オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

Transcription

1 ハイブリッド クラウド 時 代 における Webアプリの 認 証 セキュリティ 対 策 ~シングルサインオンでセキュリティと 利 便 性 を 両 立 させる~ オープンソース ソリューション テクノロジ 株 式 会 社 代 表 取 締 役 チーフアーキテクト 小 田 切 耕 司 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved

2 Part 1 講 師 紹 介 オープンソース ソリューション テクノロジ 会 社 紹 介 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved

3 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 講 師 紹 介 役 職 : 代 表 取 締 役 チーフアーキテクト 氏 名 : 小 田 切 耕 司 (おだぎり こうじ) 所 属 団 体 等 OpenSSO&OpenAMコンソーシアム 副 会 長 OSSコンソーシアム 副 会 長 日 本 LDAPユーザ 会 設 立 発 起 人 日 本 Sambaユーザ 会 初 代 代 表 幹 事 執 筆 関 係 日 経 Linux 2011 年 9 月 号 ~2012 年 2 月 号 連 載 中 Linux 認 証 のすべて ( 第 1 回 ~ 第 6 回 ) ASCII.technologies 2011 年 2 月 号 キホンから 学 ぶLDAP 技 術 評 論 社 Software Design 2010 年 9 月 号 第 1 特 集 クラウド 対 策 もこれでOK! 統 合 認 証 システム 構 築 術 OpenAM/SAML/OpenLDAP/Active Directory やってはいけないSambaサーバ 構 築 :2008 年 版 2006 年 5 月 技 術 評 論 社 LDAP Super Expert 巻 頭 企 画 [ 新 規 / 移 行 ]LDAPディレクトリサービス 導 入 計 画

4 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved オープンソース ソリューション テクノロジ 株 式 会 社 OSに に 依 存 しないOSS OSSのソリューションを を 中 心 に 提 供 Linuxだけでなく Windows/Solaris/AIXへも 対 応 Windows/UNIX から Linux への 移 行 も 支 援! OSSを を 利 用 した 認 証 基 盤 構 築 が 得 意 分 野 LDAP 認 証 Windowsドメイン 認 証 Webアプリケーショ ン 認 証 クラウド 認 証 Samba,OpenLDAP,OpenAM,IDMなどによる 認 証 統 合 /シ ングルサインオン ID 管 理 ソリューションを 提 供 OSSの 製 品 パッケージ 製 品 サポートを 提 供 OSSの 改 良 バグ 修 正 などコンサルティングにも 対 応

5 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 会 社 概 要 会 社 名 英 語 表 記 社 名 略 称 オープンソース ソリューション テクノロジ 株 式 会 社 Open Source Solution Technology Corporation OSSTech(オーエスエステック)または OSSテクノロジ 所 属 団 体 等 OpenSSO&OpenAMコンソーシアム 理 事 副 会 長 OSSコンソーシアム 理 事 副 会 長 OSCA(Open Standard Cloud Association) 理 事 LPI-Japanビジネスパートナー デルISVアリーナ パートナー NEC CLUSTERPRO WORKSパートナー レッドハット レディ ビジネス パートナー 業 務 内 容 役 員 オフィス Web 設 立 資 本 金 OSS(オープンソース)を 中 心 とするソフトウエアの 企 画 開 発 販 売 およびサポート システムの 導 入 に 関 するコンサルティング ソフトウエアに 関 する 教 育 研 修 代 表 取 締 役 技 術 取 締 役 小 田 切 耕 司 武 田 保 真 東 京 都 品 川 区 西 五 反 田 コイズミビル 8F Tel Fax 年 9 月 1500 万 円 取 引 先 および ハ ートナー 様 株 式 会 社 野 村 総 合 研 究 所 デル 株 式 会 社 株 式 会 社 バッファロー 日 本 電 気 株 式 会 社 株 式 会 社 大 塚 商 会 キヤノンITソリューションズ 株 式 会 社 伊 藤 忠 テクノソリューションズ 株 式 会 社 新 日 鉄 ソリューションズ 株 式 会 社 株 式 会 社 PFU 株 式 会 社 日 立 ソリューションズ 三 菱 電 機 インフォメーションシステムズ 株 式 会 社 ソフトバンク テクノロジー 株 式 会 社 ニフティ 株 式 会 社 三 井 情 報 株 式 会 社 ダイワボウ 情 報 システム 株 式 会 社 NTTデータ 先 端 技 術 株 式 会 社

