbeat+pacemaker Linux シングルサインオン OpenAM ID 管理 ( プロビジョニング ) OpenIDM 10

12 システム全体概要お客様利用者ご提案の範囲パスワード変更初期化ユーザ属性変更シングルサインオン OpenAM 認証ログ Google Salesforce Office365 他 SaaS パブリッククラウド管理者統合認証ポータル統合ディレクトリ OpenLDAP 人事システム又は AD など監査ログ貴社システム A 貴社システム B 11 源泉データ配信ルール ID 管理 ( プロビジョニング ) OpenIDM ユーザID 情報組織ロール等の配信 AD

13 エージェント型認証処理シーケンス概要利用者ロードバランサー 2 ブラウザにログイン画面を応答 ID パスワードによる認証を行うリバースプロキシー 1 連携先システムにリクエストするとエージェントが未ログイン判定し SSO サーバにリダイレクト 4 ログイン認証後 HTTP ヘッダにユーザ ID を付与し連携先システムをアクセス連携先システムポータルサーバ SSO サーバエージェント管理者人事システム CSV 3 格納されている ID パスワードと照合する ID 管理サーバ AD 統合認証 DB 12 デスクトップ SSO を行なう場合は SSO サーバと AD とが連携

14 リバースプロキシー及び代理認証時の処理シーケンス概要利用者ロードバランサーご提案の範囲ブラウザにログイン画面を応答 ID パスワードによる認証を行うリバースプロキシーリバースプロキシー方式 : ログイン認証後 HTTP ヘッダにユーザ ID を付与し連携先システムをアクセス代理認証方式 : ログイン認証後連携先システムのログイン画面をアクセスし ID パスワードを自動入力して代理認証連携先システムポータルサーバ SSO サーバ管理者人事システム CSV 格納されている ID パスワードと照合する ID 管理サーバ AD 統合認証 DB デスクトップ SSO を行なう場合は SSO サーバと AD とが連携 13

com/loginaction userid=n1096 password=12345 userid N1096 password 12345 連携先システム APL01 OpenLDAP (MySQL)

15 代理認証について ( 機能 1) 認証済みか判断認証済みなら通過未認証ならログイン画面表示利用者 OpenAM ( 機能 2) 所属やロールによって連携先システムへのアクセスを許可する ( 例 ) 課長なら OK ( 機能 3) 連携先システムのログイン画面に対して代理認証用の ID パスワードをセットして送信 userid=n1096 password=12345 userid N1096 password 連携先システム APL01 OpenLDAP (MySQL) UID=y-terada UserName= 寺田雄一 Organization=OSS 推進室 Role= 課長 Apl01ID=N1096 Apl01Pw=12345 NRI 独自の代理認証エンジンでほぼ全ての Web システムに対して改修なしで連携可能. 14

16 Salesforce や GoogleApps とのシングルサインオン OpenSSO は標準プロトコルである SAML に対応しており Salesforce や GoogleApps とのシングルサインオンが可能です Salesforce GoogleApps Salesforce GoogleApps OpenSSO 利用者 Internet OpenSSO 社内ネットワーク社内システム社内システム社内システム HTTPリクエスト OpenSSOに認証要求未ログイン OpenSSO に未ログインであれば ID/PW でログインユーザ認証情報 ( アサーション ) を生成送付社内システムと Salesforce GoogleApps がシングルサインオン可能アサーション送付画面応答アサーションにより認証 15

17 Windows デスクトップ SSO Windows にログインした情報を利用して社内の Web システムに自動的にログオンしますブラウザでの ID/ パスワード入力は不要です OpenSSO(AM) 社内 Web システム (2) ブラウザでの社内システム利用時認証不要利用者チケットを利用して自動的に認証 ActiveDirectory 16

18 C/S システム認証方式サインオンツールを提供ブラウザ利用時のシングルサインオンだけでなく C/Sシステムとも統合認証 PC( 端末 ) 側に NRIが提供するサインオンツールを導入していただく AD AD 無しの構成の場合の方式は別途ご相談 1 ログインユーザ取得 C/S システム利用者サインオンツール 3 自動的に認証 2C/S システムの ID PW 取得 SSO SSO 可 ID 連携 SF 等認証人事システム等 IDM ID 連携業務システム等 17

