CA Single Sign-On r12 (12.8) ご紹介

Transcription

1 CA Single Sign-On r12 (12.8) ご紹介 旧製品名 :CA SiteMinder 2018 年 9 月富士通株式会社

2 概要 1

3 CA Single Sign-On 概要 セキュリティと利便性を保ちつつ シングルサインオンと Web アクセス制御の一元管理 を実現する統合管理基盤 認証機能 (SSO 機能 ) Web シングルサインオン機能を提供します 認可機能 ( アクセス制御機能 ) リソースに対してアクセス制御機能を提供します 監査機能 ( ログ機能 ) アクセス制御 システムのログ取得が可能です 2

4 CA Single Sign-On 特長 Web アプリケーションのユーザー認証 & アクセス制御をポリシーベースで一元管理 豊富な導入実績 海外 日本国内での幅広い導入実績があります 高速パフォーマンス 負荷分散 拡張性を備えたシステムの構築が可能です あらゆるシステムに柔軟に対応 エージェントソフトの幅広いプラットフォーム対応 既存ユーザーリポジトリの有効活用 エージェント型とリバースプロキシ型の導入 冗長構成に標準対応 Access Gateway Key Point!! 豊富な導入実績 高パフォーマンス 柔軟なシステム構成 3

5 CA Single Sign-On のアピールポイント 拡張性と信頼性が高い メンテナンス性が高い サポートプラットフォームの柔軟性 認証 認可処理を受け付ける Policy Server( 認証サーバ ) を追加しアクセス増加に対応できる仕組みを持っている 複数台構成でも別の Policy Server に影響されずメンテナンスしやすい仕組みになっている Single Sign-On の各コンポーネントをインストールできるプラットフォームサポートが多い 既存のシステムを利用 既存のユーザーリポジトリを活用できる エージェントサポート アクセスを分散させるエージェントソフトのサポートと幅広いプラットフォームで利用ができる これまでの実績 導入実績が豊富 4

6 CA Single Sign-On の構成と動作 5

7 エージェント型リバースプロキシ型CA Single Sign-On の各コンポーネントと動作 エージョント型 リバースプロキシ型で動作する場合の構成と流れは以下のとおり 保護対象 3 1 Web エージェント エージェント導入 Web サーバ 認証 認可 CA Single Sign-On Policy Server Policy Store Web コンテンツ / アプリケーション ブラウザアクセス ユーザー (Web ブラウザ ) 1 6 認可 認証 監査ログ Audit Store User Store ( 認証用ユーザーリポジトリ ) Administrative UI Report Server 保護対象 管理者 3 CA Single Sign-On Access Gateway ( 旧機能名 Secure Proxy Server) 7 Web サーバおよび Web コンテンツ / アプリケーション 6

8 エージェント型とリバースプロキシ型の特長 エージェント型とリバースプロキシ型は それぞれ一長一短 エージェント型 リバースプロキシ型 メリット 新規のハードウェア導入や ネットワーク構成の変更が不要 アクセスの集中によるボトルネックが発生しにくい ( 拡張性が高い ) ユーザーのアクセス先は変更なし 既存の Web サーバに対してエージェントの導入が不要 サーバのプラットホームに依存しない デメリット Web サーバにエージェントを導入する必要がある サーバのプラットホームに依存する 拡張時に新たにハードウェアの購入やネットワーク構成の変更が必要 ユーザーのアクセス先が Web サーバから Access Gateway へ変更が必要 CA Single Sign-On は両方を混在させることができる 環境にあわせた柔軟な構築が可能 7

9 高い拡張性と信頼性をもったシステム構成 ミッションクリティカルな環境にも対応 可用性 Policy Server/ ユーザーストアのフェイルオーバ構成 設定 GUIより簡単に実装が可能 拡張性 ユーザーの増減に合わせて エージェント /Policy Serverを追加可能 Policy Serverの増加に比例して認証速度が UPします 負荷分散 サーバの追加と簡単な設定により Single Sign-On 内で Policy Server/ ユーザーストアへのロードバランスを設定 キャッシュ機能 Web Server Web Agent ユーザーストア : CA Single Sign-On が管理するユーザー情報を格納するリポジトリ Cache Web Server Web Agent Policy Server Cache ユーザーストア Cache フェイルオーバ / ロードバランス レプリケーション Web Server Web Agent Policy Server Cache Cache フェイルオーバ / ロードバランス ユーザーストア 8