6 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 認 証 基 盤 システム 管 理 ID 管 ID 管 ID 管 Active Directory Google Apps Salesforce ファイル サーバー バ LDAP Web アプリ クラウド Windows ドメインログオ ログイ ログイ ユーザ

7 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved OSSTechの 製 品 群 Unicorn IDM ID 連 ID 管 システム 管 理 Active Directory Google Apps Salesforce ファイル サーバー バ LDAP Web アプリ SSO クラウド Windows ドメインログオ 認 証 基 盤 をすべ OSS 製 品 で 提 供 ユーザ ログイ

8 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved OSSTechの 製 品 群 (すべてOSSで 提 供 ) 原 則 Linux/Solaris/AIX 共 にRPMで 提 供 1 Samba for Linux/Solaris/AIX ADの 代 替 高 性 能 NASの 代 替 2 OpenLDAP for Linux/Solaris/AIX 認 証 統 合 ディレクトリサービス シングルサインオンのインフラ 3 OpenAM for Linux/Windows/Solaris Tomcat,OpenLDAP 対 応 で 高 機 能 なシングルサインオン 機 能 を 提 供 4 Unicorn ID Manager for Linux/Solaris Google Apps,ActiveDirectory,LDAP, Yahoo!メール Academic Editionに 対 応 した 統 合 ID 管 理

9 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved OSSTechの 製 品 群 (すべてOSSで 提 供 ) 原 則 Linux/Solaris/AIX 共 にRPMで 提 供 5 Chimera Search for Linux アクセス 権 の 無 いファイルは 表 示 されない 全 文 検 索 システム 6 LDAP Account Manager for Linux/Solaris 管 理 機 能 の 弱 いOSSのLDAP/SambaにWebベースのGUIを 提 供 7 ThothLink for Linux リモートからのWindowsファイルサーバアクセス 機 能 を 提 供 8 Mailman for Linux/Solaris Google Appsのメーリングリスト 機 能 を 補 完 9 Netatalk for Linux/Solaris UTF-8に 対 応 したMac OS 対 応 のAFPファイルサーバー

10 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 現 在 開 発 中 Nginxのポリシーエージェント 開 発 中 開 発 が 終 了 した 従 来 のSun Web Proxy Serverの 代 替 用 途 として Apacheよりも 軽 量 で 高 速 高 セキュリティ Windows 版 の 製 品 化 も 検 討

11 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved エンジニア 募 集 中 です! 特 にOpenAM(Java)のエンジニア 募 集 中 [email protected] OpenAM(OpenSSO)を 使 ったシングルサインオンもしく はSamba OpenLDAPを 使 った 統 合 認 証 に 関 する 開 発 エンジニア コンサルタント アーキテクト シングルサインオン 統 合 認 証 Linux / UNIX / OSS 経 験 Java,Cの 知 識 があり 前 向 きに 自 分 でスキル 向 上 を 目 指 せる 方 紹 介 会 社 などを 通 さず 直 接 弊 社 へ 募 集 エントリされた 方 には 入 社 後 現 金 20 万 円 を 差 し 上 げます

12 Part 2 シングルサインオンとは Copyright 2011 Open Source Solution Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. Technology, Corp

13 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved サービスを 利 用 するには 必 ず 必 要 な 認 証 Active Directory 企 業 組 織 内 クラウド Google Apps Salesforce ファイル サーバー バ LDAP メールサーバー Client/Server Webアプリ Windowsログオン/ LDAP 認 証 ログイン ログイン ログイン ユーザー システムの 数 だ 認 証 が 必 要

14 SSO:シングルサインオンとは 一 度 のログイン 操 作 さえ 完 了 すれば 複 数 のアプリケーションに 認 証 操 作 することなくアクセスすることが 可 能 になる Active Directory Google Apps ファイル サーバー バ LDAP Windowsログオン LDAP 認 証 メールサーバー/ クラサバ ログイン Webアプリ ログイン SSO Salesforce クラウド 今 日 は この 部 分 のお 話 ユーザ Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved

15 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved SSO(シングルサインオン)とは 1 回 のパスワード 入 力 で 複 数 のシステムやサービスを 同 時 利 用 ID 統 合 を 使 った 統 合 認 証 ではIDとパスワードの 管 理 を1カ 所 でで きるためユーザの 追 加 も 楽 社 員 が 退 社 した 場 合 に1カ 所 IDを 削 除 すれば すべてのシステムが 利 用 不 可 となる 近 年 クラウドサービス(SaaS, PaaS, IaaS, HaaSなど)の 普 及 により ( 社 外 にある)サービス 毎 にID/パスワードを 登 録 しなければならな いケースが 増 えており ID 連 携 による 統 合 認 証 を 使 わざるを 得 ないケースが 増 えている ところがこのID 連 携 が 費 用 の 問 題 や 技 術 的 な 問 題 で 完 全 に 実 現 されていない 場 合 例 えば 社 員 が 退 社 した 時 に 社 内 システムのID を 削 除 しても SaaS 側 のIDが 残 っているとクラウド 側 のシステムは 社 外 から 使 えてしまう といった 問 題 が 起 きてしまう

16 クラウドで 統 合 認 証 ができていないと... インターネッ ログイ ログイ クラウド サービス Google Apps SalesForceなど プライベートクラウド /ASP B2B,B2C SP SP 認 証 認 証 IdP IdP ユーザー 情 報 ユーザー 情 報 ユーザー 情 報 ユーザー 情 報 ログイ イントラネット 社 内 向 けシステム システム 毎 にログイン 操 作 が 必 要 クラウドにID/パスワードとパスワードを 置 く 必 要 がある (パスワードを 社 外 に 置 くと 不 正 ログインされる 危 険 性 が 高 い) ユーザー 情 報 ユーザー 情 報 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved SP 認 証 IdP

17 クラウドで 統 合 認 証 とSSOを 実 現 する DMZ (1) インターネッ 認 証 はすべて 社 内 で 行 う IdP 認 証 チケッ (2) SAML 認 証 アクセ アクセ 認 証 チケット/ リバースプロク SP クラウド サービス Google Apps SalesForceなど プライベートクラウド /ASP B2B,B2C SP LDAP/AD ID/Pass ログイ パスワードは 社 内 で 管 理 (3) 認 証 チケット/ リバースプロク アクセス ユーザー イントラネット 社 内 向 けシステム SP Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved

18 Part 3 今 こそシングルサインオン! なぜ 今 シングルサインオンが 必 要 なのか Copyright 2011 Open Source Solution Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. Technology, Corp

19 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved SSO(ID 管 理 )の 需 要 推 移 さらなる 需 要 見 込 まれる 需 要 J-SOX 法 対 応 ( 内 部 統 制 ) クラウドの 普 2008 年 2009 年 2010 年 2011 年 時 期

20 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved SSO(OpenAM) 導 入 動 向 クラウドの 普 及 により SSO(シングルサインオン)が 急 速 に 普 及 中 IaaSやPaaSも 増 えつつあるが やはりSaaSのGoogle Apps( 大 学 / 企 業 )とSalesforce( 企 業 )をまず 導 入 する ケースが 多 い 企 業 ではSalesforceのセキュリティ 強 化 を 目 的 にOpenAM 導 入 するケースが 多 い 大 学 ではGoogle AppsとイントラネットやShibbolethを 連 携 させるケースが 多 い 企 業 ではM&Aや 会 社 合 併 のために 増 えすぎたアプリやID を 統 合 するためにSSOを 導 入 今 後 は IaaSやPaaSがさらに 普 及 し これらの 上 で 構 築 された 社 内 向 け 個 別 アプリのSSOが 普 及 しそう

21 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved Part 4 OpenAM( ( 旧 OpenSSO) の 紹 介

22 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved OpenAMとは Webアプリケーションにおけるシングルサインオンを 実 現 するためのプラットフォームとなるオープンソー スソフトウェア SAML OpenID OpenID OAuth ID-WSFなどの 認 証 認 可 に 関 連 した 複 数 のプロトコルをサポート ユーザー 情 報 を 格 納 するためのユーザーリポジトリ (ユーザーデータストア)として 様 々な LDAP サーバ ー RDBに 対 応 充 実 した 管 理 GUI

23 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved OpenAMの 歴 史 - その1 AOLによる 買 収 AOLからの 分 離 認 証 連 携 機 能 の 強 化 オープン ソース 開 発 主 体 Netscape iplanet Sun Microsystems 製 品 名 dsame Identity Server Access Manager OpenSSO