19 システム全体概要お客様利用者ご提案の範囲パスワード変更初期化ユーザ属性変更シングルサインオン OpenAM 認証ログ Google Salesforce Office365 他 SaaS パブリッククラウド管理者統合認証ポータル統合ディレクトリ OpenLDAP 人事システム又は AD など監査ログ貴社システム A 貴社システム B 18 源泉データ配信ルール ID 管理 ( プロビジョニング ) OpenIDM ユーザID 情報組織ロール等の配信 AD

20 OpenIDM の概要 OSS のアイデンティティ管理 (ID 管理アイデンティティーマネジャー ) 製品 ForgeRock 社により 2010 年からフルスクラッチで開発オープンスタンダードな技術の採用モジュラー型アーキテクチャ外部リソースとのコネクタに OpenICF を採用 REST API の採用などによって高い柔軟性と拡張性を備えたアイデンティティ管理製品アドレス帳各種システム人事 DB など OpenIDM 会計システム AD 19 人事 DB ( 社員 ID)

21 OpenIDM の特徴 REST API の採用 OpenIDM に対するあらゆる操作を HTTP で行うことが可能であり他システムとの連携が容易に可能サーバーサイドスクリプトエンジン Java 上で動作する JavaScript エンジン (Rhino) を組み込んでおり設定情報マッピング情報カスタムロジックを柔軟に定義可能柔軟なデータモデル ID 情報のスキーマを要件に合わせて柔軟に定義可能データは JSON 形式で格納される 20

22 ID 管理 ( プロビジョニング ) 処理シーケンスロードバランサーご提案の範囲リバースプロキシー利用者連携先システム登録ポータルサーバ SSO サーバ管理者人事システム派遣社員など人事システムで管理されていない情報の登録 CSV 登録 ID 管理サーバ ID パスワードを同期 AD 21 社員情報を ID 管理サーバに自動連携統合認証 DB AD でパスワードを変更する場合は AD ID 管理各システム

23 システム全体概要お客様利用者ご提案の範囲パスワード変更初期化ユーザ属性変更シングルサインオン OpenAM 認証ログ Google Salesforce Office365 他 SaaS パブリッククラウド管理者統合認証ポータル統合ディレクトリ OpenLDAP 人事システム又は AD など監査ログ貴社システム A 貴社システム B 22 源泉データ配信ルール ID 管理 ( プロビジョニング ) OpenIDM ユーザID 情報組織ロール等の配信 AD

24 NRI 付加機能 OSS では不足している機能を統合認証ポータルとしてご提供利用者向け機能の提供ポータル ( ダイナミックメニュー ) パスワード変更画面パスワード初期化機能その他ヘルプデスク管理者向け機能の提供ユーザ管理一括登録組織管理一括登録ロール管理パスワードポリシーの変更パスワード初期化パスワード期限切れ通知メールアカウントロック解除承認ワークフロー監査レポート課金ログ ( 予定 ) その他統合認証ポータル監査ログ OpenAM カスタマイズ C/S システムとの SSO 代理認証シングルサインオン OpenAM 統合ディレクトリ OpenLDAP 配信ルール ID 管理 ( プロビジョニング ) OpenIDM リバプロ型 SSO エージェント型 SSO SAML 対応 DesktopSSO アクセス制御 ID Pw 管理 ID Pw 認証プロビジョニング 23

25 統合認証ポータル画面例ポータル機能ダイナミックメニュー所属する組織や付与されている権限 ( ロール ) によって表示されるメニューを変えることができるお知らせ申請承認ワークフローパスワード変更ユーザ属性変更などの利用者向けメニュー及びユーザ登録申請などの管理者向けメニュー申請承認ワークフロー 24

26 UI アーキテクチャ概要 OpenIDM の全体アーキテクチャブラウザ OpenIDM サーバ ID 配信先 JavaScript テンプレート HTML REST API System Objects RDB AD 25 CSS 既存の REST API で十分であれば画面追加はこの部分の開発だけで良いその他サービス Managed Objects MySQL ユーザ ID や組織情報