10 管理コンソールによる柔軟な設定 Single Sign-On 管理コンソール Webベースの管理インターフェース 全ての設定を画面から操作可能 設定をオブジェクトとして登録 ロールに紐づける操作画面でアクセス制御用ポリシーを柔軟に設定可能 9

11 認証機能 (SSO 機能 ) 10

12 様々な認証方式をサポート 豊富な認証方式テンプレート ベーシック (ID/Password) HTMLフォーム X.509クライアント証明書 統合 Windows 認証 ワンタイムパスワード カスタム認証方式 (API) SAML JSON Web Token(JWT) 他 認証管理機能 認証レベル付与 11

13 既存のユーザーストアを利用可能 既存のインフラストラクチャーを活用して 開発期間の短縮と開発コストを削減 既存 LDAP もしくは DBMS のユーザーストアを利用した認証 アクセス Web エージェント Web サーバ 認証 認可の問い合わせ CA Single Sign-On Policy Server 既存 LDAP もしくは RDBM のユーザーストアで認証 認可 シングルサインオン製品用の認証ユーザーストア (LDAP やデータベース ) を構築する必要はありません 既存ユーザーストアへ問い合わせ 切り替えが容易 Single Sign-On の管理画面にてユーザーストアを容易に変更することが可能です 開発環境用ユーザーストアへ問い合わせ Single Sign-On でサポートされる User/Policy Store(LDAP もしくは DBMS) である必要があります 12

14 認可機能 ( アクセス制御機能 ) 13

15 認可機能 ( アクセス制御機能 ) 必要に応じたきめ細やかなアクセス制御のポリシー設定が可能 ポリシー設定の概念 指定する項 リソースフィルター ( 保護対象リソース ) ディレクトリ 認証 式 パーミッション ( リソース ) ユーザー グループ ( ロール ) ポリシー どこのリソース を CA Single Sign-On の保護対象 ( 認証 認可対象 ) として 認証 式 をどれにするか? どのディレクトリ にいる 誰 に どのような操作 を 割り当てる か? ポリシー設定イメージ app01 アプリケーション リソースフィルター ディレクトリ 認証 式 リソース ロール ポリシー Web アプリケーションとしてどこを保護対象とするか? どのディレクトリでユーザー認証するか? 認証はどの 式で うか? 保護対象配下のどのリソースに対してどのようなアクションを動作させるか? ディレクトリからロールの作成 /app01/* に GET/POST アクション許可 LDAP Basic 認証 /app01/* に GET POST アクション許可 OU=Sales のロール リソースをロールに付与する /app01 配下のコンテンツ OU=Sales のロール 14

16 実際のポリシー設定画面例 営業部にアクセス許可を与える 15

17 認証と認可で違うユーザーストアを利用 認証で利用したユーザーストアとは別のユーザーストアの情報 ( 属性 ) を利用して認可 使用例 ) ユーザー認証は LDAP 上のアカウントを使って認証し 認可 ( アクセス制御 ) は DBMS の情報を利用する DBMS 上のテーブルにユーザーの情報 ( 属性 ) を持っており この情報を利用してアクセスコントロールを実施 ID:user01 Web エージェント 認証 認可 Webサーバ (Webアプリケーション) 認証 認可 CA Single Sign-On Policy Server LDAP ( 認証用 ) DBMS( 認可用 ) uid:user01 userpassword:password NAME user01 マッピング Job_category sales 既存のユーザー情報を利用して柔軟にアクセス制御設定が可能です 16