24 OpenAMの 歴 史 - その2 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved Oracle による 買 収 OpenSSO は 非 戦 略 的 な 製 品 という 位 置 づけ Sun Oracle OpenSSO Oracle OpenSSO Oracleから 分 離 新 プロジェク の 開 始! ForgeRock 社 OpenAM OSSTech との 協 業

25 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved OpenAMのこれから( 技 術 面 ) OpenAM は OpenSSO の 正 常 進 化 形 OpenSSO を 担 当 していたエンジニアが 中 心 になりForgerock 社 を 設 立 OpenSSOと 完 全 互 換 (ベースにするソースコードが 同 じ) クラウド 対 応 強 化 Google Apps, Salesforce とのシングルサインオン(SAML) 連 携 機 能 を 強 化 GUI による 操 作 でシングルサインオン 設 定 が 可 能 機 能 拡 充 ワンタイムパスワード 機 能 の 追 加 ユーザーリポジトリしてRDBをサポート 次 期 バージョン(OpenAM 10)では 更 なる 認 証 機 能 の 強 化 を 検 討 中 リスクベース 認 証 :ID/PW 認 証 に 加 え ユーザーのアクセス 元 IPアドレス ブラ ウザ(デバイス) 情 報 などから 不 正 アクセスのリスクを 判 定 し 必 要 に 応 じて 多 要 素 認 証 などをユーザーに 要 求 する

26 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved OpenAMのこれから(ビジネス 面 ) ベンダ 独 自 のパッケージングも 可 能 生 体 認 証 などの 独 自 認 証 方 式 を 組 み 合 わせる ID 管 理 システムと 組 み 合 わせる OSSTech 版 OpenAM の 特 徴 OpenLDAP 用 拡 張 スキーマを 提 供 ID 管 理 製 品 (Unicorn IDM)との 組 合 わせ Google Apps/Salesforce/ 学 認 などと 連 携 するシングルサインオンソリ ューションを 提 供 需 要 日 本 では 多 くが 新 規 ユーザー 企 業 大 学 などの 認 証 基 盤 として OpenAM を 利 用 クラウドにおける 認 証 基 盤 認 証 強 化 ツールとして OpenAM を 利 用 既 存 ユーザー(Sun Access Manager OpenSSO)からの 移 行 ( 米 国 ヨーロッパ) 複 数 のシングルサインオン 環 境 を 統 合 する ハブ システムとして 利 用

27 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved Part 5 シングルサインオン 方 式

28 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 何 が 違 う? 認 証 と 認 可 認 証 (Authentication) 本 人 性 を 確 認 する ID/パスワード 認 証 生 体 認 証 ワンタイムパスワード 認 証 など 認 可 (Authorization) あるリソースへアクセスするための 権 限 を 与 える( 認 証 後 のアクセス 制 御 )

29 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved Part 6 OpenAMが 提 供 する シングルサインオン 方 式

30 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved シングルサインオン 方 式 の 詳 細 (1) SAMLによるシングルサインオン Secure Assertion Markup Lauguage 認 証 認 可 ユーザ 属 性 情 報 などをXMLで 送 受 信 す るためのフレームワーク 標 準 化 団 体 OASISにより 策 定 GoogleApps Salesforceなどが 採 用 エージェント 方 式 SSO 対 象 のWebアプリが 動 作 するサーバー 上 にアクセ ス 制 御 用 のモジュールを 配 置 する 方 式 サーバーのバージョンに 影 響 を 受 ける

31 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved シングルサインオン 方 式 の 詳 細 (2) リバースプロキシ 方 式 リバースプロキシを 使 用 してアクセス 制 御 を 行 う ユーザーデータの 受 け 渡 しはHTTPヘッダーを 利 用 SSO 対 象 Webアプリのバージョンや 設 定 変 更 の 影 響 が 少 ない リバースプロキシが 性 能 上 のボトルネックになる 可 能 性 がある 代 理 認 証 方 式 SSO 対 象 Webアプリの 既 存 ログイン 画 面 に 対 して OpenAMがユ ーザーの 代 理 でログインID/パスワードを 送 信 する SSO 対 象 Webアプリの 改 修 が 不 要 細 かなアクセス 制 御 はできない(ログイン 処 理 の 代 理 実 行 のみ)