27 画面開発のイメージ例 ) ユーザ一覧表示画面の開発 users/ の時にユーザ一覧画面を表示する 26

28 事例紹介 27

29 シングルサインオン ID 管理製品の主流はオープンソースへ従来の統合認証に関する商用製品 (SSO IDM) への課題とオープンソースの優位性商用製品属性追加時に追加開発が必要属性追加や連携先追加の際に追加開発やカスタマイズが多く発生し想定外のコストが発生します標準仕様に対応していない多くの外資系ベンダー製品が Oauth SCIM などに未対応サポート品質が悪いほとんどの ID 管理 SSO 製品は国外産であるため開発 SE が国内におらず仕様に不明な点も多く不具合時の対応に時間がかかる又は対応できないケースがあるスクリプト定義等で簡単に対応 OpenStandia では多くの場合スクリプト定義等で簡単に対応可能です標準仕様にイチ早く対応標準で SAML OAuth に対応 SCIM にも近日対応予定商用製品以上のサポート品質 OpenStandia では野村総合研究所が全てのソースコードを管理万が一のトラブル時も全て弊社エンジニアが迅速に対応 28 現在も ID 関連の商用製品を利用している多くの企業から規模の拡大新システムへの対応の足かせとなる上記の課題を解決したいというお声がけがあります

30 ( 事例 ) 数百万会員のシングルサインオン会員数数百万人 = 商用製品の場合億単位のライセンス費用 OpenAM を大規模利用に耐えうるようカスタマイズ = DB は LDAP ではなく MySQL お客様ユーザ数 100 万人 ~ ご提案の範囲エージェント型 SSO 利用者リバプロ型 SSO シングルサインオンポップアップ画面認証ログ各システム管理者監査ログ統合認証ポータルユーザ管理サービス利用履歴監査レポート MySQL ID/ PASS ID 管理 ( プロビジョニング ) 同期用パッチデータ配布 29

OpenStandia/Portal のマルチテナント機能を利用してポータルシステムを論理的に 300 社に分割既存の統合認証基盤 (OpenAM 利用 ) と連携し

31 ( 事例 ) 大手製造業様カスタマーポータル (SaaS 基盤 ) 大手製造業様カスタマーポータル (SaaS 基盤 ) 大手製造業様の顧客である中小規模の事業所向けに社内ポータルの機能を提供スケジュール施設予約文書管理掲示板などの機能を提供当初は 300 社 1 万人程度に提供し順次拡大予定 90 万人を想定 OpenStandia/Portal のマルチテナント機能を利用してポータルシステムを論理的に 300 社に分割既存の統合認証基盤 (OpenAM 利用 ) と連携し他システムとのシングルサインオンを実現利用人数が多く商用製品では価格的に成り立たないため OSS での構築をご希望柔軟なカスタマイズが可能な点お客様が自ら機能拡張ができる点などを評価 30

32 ( 事例 ) 大手不動産会社人事異動業務の効率化人事異動時の ID 管理業務を大幅に効率化 GoogleApps にも対応現行システム概要人事会計など基幹業務システムと AD Notes などの OA 系情報共有系システム GoogleApps の利用やスマートフォンからの情報照会を新たに開始課題従来は人事異動時のユーザ ID の更新業務を全て人手で行っており情報システム部の大きな負担となっていた GoogleApps の利用を開始するにあたりさらなる負担増を避ける必要があったソリューションばらばらだった ID を統合管理し人事システムとも連携異動業務を自動化し大幅に効率化従来紙で行っていた各事業部との人事異動に関するやりとりもシステム化ワークフロー化利用者統合認証基盤の構成要素シングルサインオン各種システム Notes/Domino シングルサインオン機能認証情報の連携機能アドレス帳 DJX 管理取引先パートナー社員管理者人事システム等パスワード管理 ID 登録変更削除ワークフロー監査証跡電子化 ( レポート ) ヘルプデスク向け機能 ID 情報のデータ連携統合認証ポータル監査ログ認証ログ統合認証 DB ID 管理 ( プロビジョニング ) システム AD システムシステム人事 DB ( 社員 ID) 認証 / 権限情報の一元管理ユーザ ID 情報組織ロール等の配信 (ID 情報の同期 ) シンクルサインオンフロヒショニンク 31