18 監査機能 ( ログ機能 レポート機能 ) 17

19 ログ出力機能 認証 認可のアクセスイベントを一元管理し 監査としての利用も可能 Single Sign-Onで取得できるログ Policy Server Webエージェントの動作ログを記録 ( エラーログ / ポリシーサーバログ / トレースログ ) コンポーネント起動 停止 ポリシーの変更などシステムのログ 監査ログ ( アクセスログ システムのログ ) 認証 (Authentication) 認可(Authorization) 拒否(Reject) などをアクセスイベントごとに記録 エージェントが受信したリクエストの内容 (IPアドレス ユーザー名 時間 ターゲットなど) を一覧出力 テキストもしくはデータベースへアクセスログを記録することが可能 Single Sign-On のログ出力の仕組み 認証 アクセス Web エージェント 認可 CA Single Sign-On Policy Server トレースログ ( テキスト ) 監査ログ ( テキスト or ODBC ) ポリシーサーバーログ ( テキスト ) トレースログ ( テキスト ) エラーログ ( テキスト ) 18

20 レポート機能 運用 ガバナンス コンプライアンス目的の情報をレポート表示 監査レポート認証 認可の状況をレポート Activity by User Denied Authorizations Denied Resources Resource Activity 分析レポートアクセス制御の状況をレポートリソースベース Applications Roles by Application Roles by Resource Users by Resource ユーザーベース Applications by User Policies by Role Resources by User Users by Role Activity by User レポートサンプル 19 特定 Web Agent 配下のトランサ クションサマリ ユーザー単位の認証 認可処理結果

21 シングルサインオン環境の拡張 20

22 Active Directory ドメインログオンとのシングルサインオン 統合 Windows 認証に対応可能 Windows PC から Active Directory へのログオンだけで CA Single Sign-On のシングルサインオン環境へアクセス可能 CA Single Sign-On によるシングルサインオン ユーザー 企業内 ドメインログオン CA Single Sign-On Policy Server WebAgent WebAgent WebAgent 社内アプリ A 社内アプリ B 社内アプリ C Active Directory Domain Contoller 要望 Windows ログインの情報を使って CA Single Sign-On で保護された Web アプリケーションへもシングルサインオンしたい ソリューション CA Single Sign-On の Windows の統合認証 (NTLM/Kerberos) との連携の仕組みを利 してドメインへログインすると CA Single Sign-On で保護された Web アプリケーションでは認証は発 しません 21

23 クラウドとのフェデレーション (ID 連携 ) 社内のシングルサインオン環境をクラウドに拡張 ユーザーの操作性は損なわず ユーザーによるクラウドアプリのアカウント管理を不要化 企業内 WebAgent 社内アプリ A 要望 社内のシングルサインオン機能を外部クラウドサービスへ拡張したい CA Single Sign-On によるシングルサインオン ユーザー CA Single Sign-On Policy Server WebAgent Access Gateway 社内アプリ B SAML / WS-Federation / OpenID Connect シングルサインオン環境をクラウドへ拡張 ソリューション SAML や WS-Federation や OpenID Connect といった標準仕様を いた外部認証連携 CA Single Sign-On で社内で認証すると クラウド利 では認証はかからない ( シングルサインオン ) クラウドアプリケーション 22

24 CA Single Sign-On のパスワード 管理強化機能 23

25 パスワードポリシー設定機能 パスワードポリシー設定をすることにより セキュリティの高いパスワード管理が可能 登録したユーザーディレクトリに対し パスワードポリシーを設定 システム全体のパスワードポリシーを均一化 パスワード管理に関するオペレータコストの削減 パスワードに関する詳細な設定が可能 パスワードの有効期限設定 パスワードの無効化 / 強制変更を実施 アカウント利用状況の確認 パスワードの無効化 / 強制変更を実施 パスワード入力間違い 失敗回数によりアカウントの無効化 再有効化までの時間の設定 パスワードの選択時の文字列制限 最大および最少文字数 同一文字の繰り返し 大文字 小文字 再利用等の制限 前回パスワードとの差異の程度の割合を指定 辞書による特定語彙の排除 ( 例 : password 等 ) 同一パスワード再使用の禁止 24

26 リバースプロキシ型による SSO 25

27 Access Gateway Access Gateway を使うことにより リバースプロキシ型の運用でも Single Sign-On を利用可能 リバースプロキシ型による Web アプリケーションの保護 Web エージェントがインストールできない環境への対応 携帯電話などの Cookie に対応しないブラウザアクセスを可能とするプロキシ Cookie を利用できない端末向けにセッション管理機能を提供 アクセス管理 シングルサインオンなどは通常の Single Sign-On プロセスと同様 WEB クライアント Cookie 以外のセッション方式を選択可能 通常 Cookie 携帯電話識別 ID SSL セッション ID 簡易 Cookie IP アドレス URL Rewriting CA Single Sign-On Access Gateway CA Single Sign-On Policy Server Firewall Firewall 26