32 SAMLによるシングルサインオン Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved

33 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved SAMLによるシングルサインオン (HTTP Redirect/POST Bindingの 場 合 ) User Agent (ブラウザ) (1)SPへアクセス SP (Webアプリ) HTTP Redirect IdP (OpenAM) (2)SAML 認 証 要 求 メッセージ(AuthnRequest) (3)ユーザ 認 証 (4)SAML 認 証 応 答 メッセージ(Response 認 証 情 報 (アサーション)を 含 む) アサーション 生 成 (5)コンテンツ HTTP POST

34 エージェント 型 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved

35 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved エージェント 方 式 によるシングルサインオン User Agent Policy Agent (ブラウザ) (Webアプリケーション) (1)Webアプリケーションへアクセス 認 証 サーバ (OpenAM) (2)OpenAMへリダイレクト (3)ユーザ 認 証 (4)Cookieを 発 行 Cookie 発 行 (5) 認 証 後 のアクセス (6)Cookieの 正 当 性 確 認 (7)Webアプリケーションのコンテンツ HTTPヘッダなどから 認 証 情 報 を 入 手

36 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved リバースプロキシ 型 後 方 のサーバを 仮 想 的 に1 台 に 見 せることも 可 能 認 証 とサーバへのアクセス 制 御 はプロキシサーバで 行 う 後 方 のサーバは 認 証 なしもしくはBasic 認 証 でアクセス 可 能

37 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved リバースプロキシ 方 式 によるシングルサインオン User Agent (ブラウザ) リバースプロキシ 認 証 サーバ (OpenAM) Webアプリケ ーション (1)Webアプリケーションへアクセス (2)OpenAMへリダイレクト (3)ユーザ 認 証 (4)Cookieを 発 行 Cookie 発 行 (5) 認 証 後 のアクセス (8)コンテンツ (6)Cookieの 正 当 性 の 確 認 (7)リクエストのフォワード ヘッダ 情 報 を 確 認

38 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 代 理 認 証 方 式 プロキシ または 代 理 認 証 ポータル 認 証 情 報 をPOST 認 証 サーバで 認 証 したら 後 方 のサーバへ 認 証 情 報 をPOSTして 認 証 する 後 方 のサーバが 独 自 の 認 証 画 面 を 持 っていてもSSO 可 能

39 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 代 理 認 証 方 式 によるシングルサインオン User Agent (ブラウザ) 代 理 認 証 サーバー 認 証 サーバ (OpenAM) Webアプリケ ーション (1)Webアプリケーションへアクセス (2)OpenAMへリダイレクト (3)ユーザ 認 証 (4)Cookieを 発 行 Cookie 発 行 (5) 認 証 後 のアクセス (6) IDとパスワードの 代 理 送 信 (7)コンテンツ Cookie 発 行

40 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved シングルサインオン 方 式 Webアプリケーションの 改 修 方 式 の 比 較 長 所 短 所 SAML エージェント SAMLに 対 応 していれば 不 要 必 要 標 準 的 な 仕 様 に 準 拠 したSSOシステムを 構 築 可 能 他 製 品 との 互 換 性 が 高 い 認 証 サーバー(IdP)を 社 内 に 設 置 し クラウドサービスで あっても アクセスを 社 内 のみからに 制 限 することも 可 能 ( サービスのSAML 実 装 に 依 る) WebアプリケーションがSAMLに 対 応 している 必 要 があ る Webアプリケーションへの 全 ての 通 信 をエージェントがフ ックするため 細 かなアクセス 制 御 が 可 能 サーバーに 対 応 したエージェントが 必 要 リバース プロキシ 必 要 Webアプリケーションへの 全 ての 通 信 をリバースプロキシ がフックするため 細 かなアクセス 制 御 が 可 能 リバースプロキシがボトルネックになる 可 能 性 もある 代 理 認 証 不 要 既 存 Webアプリケーションの 改 修 が 不 要 代 理 認 証 不 可 能 な 場 合 もある

41 シングルサイオン 方 式 の 採 用 基 準 Webアプリケーションが SAMLに 対 応 しているか No No Webアプリケーションの 改 修 が 可 能 か Yes WebアプリケーションをSAMLに 対 応 させることができるか No No ポリシーエージェントが Webサーバ/APサーバ に 対 応 しているか No Yes Yes Yes SAMLを 採 用 代 理 認 証 方 式 を 採 用 SAMLを 実 装 エージェント 方 式 を 採 用 リバースプロキシ 方 式 を 採 用 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved No