33 ( 事例 ) 大手グループ企業統合認証基盤要件グループ企業全体の内部統制底上げ及び業務効率化大規模会社等既にきちんとできているところはそのまま利用申請書共用 AD グループ共通システムグループアドレス帳 e ラーニング小規模会社 ( 数十社 ) 利用者共通メール (Domino) 利用者監査棚卸しシステム管理ツール利用者向け管理画面グループウェア中規模会社 ( 数社 ) ( 当面なし ) グループ統合認証 DB データ同期 AD グループウェア中規模会社 ( 数社 ) 利用者 SSO データ取り込み管理者利用者人事システム連携 AD 管理者グループウェア大規模会社利用者 A 社 B 社 C 社 AD 認証 DB(LDAP) グループウェア 32

SSO&IDM OpenStandia SSO&IDM OpenStandia SSO&IDM OpenStandia

34 ( 事例 ) 大手製造業グローバル統合認証基盤各拠点のユーザ ID を OpenStandia で統合しさらに本社の TAM( 既存 ) と連携本社 TAM (IBM) ご提案範囲日本アジア北米欧州 OpenStandia SSO&IDM OpenStandia SSO&IDM OpenStandia SSO&IDM OpenStandia SSO&IDM 地域サーバ地域サーバ地域サーバ地域サーバ拠点社員サプライヤ拠点社員サプライヤ拠点社員サプライヤ拠点社員サプライヤ 33

( 事例 ) 大手家電メーカークラウドサービスとの SSO GoogleApps や SalesforceCRM とのシングルサインオン要件社内システムの ID

ソリューション業界標準の SAML プロトコルを用いて社内システムと SalesforceCRM GoogleApps とを接続 ( シングルサインオン ) 社内

社内パスワード ) ログイン Salesforce GoogleApps LotusLive SAML プロトコル Internet ようこそ y-terada さん

35 ( 事例 ) 大手家電メーカークラウドサービスとの SSO GoogleApps や SalesforceCRM とのシングルサインオン要件社内システムの ID PW を使って SalesforceCRM や GoogleApps にログインしたいパスワードは社外 (SalesforceCRM など ) に置きたくないソリューション業界標準の SAML プロトコルを用いて社内システムと SalesforceCRM GoogleApps とを接続 ( シングルサインオン ) 社内 LDAP の ID/Pw を使って SalesforceCRM GoogleApps にログイン可能に株式会社認証システム ID y-terada パスワード ( 社内パスワード ) ログイン Salesforce GoogleApps LotusLive SAML プロトコル Internet ようこそ y-terada さん SalesfoceCRM や GoogleApps の画面利用者 OpenAM 社内ネットワーク社内システム社内システム社内システムグローバルで十数万ユーザが利用 34

36 モバイル PC スマートフォンタブレットからの認証モバイル PC スマートフォンタブレットからのセキュアなアクセスを実現モバイル PC からのアクセススマホタブレットからのアクセス VPN VPN 他社 VPN アプライアンス F5 Networks Juniper Networks など RADIUS など OpenAM 連携 VPN アプライアンスと OpenAM との連携機能 OpenAM シングルサインオンモバイル PC からのアクセス PKI リバースプロキシ Apache OpenAM スマホタブレットからのアクセス PKI インターネット PKI は使用しないケースもあり PKI 認証ワンタイムパスワードマトリックス認証ネットワーク (IP アドレス ) 制限ブラウザ制限時刻制限リスクベース認証 35

37 ( 事例 ) 電力系 ISP 様 SaaS プラットフォーム構築 36 要件自社サービス ( パッケージ ) パブリッククラウドを統合する ID 管理認証基盤各サービスへの入り口としてのポータル画面ユーザ企業が自社の ID を追加できる管理画面お客様 A 社利用者グループ管理者 AD お客様 B 社お客様 C 社マルチテナント機能 A 社向け管理画面 B 社向け管理画面 C 社向け管理画面 SaaS ポータルユーザ属性変更パスワード変更初期化統合認証ポータル監査ログヘルプデスク向け機能監査レポートフェデレーション (SAML) リバプロ型 SSO エージェント型 SSO アクセスコントロールシングルサインオン認証ログ統合認証 DB 配信ルール ID 管理 ( プロビジョニング ) ユーザ ID 情報組織ロール等の配信 BPOS Salesforce 他 SaaS パブリッククラウド貴社サービス A 貴社サービス B

( 事例 ) サービスプラットフォームとしての提供大手製造業など利用者 Liferay 利用者向けポータル操作ログサービスプラットフォームサービス申込サービスメニューお知らせパスワード管理問合せ SugarCRM OpenAM シングルサインオンクラウドSSO (SAML OpenID OAuth 等 ) 認証ログオンプレミスSSO アクセスログ既存システムSSO

38 ( 事例 ) サービスプラットフォームとしての提供大手製造業など利用者 Liferay 利用者向けポータル操作ログサービスプラットフォームサービス申込サービスメニューお知らせパスワード管理問合せ SugarCRM OpenAM シングルサインオンクラウドSSO (SAML OpenID OAuth 等 ) 認証ログオンプレミスSSO アクセスログ既存システムSSO 課金ログアクセス制御 OpenLDAP サービス群 GoogleApps Salesforce 等パブリッククラウドヘルプデスクオペレータシステム部門マーケティング部門 37 Liferay 事業者向けポータル監査ログ契約管理ユーザ組織ロールパスワード等管理ワークフロー Liferay 問合せ履歴管理 SugarCRM 監査レポート Jaspersoft 顧客行動分析各種ログ集計顧客情報問合せ履歴 ID 管理 ( プロビジョニング ) 統合ディレクトリ ( ユーザ組織 ) OpenIDM 配信ルールユーザ ID 組織ロール等の配信効率化 ( 文書管理スケジュール ) 品質管理人材育成コミュニケーションその他サービス

39 その他の主な事例会員サイト様 OSS によるシングルサインオン会員数 3 万名の複数のサイトを OSS でシングルサインオン認証サーバとしては ActiveDirectory を利用外資系企業内部統制の強化米国上場企業の国内法人 SOX 法監査での指摘事項について改善するため ID 管理を導入大手法人様人事システムと SalesforceCRM とをシングルサインオン数万名の大手法人人事システムと SalesforceCRM とをシングルサインオン ID 管理としてオープンソースの LISM を利用学校法人様学内システムをシングルサインオン学生教職員あわせてユーザ数約 3,000 名複数の学内システムをリバースプロキシー型でシングルサインオン 38

40 その他の主な事例パッケージベンダー様自社パッケージの SAML 対応業界標準の認証プロトコルである SAML に自社パッケージを対応大手サービス業様複数サイトのシングルサインオン既存のサイトをシングルサインオン今後 ID 管理も統合予定 NRI がクラウドサービスとして認証基盤を提供会員サービス様サービス提供サイトとイントラネットとのシングルサインオン提供するサービス提供サイトと顧客イントラネットサイトとのシングルサインオン携帯電話からのアクセスにも対応大手建材メーカー様社外からのシステム利用時のシングルサインオン ID 管理サプライヤーを含めた社外からのシステム利用時のシングルサインオン ID 管理をクラウド上に構築 39

41 既存のシングルサインオン ID 管理システムのリプレースよくお話しをいただく移行元対象製品 Tivoli Access Manager (TAM) Oracle Access Manager (OAM) Oracle Identity Manager (OIM) CA Site Minder RSA Access Manager Sun Access Manager/OpenSSO Enterprise Sun Identity Manager 移行理由利用範囲の拡大 ( たとえばグループ企業を対象に加える ) により大幅なユーザライセンス費用の増加が発生するクラウドサービス連携のために SAML を使いたいが別オプションであり追加のライセンス費用が高額現在の認証基盤が複雑で維持管理ができない 40

42 ( ご参考 ) コスト比較例統合 ID 管理 3 年間コスト比較例 ( 千円 ) 60,000 50,000 40,000 30,000 20,000 3 年間保守費ライセンス費 10,000 0 商用製品 A 商用製品 B OpenStandia 1,000 ユーザを想定 41