28 Single Sign-On r12.7 r12.8 の 機能強化項目 27

29 機能強化項目 r12.8 新機能 OpenID Provider の拡充 OpenID Provider で Refresh Token と Implicit Flow に対応しました 認証方式レベルでの IP ホワイトリスト設定 IP ホワイトリストでの制御ができるようになりました 外部のサービスと連携する認証方式の追加 以下の認証方式をサポートしました JSON Web Token(JWT) 28

30 機能強化項目 r12.7 新機能 外部のサービスとの連携を実現する標準仕様のサポート 以下の標準仕様をサポート OpenID Connect 1.0サポート Relying Partyは対応していません Policy Object REST API サポート 統合 Windows 認証のサポート Windows PC から Active Directory にログオンするだけで CA Single Sign-On のシングルサインオン環境にもアクセス可能 Microsoft Azure のシングルサインオン 企業内ユーザーと以下のクラウドソリューションの間でシングルサインオンが可能 Microsoft Azure FUJITSU Cloud Service for Microsoft Azure Web サービスの認証 認可 Web サービスの認証 認可が可能 29

31 動作環境 種類 / 用途 Single Sign-On ( ポリシーサーバ ) Web Agent Access Gateway ( 旧機能名 Secure Proxy Server) User/Policy Store(*1) Web コンソール 動作 OS/ 環境 Windows Server 2012 R2 / Windows Server 2016 / Red Hat Enterprise Linux 6 / Red Hat Enterprise Linux 7 Interstage Application Server V11/V12 ASF Apache 2.2.x/2.4.x Microsoft IIS 7.0/7.5/8.0/8.5 /10 詳細は弊社営業 SE にお問い合わせください Windows Server 2012 R2 / Windows Server 2016 / Red Hat Enterprise Linux 6 / Red Hat Enterprise Linux 7 / Oracle Solaris 11 Microsoft Active Directory 2012, 2012R2, 2016 / Microsoft Active Directory Lightweight Directory Services 2012, 2012R2, 2016 / Microsoft SQL Server 2012, 2014, 2016 / Oracle Directory Server EE 11gR1, 11gR1 SP1, x / Oracle Internet Directory 11gR1, 12c / Oracle MySQL Enterprise Server 5.1 以降 / Oracle Database 12c, 12cR1, 12cR2 / Oracle RAC 12cR1 /Red Hat Directory Server 9.x, 10.x / CA Directory 12.x / OpenLDAP 2.4 / PostgreSQL 9.3, 9.4, 9.6 HTTP1.x HTTP cookie SSL/TLS をサポートしているブラウザ (*1)CA Single Sign-On が管理するユーザー情報 ポリシー情報を格納するリポジトリ 30

32 登録商標 CA Identity Manager CA Single Sign-Onは 米国およびその他の国における米国 CA Inc. またはその子会社の商標または登録商標です Microsoft Internet Explorer Hyper-V Windows およびWindows Serverは 米国 Microsoft Corporationの米国およびその他の国における登録商標または商標です UNIXは 米国およびその他の国におけるオープン グループの登録商標です OracleとJavaは Oracle Corporation およびその子会社 関連会社の米国およびその他の国における登録商標です 文中の社名 商品名等は 各社の商標または登録商標である場合があります Oracle Solarisは Solaris Solaris Operating System Solaris OSと記載することがあります Linuxは Linus Torvalds 氏の米国およびその他の国における商標または登録商標です Red Hatは Red Hat, Inc. の米国およびその他の国における登録商標または商標です その他 本資料に記載されているシステム名 製品名等には必ずしも商標表示 (TM ) を付記しておりません 31