42 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 本 当 はやってはいけない 代 理 認 証 既 存 アプリに 手 を 入 れられない という 理 由 で 代 理 認 証 を 採 用 するユーザーは 多 いが 本 当 はやってはいけない! IDとパスワードを(HTTPSでも)ネットワークに 何 度 も 流 すの は 良 くない (SSO 入 り 口 の1カ 所 に 限 定 すべき) 代 理 認 証 はイントラネットのみに 限 るべき クラウドへの 代 理 認 証 は 危 険 SAMLに 対 応 しているGoogle AppsやSalesforceに 対 して 代 理 認 証 は 絶 対 にやってはいけない! (SAMLを 使 ってIdPを 社 内 に 置 けばパスワードはクラウドに 流 れない)

43 Part 7 Google Appとの 連 携 設 定 手 順 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved

44 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved Google AppsへのSSO OpenAM (SAML IdP) ログイン ユーザ SAML アサーション Google Apps (SAML SP)

45 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 設 定 手 順 OpenAMのメニューに 従 い 設 定 を 行 う OpenAMをIdPとして 設 定 する 新 規 にトラスト サークルを 作 成 する Google AppsをSPとして 設 定 する OpenAM 側 での 設 定 Google Apps 側 での 設 定 OpenAMが 表 示 する 値 をGoogle Appsに 反 映

46 手 順 1: IdPの 作 成 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved

47 手 順 2: Google AppsをSPとして 登 録 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved

48 手 順 3: Google Appsで 設 定 するSAMLパラメータ Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved

49 手 順 4: Google AppsのSSOを 有 効 化 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved

50 手 順 5: Google Appsのシングルサイン 設 定 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved

51 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved Part 8 OpenAMの 機 能 (その2) 認 証 方 式 ( 多 様 素 認 証 )

52 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 認 証 方 式 ワンタイムパスワード 指 静 脈 認 証 Windows Desktop SSO クライアント 証 明 書 外 部 DB 認 証 連 鎖 OpenAMの 機 能 データストアと 認 証 方 式 OpenAM Web Application ユーザー ログイン ログイン ID PW SSO Web Application User Data Store Web Application ユーザーデータスト (ユーザー 情 報 DB) Active Directory OpenLDAP RDB

53 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved OpenAMの 機 能 - 認 証 方 式 基 本 的 には OpenAM のユーザーデータストアに 保 存 さ れた ID/パスワードにより 認 証 を 行 なう ユーザー 認 証 時 に 外 部 のデータベースを 参 照 することも 可 能 ( 更 新 できない 参 照 のみのものでも 可 能 ) LDAP Active Directory RADIUS RDB(JDBC) よりセキュアな 認 証 方 式 も 使 用 可 能 ワンタイムパスワード( 電 子 メールを 利 用 ) クライアント 証 明 書 による 認 証 Windows Desktop SSO( 統 合 Windows 認 証 ) 複 数 の 認 証 方 式 を 組 み 合 わせて 使 用 可 能 : 認 証 連 鎖

54 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved OpenAMの 機 能 - ユーザー 情 報 DB ユーザーデータストア OpenAMのユーザー 情 報 を 格 納 するLDAPサーバー/デ ータベースサーバー( 更 新 権 限 が 必 須 ) Active Directory Open LDAP Sun Directory Server OpenDS(Sun Directory Server のオープンソース 版 OpenAMに 標 準 で 組 み 込 まれている) RDB(OpenAMから 対 応 )

55 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved OpenAMの 機 能 - 認 証 連 鎖 多 様 素 認 証 の 必 要 性 複 数 の 認 証 方 式 を 組 合 わせて 認 証 を 行 うことにより 個 々の 認 証 方 式 の 欠 点 を 補 完 認 証 連 鎖 複 数 の 認 証 方 式 を 組 み 合 わせて 利 用 可 能 認 証 方 式 にはそれぞれ 適 用 条 件 を 指 定 する 必 須 : 失 敗 したらそこで 終 了 十 分 : 成 功 したらそこで 終 了 必 要 : 成 功 しても 失 敗 しても 次 に 継 続 任 意 : 認 証 結 果 には 関 係 しない 付 随 的 な 処 理 認 証 方 式 1( 必 須 ) ID/PW 認 証 認 証 方 式 2( 必 須 ) ワンタイムパスワード ログイン 完 了