43 ( ご参考 )OpenAM 最新情報 OpenIG (Open Identity Gateway) 導入前代理認証を実現するソフトウェア OpenAM とは独立した製品基本的には OpenAM と連携して動作させるリバースプロキシ型単独でリバースプロキシサーバとして動作 HTTP リクエストをエミュレートして認証を代行導入後各アプリケーションの改造は不要! 42

44 ( ご参考 )OpenAM 最新情報 OpenIG (Open Identity Gateway) 代理認証シーケンスユーザユーザからのログインリクエストをエミュレート 1 4 OpenIG + Java EE Agent HTTP Request ID : user01 Pwd : **** 5 アプリケーションアプリケーション 1 へログインリクエスト 2 Agent がインターセプトして OpenAM へ認証を依頼 3 ユーザに認証を要求 4 ID パスワードを入力しログイン 5 ユーザからのログインリクエストをエミュレートし認証を代行 6 ログインレスポンスを返す 3 2 アプリケーション 2 OpenAM アプリケーション 3 43

45 ( ご参考 )OpenAM 最新情報 OpenIG (Open Identity Gateway) SAML2.0 フェデレーションゲートウェイ機能 44

46 ( ご参考 )OpenAM 最新情報不正アクセスのリスクに配慮した認証方式社内からのアクセスは許可社内社外でも特定端末からのアクセスは許可国内 OpenAM 海外国外からのアクセスは禁止 45

47 ( ご参考 )OpenAM 最新情報チェック機能認証失敗チェック IP レンジ履歴チェック Cookie 値チェック最終ログインからの経過時間チェックプロファイルのリスク属性チェック位置情報国コードチェックリクエストヘッダーチェック各チェックの点数の合計がしきい値に達すると 1. IPレンジチェック (3 点 ) 2. Cookie 値チェック (1 点 ) 3. 位置情報国コードチェック (4 点 ) 4. リクエストヘッダーチェック (2 点 ) NG 3 点 OK 0 点 OK 0 点 NG 2 点しきい値 5 点不正なアクセス! 認証エラー合計 5 点 46

48 ( ご参考 )OpenAM 最新情報 OAuth2.0 クライアント認証 47

49 ( ご参考 )OpenAM 最新情報 OAuth2.0 クライアント認証 OpenAM が本来行うべき認証認可機能は 10.1~ OpenAM クライアント Facebook リソースサーバー兼認可サーバー OpenAM クライアント Facebook リソースサーバーデータアクセスデータアクセストークン発行トークン発行サービスへのアクセスサービスへのアクセス認証認可を委譲認証認可アクセス許可 10.1 からは認可サーバーとして機能できる認証アクセス許可ユーザリソースオーナーユーザリソースオーナー OpenAM 認可サーバー 48

50 ご参考 49

51 OpenStandia/SSO&IDM 機能 50 # 機能説明 OpenAM 1 統合認証ポータル ( 利用者向け機能 ) 2 ポータル機能 3 ダイナミックメニュー機能各機能を統合された画面から利用できるようにする機能お知らせ機能やファイル共有機能などもある所属している組織や付与されている権限 ( ロール ) によってメニューの表示 / 非表示を制御する 4 ユーザー属性変更機能利用者自身がユーザー属性を変更する 5 パスワード変更機能利用者自身がパスワードを変更する 6 初回ログイン時パスワード初期化後のパスワード強制変更機能 7 パスワード忘れ対応 ( 初期化 ) 機能 8 統合認証ポータル ( ヘルプデスク向け機能 ) 初回ログイン時やパスワード初期化直後についてパスワードを強制的に変更させる利用者がパスワードを忘れた際に利用者自身がパスワードを初期化する 9 ユーザー登録 / 削除機能 Web ブラウザでユーザーを登録する 10 組織ロール (LDAP グループ ) の作成変更 11 ユーザーの組織ロール (LDAP グループ ) への配属 12 パスワードポリシーの設定画面 13 パスワードの有効期限設定画面組織 (LDAP グループ ) へユーザ ID を配属させるまた権限 ( ロール LDAP グループ ) をユーザ ID に付与する英字 + 数字の混合 8 文字以上などパスワードを類推されにくくするための機能有効期限が切れたパスワードは使用できなくなる ( ログイン画面でパスワード変更を促す ) 14 過去利用したパスワードの再利用の禁止設定画面過去利用したパスワードの再利用の禁止 15 組織ごとに異なるパスワードポリシーの設定組織ごとに別々のパスワードポリシーを提供できる 16 パスワード有効期限切れ通知メール機能利用者のパスワードの有効期限が切れる前 (3 ヶ月前 1 週間前 3 日前など ) に自動的に利用者にメールで通知 ( 警告 ) するまた画面 17 ユーザー検索機能ユーザーを検索する 18 パスワード初期化機能利用者からの依頼を受けて利用者のパスワードを初期化する 19 アカウントロック / ロック解除機能利用者のアカウントをロック及びロック解除する 20 アカウントロックポリシーの設定画面アカウントロックの有無アカウントをロックする認証失敗回数の設定などの設定 21 アカウントロック自動解除機能アカウントロックを夜間バッチなどで自動的に解除する Open LDAP NRI 独自拡張 LISM

52 OpenStandia/SSO&IDM 機能 # 機能説明 OpenAM Open LDAP NRI 独自拡張 LISM 22 申請承認ワークフロー機能 23 ユーザー一括登録 / 削除登録 24 ユーザー属性一括変更機能 CSV データによるユーザーの一括登録削除についてワークフローによる承認を経てからこれを実施する CSV データによるユーザーの一括変更についてワークフローによる承認を経てからこれを実施する 25 ユーザーの組織ロール (LDAP グループ ) への配属情報の一括登録 CSV データによるユーザーの一括変更についてワークフローによる承認を経てからこれを実施する 26 一括登録データ値チェック機能 27 監査レポート機能 CSV データによるユーザの一括登録変更削除について CSV データのフォーマットや値の正当性をチェックする 28 監査ログ監査レポート 29 ユーザーアカウント一覧監査レポート 30 管理者権限ユーザーアカウント一覧監査レポート 31 申請承認イベント一覧監査レポート 32 特定ユーザー認証成功 / 失敗イベント一覧監査レポート 33 特定システム認証成功 / 失敗イベント一覧監査レポート 34 長期間未ログインユーザー一覧監査レポート 35 パスワード有効期限切れユーザー一覧監査レポート 36 アカウントロックユーザー一覧監査レポート 37 棚卸し機能アカウントの正当性を各部や利用者本人に確認させるオプション 38 不正 ID 確認機能統合 ID 管理の管理対象外で作成された ID の一覧を表示するオプション 51

53 OpenStandia/SSO&IDM 機能 # 機能説明 OpenSSO OpenAM Open LDAP NRI 独自拡張 LISM 39 認証シングルサインオン 40 エージェント型のシングルサインオン 41 リバースプロキシー型のシングルサインオン連携先の業務システムに認証のためのエージェントを組み込むことでシングルサインオンを実現する通信経路上のリバースプロキシーに認証のためのエージェントを組み込むことでシングルサインオンを実現する代理認証機能がない場合は連携先システムに改修が必要になるケースがある 42 代理認証機能連携先業務システムの認証画面に対して ID パスワードを自動的に代理入力することによって業務システム側の変更無しにシングルサインオンを実現する 43 SAML 対応フェデレーションを実現するための業界標準の認証プロトコル SAML への対応 44 SAML エージェント連携先の業務システムを SAML 対応にするためのエージェントオプション 45 SalesforceCRM GoogleApps などとのシングルサインオン SAML を利用したクラウドや SaaS とのシングルサインオン 46 C/S システムとの SSO C/S システムとのシングルサインオンオプション 47 Windows デスクトップ SSO Windows ドメインへの認証をもって連携先の各業務システムやクラウド /SaaS などへシングルサインオンする機能オプション 48 認証失敗時のアカウントロック認証失敗時のアカウントロック 49 タイムアウト 50 アクセスコントロールシステムを一定期間使用していない場合に自動的にログオフユーザが URL に対してアクセスを許可するかどうかを設定通常は組織や権限 ( ロール ) ごとに設定を行なう 51 認証ログの記録日時ユーザ ID 成功 / 失敗 IP アドレスなど 52

54 OpenStandia/SSO&IDM 機能 # 機能説明 OpenSS O OpenAM Open LDAP NRI 独自拡張 LISM 52 ID 管理プロビジョニング 53 源泉データの取り込み CSV による源泉データの取り込み 54 AD LDAP Oracle などへのプロビジョニング 55 Notes サイボウズなどへのプロビジョニングメタディレクトリの ID 情報と各システムの ID 情報とを同期するメタディレクトリの ID 情報と各システムの ID 情報とを同期するオプション 56 SalesforceCRM GoogleApps などへのプロビジョニングメタディレクトリの ID 情報と各システムの ID 情報とを同期するオプション 57 その他のシステムへのプロビジョニングメタディレクトリの ID 情報と各システムの ID 情報とを同期するオプション 58 パスワードのリアルタイム同期パスワードのリアルタイム同期 59 AD パスワードのリアルタイム同期 AD のパスワード変更を統合認証 DB にリアルタイム同期オプション 60 パスワードの暗号化パスワードの暗号化 61 パスワードポリシーの設定 62 パスワードの有効期限設定英字 + 数字の混合 8 文字以上などパスワードを類推されにくくするための機能有効期限が切れたパスワードは使用できなくなる ( ログイン画面でパスワード変更を促す ) 53

55 その他のソリューション 54

56 OpenStandia のサポート対象オープンソース約 50 種類のオープンソースをワンストップでサポート 55 機能 OS データベース言語 Web サーバプロキシサーバ AP サーバフレームワーク OR マッピングログ管理 SOAP ビジネスプロセスルールエンジン SOA ネットワーク DNS オープンソース CentOS RedHat Enterprise Linux MySQL MySQL Cluster PostgreSQL MongoDB PHP Ruby Apache HTTP Server Squid Apache Tomcat JBoss AS JBoss EAP JBoss EWS Apache Struts Spring Seasar2 JBoss Seam Ruby on Rails Hibernate MyBatis(iBATIS) Log4j Apache Axis2 JBoss jbpm JBoss BRMS JBoss SOA Vyatta BIND 機能ファイルサーバ認証サーバメールサーバ POP3/IMAP バージョン管理インシデント管理クラスタリングシングルサインオン ID 管理運用監視 BI レポート作成ポータル文書管理グループウェアオフィススイート業務システムオープンソース Samba OpenLDAP Postfix sendmail Dovecot Courier-IMAP CVS Apache Subversion OTRS Redmine Heartbeat Pacemaker DRBD OpenSSO OpenAM LISM Hinemos Zabbix Jaspersoft JasperReports ireport Pentaho Liferay Alfresco Joomla! Aipo Apache OpenOffice LibreOffice ADempiere MosP SugarCRM vtiger CRM

57 OpenStandia クラウドサポート OSS と異なる多くの商用ソフトウエアはクラウド環境に適合した価格体系でないため高コストになる場合があるクラウド環境に適した OSS サポートサービスメニュー OpenStandia クラウドサポートの利用によりコスト削減が可能商用ソフトウェアの主な課金ケースクラウド環境でのソフトウェアコストを削減します OpenStandia クラウドサポートを利用すると 56

58 ( まとめ ) オープンソースの活用は新たな段階へオープンソースは重要な社会インフラ企業にとって必要不可欠となったオープンソース ( サービスによる差別化グローバル ) 全社的なオープンソースの活用 NRI OpenStandia はオープンソースを社会インフラとして普及発展させます 57

59 本資料に掲載されている会社名製品名サービス名は各社の登録商標又は商標です OpenStandia は攻めの IT を支援しますオープンソースのことならなんでもご相談ください! お問い合わせは NRI オープンソースソリューションセンターへ 58

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション OpenAM によるシングルサインオンと統合 ID 管理事例株式会社野村総合研究所情報技術本部オープンソースソリューション推進室寺田雄一株式会社野村総合研究所情報技術本部オープンソースソリューションセンター (OSSC) Mail : ossc@nri.co.jp Web: http://openstandia.jp/ 高まるシングルサインオン統合 ID 管理のニーズ 1 シングルサインオンについて