33 32

34 ( 参考 )2018/9 以前の r12.7 の動作環境 種類 / 用途 Single Sign-On ( ポリシーサーバ ) Web Agent Access Gateway ( 旧機能名 Secure Proxy Server) User/Policy Store(*1) Web コンソール 動作 OS/ 環境 Windows Server 2012 R2 / Red Hat Enterprise Linux 6 / Red Hat Enterprise Linux 7 Interstage Application Server V11/V12 ASF Apache 2.2.x/2.4.x Microsoft IIS 7.0/7.5/8.0/8.5 /10 詳細は弊社営業 SE にお問い合わせください Windows Server 2012 R2 / Red Hat Enterprise Linux 6 / Red Hat Enterprise Linux 7 / Oracle Solaris 11 Microsoft Active Directory 2012, 2012R2 / Microsoft Active Directory Lightweight Directory Services 2012, 2012R2 / Microsoft SQL Server 2012, 2014 / Sun Java System Directory Server EE 6.1 以降,7.x / Oracle Directory Server EE 11gR1, 11gR1 SP1 / Oracle Internet Directory 11gR1 / Oracle MySQL Enterprise Server 5.1 以降 / Oracle Database 12cR1 / Oracle RAC 12cR1 /Red Hat Directory Server 9.x, 10.x / CA Directory 12.x, 12.5.x, 12.6 / OpenLDAP 2.4 / PostgreSQL 9.3, 9.4 HTTP1.x HTTP cookie SSL/TLS をサポートしているブラウザ (*1)CA Single Sign-On が管理するユーザー情報 ポリシー情報を格納するリポジトリ 33

35 ( 参考 )2017/7 以前の動作環境 種類 / 用途 Single Sign-On ( ポリシーサーバ ) Web Agent 動作 OS/ 環境 Microsoft Windows Server 2008(32-bit, 64-bit)/2008 R2 Red Hat Enterprise Linux 5(x86, Intel64)/6(x86, Intel64) Oracle Solaris 10/11 Interstage Application Server V10/V11(32bit) ASF Apache 2.2.x/2.4.x(32bit/64bit) Microsoft IIS 7.0/7.5(32bit/64bit) 上記以外については 弊社営業 SE にお問い合わせください Secure Proxy Server User/Policy Store(*1) Microsoft Windows Server 2008(32-bit, 64-bit)/2008 R2 Red Hat Enterprise Linux 5(x86, Intel64)/6(x86, Intel64) Oracle Solaris 10/11 Microsoft Active Directory 2012(*2) Microsoft SQL Server 2008/2008R2/2012 Oracle Database 12c(*2) CA Directory r12 SPx 上記以外と (*2) については 弊社営業 SE にお問い合わせください Web コンソール HTTP1.x HTTP cookie SSL/TLS をサポートしているブラウザ (*1)CA Single Sign-On が管理するユーザー情報 ポリシー情報を格納するリポジトリ 34

36 ( 参考 )2015/8 以前の動作環境 種類 / 用途 Single Sign-On ( ポリシーサーバ ) Web Agent 動作 OS/ 環境 Microsoft Windows Server 2008(32-bit, 64-bit)/2008 R2 Red Hat Enterprise Linux 5(x86, Intel64)/6(x86, Intel64) Oracle Solaris 10/11 Interstage Application Server V9/10/V11(32bit) ASF Apache 以降 /2.2.x/2.4.x(32bit/64bit) Microsoft IIS 7.0/7.5(32bit/64bit) 上記以外については 弊社営業 SE にお問い合わせください Secure Proxy Server User/Policy Store(*1) Microsoft Windows Server 2008(32-bit, 64-bit)/2008 R2 Red Hat Enterprise Linux 5(x86, Intel64)/6(x86, Intel64) Oracle Solaris 10/11 Microsoft Active Directory 2008/2008R2 Sun Java System Directory Server EE 6.1 以降,7.x Microsoft SQL Server 2008/2008R2/2012 Oracle Database 11g R2 CA Directory r12 SPx 上記以外については 弊社営業 SE にお問い合わせください Web コンソール HTTP1.x HTTP cookie SSL/TLS をサポートしているブラウザ (*1)CA Single Sign-On が管理するユーザー情報 ポリシー情報を格納するリポジトリ 35 Copyright FUJITSU LIMITED