56 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 多 要 素 認 証 複 数 の 認 証 方 式 を 組 合 わせて 認 証 を 行 うことにより 個 々の 認 証 方 式 の 欠 点 を 補 完 厳 密 なユーザ 認 証 異 なるタイプの 認 証 方 式 を 組 合 わせることが 重 要 使 い 勝 手 の 向 上 いつも 同 じ 認 証 方 式 が 使 えるとは 限 らない 状 況 により 要 求 される 認 証 の 精 度 が 異 なる 認 証 方 式 間 での 連 携 組 合 わせて 使 うことを 前 提 にしている 認 証 方 式 もある

57 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 認 証 連 鎖 認 証 方 式 を 組 合 わせる 方 法 を 指 定 する 認 証 方 式 にはそれぞれ 適 用 条 件 を 指 定 する 十 分 : 成 功 したらそこで 終 了 必 要 : 成 功 しても 失 敗 しても 次 に 継 続 必 須 : 失 敗 したらそこで 終 了 任 意 : 認 証 結 果 には 関 係 しない 付 随 的 な 処 理 認 証 成 功 時 には 認 証 方 式 に 応 じて 認 証 レベルが 設 定 され る 認 証 方 式 1( 十 分 ) 認 証 方 式 2( 必 要 ) 認 証 方 式 3( 任 意 ) 評 価 評 価

58 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 例 1.Windows Desktop SSO Windows Server 2000/2003/ ド メ イ ン ロ グ オ ン Active Directory チ ケ ッ ト 発 行 2 自 動 チケット 送 付 3 OpenAM 認 証 認 可 属 性 情 報 利 用 4

59 例 1.Windwos Desktop SSO WindowsドメインログオンするだけでWebアプリケーシ ョンにもSSOが 可 能 になる 便 利 な 方 式 いつも 全 てのユーザがドメインログオン 可 能 であるとは 限 らない リモート アクセスの 場 合 非 常 勤 社 員 の 場 合 通 常 のユーザID パスワードによる 認 証 と 組 み 合 わせて 以 下 のように 認 証 連 鎖 構 成 する Windows Desktop SSO: 十 分 ユーザID パスワードによる 認 証 : 必 須 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved

60 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 例 2. 携 帯 電 話 を 使 ったワンタイム パスワード ユーザID パスワード 認 証 成 功 通 常 のユーザID パスワード による 認 証 ユーザの 携 帯 電 話 ワンタイム パスワード 要 求 ワンタイム パスワードの 入 力 画 面 +HMAC ワンタイム パスワード +HMAC 返 送 OpenAM 同 時 に 携 帯 電 話 へ ワンタイム パスワードを 送 付 認 証 成 功 ワンタイム パスワード 認 証

61 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 例 2. 携 帯 電 話 を 使 ったワンタイム パスワード 所 持 物 認 証 と 知 識 認 証 の 組 合 わせによる 厳 密 なユーザ 認 証 が 可 能 携 帯 電 話 を 使 うことによる 利 点 導 入 コストの 低 減 所 持 品 の 軽 減 フィッシングへの 対 応 HMAC(RFC2104:Keyed-Hashing for Message Authentication)を 利 用 両 方 のパスワードが 盗 まれた 場 合 は 問 題 参 考 :RSAセキュリティ( 株 )による 月 例 記 者 会 見

62 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 応 用 例 Windows Desktop SSOによる 認 証 は 便 利 なのでぜひ 使 いた いが 全 てのユーザがドメインログオン 可 能 とは 限 らない ワンタイム パスワードは 厳 密 な 認 証 が 出 来 る 点 は 良 いが いつも 携 帯 電 話 を 開 いてパスワードを 確 認 するのは 面 倒 だ 2つを 組 合 わせることにより 便 利 かつ 厳 密 な 認 証 を 行 うこ とが 可 能 Windows Desktop SSO: 十 分 ユーザID パスワードによる 認 証 : 必 須 ワンタイム パスワードによる 認 証 : 必 須

63 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved アダプティブ リスク 認 証 モジュール リスク 評 価 に 基 づく 認 証 強 度 の 選 択

64 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved アダプティブ リスクの 考 え 方 認 証 時 にリスクを 評 価 することによりリスクに 見 合 った 認 証 方 式 を 動 的 に 追 加 Risk Based 認 証 とも 呼 ばれる リスクの 評 価 予 め 各 リスクについて 重 み 付 けを 行 う 認 証 時 にすべてのリスクについてそれらを 合 算 する 既 定 の 閾 値 を 超 えた 場 合 は 認 証 失 敗 とする

65 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved リスクの 例 リスクが 高 いと 評 価 される 例 パスワードを 間 違 えたユーザからのアクセス 最 終 的 に 正 しいパスワードを 入 力 したとしてもリスクは 高 い アカウント ロックとの 併 用 / 代 用 長 期 間 アクセスがなかったユーザからのアクセス 特 定 のIPアドレスの 範 囲 からのアクセス 例 : 社 外 からのアクセス 特 定 の 地 域 からのアクセス 例 : 日 本 国 外 いつもとは 異 なる 端 末 からのアクセス( 複 数 可 ) いつもとは 異 なるIPアドレスからのアクセス( 複 数 可 ) 特 定 の 属 性 を 持 つユーザからのアクセス 例 : 正 社 員 でない

66 アダプティブ リスク 認 証 モジュールの 設 定 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved

67 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 認 証 連 鎖 と 組 み 合 わせたソリューション 例 認 証 連 鎖 複 数 の 認 証 方 式 を 組 み 合 わせ 高 いセキュリティを 実 現 でも 毎 回 だ 少 し 面 倒! 通 常 の 認 証 方 式 閾 値 を 超 えた ためリスクが 高 いと 判 定 さ れた 強 固 だが 少 し 面 倒 な 認 証 方 式 認 証 方 式 1( 必 ID/PW 認 証 OK 認 証 方 式 2( 十 分 ) アダプティブ リスク 認 証 NG 認 証 方 式 3( 必 要 ) ワンタイム パスワード 認 証 OK OK 閾 値 を 超 えず リスクが 低 い と 判 定 された ログイン 完

68 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved Oauth 2.0を を 使 った Facebookとの 連 携 連 携 に 基 づく 様 々なシナリオ

69 Oauth 2.0を 使 ったやりとり Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved ユーザ (ブラウザ) 未 認 証 ユーザのアクセス OpenAM Facebook Facebookのログインページへのリダイレクト 認 証 とユーザ 承 認 の 取 得 OpenAMへのリダイレクト 認 可 コード 認 可 コード この 先 が 重 要 アクセストークン アクセストークン ユーザ 情 報 ( 許 可 されたもの)

70 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 取 得 したユーザ 情 報 の 取 り 扱 い セッション 情 報 としてメモリ 上 にのみ 保 存 必 要 に 応 じてセッションオブジェクトからユーザ 情 報 を 取 得 一 時 的 な 利 用 に 限 られ Facebook 経 由 でのアクセス 時 のみ 有 効 DB 等 に 永 続 的 に 保 存 取 得 したユーザ 情 報 をLDAPやRDBに 保 存 必 要 に 応 じてユーザIDやパスワードを 追 加 登 録 されたメールアドレスに 確 認 コードを 送 ることも 可 能 次 回 からは 直 接 アクセスすることも 可 能 ユーザ 情 報 を 元 にDB 上 の 既 存 ユーザにマップ メールアドレス 等 をキーにして 対 応 付 けを 行 う 勝 手 に 対 応 付 けると 問 題 になるかも? 上 記 を 組 み 合 わせることにより 様 々なシナリオが 考 えられる

71 Oauth 2.0 認 証 モジュールの 設 定 (その1) Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved

72 Oauth 2.0 認 証 モジュールの 設 定 (その2) Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved

73 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved Part 2. OpenAM 導 入 事 例 国 立 大 学 法 人 北 見 工 業 大 学 様

74 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved 北 見 工 業 大 学 様 システムの 特 徴 ユーザー( 学 生 や 教 職 員 )はOpenAMに 一 度 ログインする と 複 数 のWebアプリケーションをログイン 操 作 なしで 利 用 できます ログインするとポータルメニューが 表 示 されますが ユーザ ー 権 限 やログイン 場 所 ( 学 内 / 学 外 )によって 表 示 されるメ ニューが 変 化 します ログインしたユーザーが 利 用 できないアプリケーションは 表 示 されず インターネットからログインするとイントラネット 専 用 アプリケーションも 表 示 されません システム 全 体 設 計 やプロジェクトとりまとめは 兼 松 エレクトロニクス 株 式 会 社 が 行 いました シングルサインオン システム 構 築 は オープンソース ソリューション テクノロ ジ 株 式 会 社 が 行 いました

75 北 見 工 業 大 学 様 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved