プレゼンテーション タイトル

Transcription

1 HP Security DAY A: パブリック インターナルクラウドを連携する統合認証基盤のトレンドと今後の活用のご紹介 日本ヒューレット パッカード株式会社テクノロジーサービス事業統括テクノロジーコンサルティング統括本部セキュリティソリューション本部小早川直樹

2 目次 認証基盤とは? 統合認証基盤 統合認証 ( ユースケース ) HP IceWall SSOのご紹介 HP IceWall SSOにおける統合認証 HP IceWall SSOにおけるWindows 環境との連携 HP IceWall SSOロードマップ 2

3 認証基盤とは? 3

4 認証基盤とは何か 認証基盤とはアプリケーションに代わって アクセスコントロールの 4A を実現するものです アクセス管理製品 あるいは Single Sign On 機能に注目して SSO 製品などと呼ばれています 認証基盤導入後 コンプライアンスオフィサー 認証基盤がアクセスコントロール 4A を担当 Single Sign On を実現 認証 アプリケーションが一体 アプリケーション毎に個別にアクセスコントロールの 4A を実施 アプリケーションごとに個別に認証が必要 アクセスコントロール 4A 認証 認可 管理 監査証跡 認証機能 LOG IN ID PASS 認証 IT 管理者 認証 認証 認証 アプリケーション Web アプリ Web アプリ Web アプリ アプリケーション管理者 アプリ別監査証跡の管理 アプリケーション管理者 アプリ別認証 認可 アプリケーション管理者 アプリ別認証アクセス制御 4

5 認証基盤導入のメリット ( ユーザの視点 ) 権限に応じた画面やメニューを表示し ユーザ自身がアクセス可能なサービスが 一目でわかる HP IceWall SSO Dynamic Menu Portalでの例営業部ユーザ Enterprise Page Group Page My Page 人事部ユーザ コンテンツローテーション / 時間表示切替 営業用 人事用 5 アクセス権限を有するアプリケーションの一覧を表示 認証無しでアクセス可能 他のアプリケーションと連携しセルフサービスを実現 ( 構築例 )

6 認証基盤導入のメリット ( 開発者の視点 ) 認証 認可 セキュリティ部分の共通化により 開発コスト 改修コスト 開発期間が大幅に削減可能 認証基盤が認証 アクセス制御 セキュリティ対策をサポート 認証システム担当部分 ~ セキュリティ機能を提供 ~ ID/ パスワード入力 照合 パスワード変更 パスワード ポリシー チェック長さ / 有効期間 / 履歴 / 英数字混在 /ID と同一不許可 アプリケーション開発部分 ~ 業務ロジックに集中 ~ ユーザ インターフェイス開発 AP ロジック開発 DB アクセス 情報継承 認証基盤導入前 Web アプリ A 認証システム A 認証基盤導入後 認証システム Web アプリ A Web アプリ B セキュリティ対策 Web アプリ B セキュリティ対策 Web アプリ C Web アプリ C Web アプリ N Web アプリ N 認証システム B 認証システム C 認証システム N ユーザ登録 変更 削除 アクセス制御 タイムアウト セッション管理 サーバ セキュリティ クライアント証明書 SSL 認証基盤がサポートする領域認証部分とアプリ部分を分けて開発可能 認証システムとアプリケーションを分離するメリット サービス拡充が容易 維持管理 改修コストの削減 新サービスのスピード化 パッケージ ASP の追加が容易 各サービスへのセキュリティ対策も統一が可能 二要素認証等も認証 アクセス基盤への対応のみ 6

7 認証基盤のその他のメリット N 対 N を N 対 1 に変えることにより 変化に柔軟に対応 6 認証認可情報 ユーザ属性情報の一元管理 ビジネスロジック ビジネスロジック 7 ビジネスロジック 各アプリケーションへの属性の配布 UI UI UI 統合認証 DB 5 証跡ログ証跡ログの一元管理 4 シングルサインオン 認証基盤 Security 1 2 認証 認可の統合 Security SQL Injection クロスサイトスクリプティングなど 7 3 多様なデバイスのサポート

8 認証基盤の本質 企業内の IT システムの全体最適化を支援する 全体最適化された IT システム サイロ化したアプリケーション DB DB DB DB DB ビジネスロジック UI ビジネスロジック UI ビジネスロジック UI 認証 認証 認証 ビジネスロジック ビジネスロジック 防御セキュリティ 防御セキュリティ 防御セキュリティ ビジネスロジック ビジネスロジック ビジネスロジック 人事 AP 営業 AP サービス AP UI UI UI ポータル 認証 認可 証跡ログ 防御セキュリティ WebSSO 人事 AP 営業 AP サービス AP 全体最適化が優れている理由 サイロ化のITシステム : 用サイロ型の ITシステム 間と費アプリケーションや部門の数時アプリケーションや部門が増えるほど時間と費用がかかってしまう 水平型の IT システム : アプリケーションや部門が増えても時間と費用があまり増えない 水平型の IT システム 8

9 認証基盤導入効果 ( まとめ ) セキュリティ製品と分類されるが 上手に活用することによりコストを削減させ 利便性を向上させる コスト セキュリティ アジリティ 利便性 課題 各アプリケーションでのアカウント管理コストヘルプデスクコスト ( パスワード忘れ ) アプリケーション開発コスト 多数のパスワード管理による漏えい各アプリケーション上の不正確なユーザ属性情報古いアカウントが放置ログの点在 フォーマットの不統一による証跡情報不足各アプリケーションのセキュリティぜい弱性への対処 アプリケーション開発期間新たなセキュリティ脅威やポリシーへの追随ログ分散による問題の解析時間 何度も ID 入力権限のあるアプリケーションの識別 認証基盤導入後 認証基盤で集中管理問い合わせの削減開発コストの削減 単一パスワード最新のユーザ属性を認証基盤から各アプリケーションに配布 古いアカウントの使用不可 一元ログ出力リバースプロキシによるセキュリティぜい弱性対策 開発期間の短縮改修期間の短縮ログの集中管理 シングルサインオンダイナミックメニュー 9

10 認証基盤導入が企業を次のステージに導く STEP1 STEP2 STEP3 統合 ID 作成 統合認証 DB の構築 通常はホストからデータをそのままもってくるケースが多い 統合 ID 普及 ( 誰でも容易に利用できるようにする ) 認証基盤の構築 セキュリティ脅威 ポリシーの変更 変化への迅速な対応 二要素認証生体認証など 新たなクライアント アプリを変更することなく対応結果がそのまま反映 統合認証へ Windows 環境との統合 クラウド接続に利用 サイト間認証連携で利用 認証が 1 つになれば他サイトとの認証連携が容易 10

11 統合認証基盤 11

12 統合認証基盤 認証基盤を自社外に拡張し さらなく全体最適化を実現する 認証基盤が提供するもの統合認証基盤に求められているもの Web アプリケーション Web アプリケーション Web アプリケーション サイト間認証連携 Cloud 連携 Windows UI 開発 UI 開発 UI 開発 SAML Google AD AP ロジック開発 AP ロジック開発 AP ロジック開発 OpenID SalesForce 統合認証 DB アクセス DB アクセス DB アクセス Shibbolleth Azure MOSS 情報継承 情報継承 情報継承 認証 認可 証跡ログ 防御セキュリティ 認証基盤 連携モジュール 仕様の実装 統合認証基盤 認証 認可 証跡ログ 防御セキュリティ 認証基盤 12

13 統合認証における認証連携方式 統合認証を実現するための方式には標準と独自の方式が存在する Form 認証独自方式 クラウド認証連携 サイト間認証連携 独自認証方式 認証連携標準方式 OpenID SAML 等 Windows 統合認証 Basic 認証 Windows 認証連携 13

14 認証連携標準方式 標準方式主な用途実装サイト実装製品 SAML OpenID WS-Federation クラウド コンピューティングとの連携企業間連携 BtoCサイト間連携 Windows 環境連携 Google(SP) SFDC(SP) gooid(idp/sp) MyDoCoMo Google, ヤフー, Mixi(IDP) Smart.fm(RP) Azure ADFS, Tivoli, IceWall, SIOS 他 Uni-ID, Tivoli, NEC, シックスアパート,IceWall 他 ADFS IIS MOSS Shibboleth 大学間連携大学 IceWall 14

15 認証連携標準方式 (SAML) 認証連携とは それぞれ個別に認証機能を持つサイト間でのシングルサインオンのこと サイト間で認証情報を交換し信用することにより 連携した別サイトにアクセスする際にも認証を有効にする これによって 一度認証を受ければ再度認証を受けずに ( ユーザ ID/ パスワードの入力等なしに ) 連携した他サイトの Web システムにアクセスできるようになる 認証の連携は サイトの中身に中立な標準仕様によって行われる サイト A サイト B IDP 信頼関係 SP 認証します 信用します Login UserID 認証済です A さん登録済 Passwd アカウント登録不要 ID を 1 回入力するだけで ログイン操作無しでアクセスできます 15 許可した属性のみ引き渡し セキュリティに配慮

16 OpenID 当初は URL で Identity を表現 OpenID2.0 で一般的なサイト間の認証連携の仕様として発展 1 ユーザは OpenID に対応したサービス提供サイト (Relying Party) で ID となる URL(OpenID URL) を入力するか または プルダウン等で自分がいつも使っているプロバイダー (OpenID Provider) を選択する 2 3 ユーザは自分がいつも使っているプロバイダーに誘導されます プロバイダーのユーザ ID とパスワードで認証 4 5 ユーザは認証後に元のサイトに誘導されて 目的のサービスにアクセス サービス提供サイト (Relying Party) 情報提供サイト B 情報提供サイト C ユーザがいつも使っているプロバイダー (OpenID Provider) プロバイダー XYZ 4 情報提供サイト A 2 Login UserID Passwd user01 **** ログイン 3OP で認証 プロバイダー XYZ 5 サービスを提供 OpenID でログイン 1OP を選択 ユーザ 16

17 Open ID Relying Party(Smart.fm) での例 17

18 WS-Federation WS-Federation WS-* フレームワークの認証連携のための仕様です Windows Server 2003R2 Windows Server 2008 の Active Directory Federation Service(ADFS) で実装されています 主な使われ方 サイト間での Active Directory ユーザの相互認証 ADFS 2.0(Geniva) では SAML2.0 への対応と Share Point2007 Active Directory Rights Management Services (AD RMS) への連携を強化. ADSF で連携 Active Directory 2 Active Directory Windows ログイン 1 3 企業 B 企業 A 他企業の業務アプリにアクセス * 企業 A,B 間でフェデレーション信頼を結びます Active Directory のフォレスト信頼は不要です 18

19 Shibboleth Shibboleth はサイト間の認証連携の仕様で SAML をベースにして拡張したものです Shibboleth を使うことで ユーザはさまざまなサイトで別々のユーザー名でログインする必要がなくなります ( アカウント登録は IDP だけ ) コンテンツ SP: 認証依存サイト IDP: 認証提供サイト 海外の大学など 情報の提供者 日本の大学など ID の管理者 Browser Shibboleth は 教育機関における認証連携方法として普及しつつあります 日本では 学術認証フェデレーション ( 愛称 :UPKI-Fed) として推進されています Shibboleth のモジュールを Internet2 がオープンソースとして公開しています このモジュールを使用すれば 個別に Shibboleth の仕様部分を実装する必要はありません 19

20 統合認証の課題 標準やプロファイルが多数ある 対応製品 サービスが少ない PC 用ブラウザ以外に未対応 仕様の範囲が広い 必ず接続検証が必要 認証基盤の普及が十分でない クラウドの SAML2.0 対応 ADFS2.0 OpenID の普及によりブレークする可能性あり 20

21 SAML 方式の採用 例 採用されているバージョン (SAML1.1 と 2.0) 及びプロファイル (Browser-Artifact と Browser-POST) は様々 SP/IDP SAML バージョンプロファイル備考 Browser -Artifact Browser -POST Google Apps SP SaaS SP 起動のみ Salesforce.com SP SaaS gooid/ マスター ID IDP/SP ネット TV2.0 IDP/SP 家電 Juniper Secure Access IDP 起動のみ (Liberty Day 2007 事例 ) プロバイダー間の連携 IDP/SP SSL-VPN 機器 My docomo IDS/SP (Liberty DAY2008 事例 ) サービス間の連携 LotusLive SP SaaS IDP 起動のみ Windows Azure SP SaaS (WS-Federation もサポート ) 21

22 認証連携方式で必要な仕様は? 実際にニーズが高い仕様は限られます 仕様 SAML 1.1 Libert y ID-FF SAML 2.0 OpenID IceWall SSO SAML2.0 オプション シングルサインオン (SSO) SSO アサーションによるユーザ属性引渡し シングルログアウト ユーザ操作による ID マッピング SSO 後のユーザ属性取得 22

23 統合認証 ( ユースケース ) 23

24 統合認証におけるユースケース 統合認証による多様なユースケースが考えられている グループ企業が提供する複数のインターネットサービスの統合認証 ( ポータルモデル ) Public Cloud との統合認証 ( クラウドモデル ) 保持しているIDを活用した他サイトへのログイン (BtoCモデル) グループ企業間で共有するサービスの統合認証 BtoBモデル ) アウトソーシング先との統合認証 (BtoEモデル) 24

25 証ニュース認証ユーザ カード認証交通認ポータルモデルでの利用イメージ 統合認証によりサービス間の連携を強め 自グループへのユーザの囲い込み ブランディングイメージを高める 統合認証の実現により それぞれのサイトごとの個別のアカウント作成や住所などのデータ入力が不要となる 1 度の認証ですべてのサービスにログイン可能となる 統合認証 Portal Circle of Trust 証ショッピング認標準仕様 25

26 認証クラウドモデルでの利用イメージ 社員 人事統認総務合社内の認証基盤を拡張して クラウド コンピューティングとの接続証Enterprise Portal 住宅ローン ユーサ 認社内 証Cloud Service Provider Cloud Service Provider 26

27 IDP にとっては 保持している ID を活用するメリット SP にとっては IDP のユーザからアクセスしてもらえるメリット 相互認証を結んでいるサイト間での認証連携 A さんが登録している会員サイト 自宅住所 決済情報を保持 3ID/ パスワード入力 BtoCモデルでの利用イメージ 1アクセス 2 同意画面認証連携合3 認証結果 送付先 与信枠などを送付認証統SP 証券サイト ニューヨーク IDP XYZ 会員サイト SP 4 決済依頼 ( パッチ ) ショッピングサイト A さんはログイン ID を保持していないが XYZ の ID を利用して買い物ができる 27

28 BtoC モデルでの利用イメージ OpenID や SAML を実装することにより単一 ID を利用した複数サイトへのログインが可能となるしたがって BtoC においては大手 ID プロバイダとなることが戦略的に重要 28 IDP SP IDP SP IDP と SP が一体 独立 IDP SP IDP SP IDP SP IDP SP IDP SP IDP SP OpenID/SAML により統合 SP SP 選ばれた IDP のみ生き残る IDP SP IDP SP SP SP SP

29 BtoB モデルでの利用イメージ 本社のアプリケーションを関連会社に開放するモデル Case 本社の業務システムを関連会社間で共有 業務システムを使用する関連会社のユーザのアカウントを本社側に登録して対応 関連会社のアカウントが増え管理が煩雑化し アカウントの消し忘れなどのセキュリティの問題も発生 本社サイトと関連会社サイト間での認証連携に実現により ユーザが関連会社サイトで認証済みであれば 本社サイトへのアクセスを可能とする 本社側に関連会社のアカウントを追加する必要がない 本社 Internal Cloud Service 製品情報出荷情報価格情報 関連会社 A 関連会社 B 29

30 30 BtoB モデル社外者にアカウントを発行する際の問題を解決 課題 GSSO 導入前 GSSO 導入後 アカウント発行業務のコスト 社外者にアカウントを発行するには非常に手間がかかる ユーザ属性の鮮度ユーザの属性情報 ( 連絡先等 ) がタイムリーに更新されているかどうかわからず管理が難しい アカウントの不正利用 不要アカウントの放置 アカウントが適切に管理されているかどうかわからず 管理が難しい 担当者間で使いまわしされていてもわからず管理が難しい 異動等によって不要になったアカウントは放置されていてもわからず 管理が難しい 解決 ユーザは 自社で日常使っているアカウントのみを使用するため 社外者のアカウントを管理する業務はなくなる 日常的に使用しているアカウントに紐付いたユーザ情報 ( 連絡先等 ) はタイムリーに更新されることが期待できる 日常的に使用している自分のアカウントは 各自が適切に管理することが期待できる ( パスワードの管理等 ) 自社のアカウントは通常人事情報に結びついているため 異動 退職等によって使われなくなったアカウントは適切に処理されることが期待できる

31 BtoE モデルでの利用イメージ 職域 ( 企業従業員 ) 向けサービスを利用する際のイメージ Case C 社は契約企業の福利厚生サービスを提供 各契約企業別の特典を掲載した福利厚生専用 Web サイトを各契約企業のイントラネットのポータルからリンクしてもらっている 各契約企業の社員は 自社向けの福利厚生専用 Web サイトに共通のアカウント (1 種類の ID/ パスワード ) を共有してログイン C 社はアカウントの共有はセキュリティ上問題ではないかと考えている しかし各契約企業のアカウントの入手や管理は考えていない C 社の福利厚生専用 Web サイトと各契約企業のポータルサイト間での認証連携の実現により 契約企業の社員としてポータルサイトで認証済みであれば 自社向けの福利厚生専用 Web サイトへのアクセスを可能とできる C 社が各契約企業のアカウントを管理する必要なし 契約会社 X X 社ポータルサイト X 社向け福利厚生ページ ユーザ DB 人事 総務 福利厚生 宿泊施設 旅行補助金申請 財形貯蓄 契約会社 Y Y 社ポータルサイト Y 社向け福利厚生ページ ユーザ DB 人事 総務 福利厚生 補助金申請スポーツクラブ財形貯蓄 サービス会社 C 社 31

32 HP IceWall SSO のご紹介 32

33 HP IceWall SSO とは HP IceWall SSO は 日本 HP が国内で開発し 製品として提供している NO.1* Web シングルサインオンソリューション (Single Sign On=SSO) です HP IceWall SSO は 1997 年の発売以来 日本国内においてイントラネットサービスや BtoC BtoB サービス等の多くのシステムへの導入実績があり 現在までに合計 4,000 万以上のユーザライセンスが販売されています * 出荷金額ベース国内 Web シングルサインオンパッケージ市場 No1 日本 HP:35.2%( 出典 : ミック経済研究所 情報セキュリティソリューション市場の現状と将来展望内部統制型 情報漏洩防止型ソリューション編 年 6 月刊 ) 33

34 HP IceWall SSO とは ~ シェアについて ver.8.0 R3 までに 4000 万超ユーザライセンスを販売 3 つの市場調査において業界市場シェア NO.1 に輝くシングルサインオンソリューションです 富士キメラ総研 2009 ネットワークセキュリティビジネス調査総覧 シングルサインオン市場シェア 2008 年 ( 実績 ) 35.6% Web シングルサインオンパッケージ 2007 年 2008 年の競合製品とのシェア比較図 HP IceWall SSO ミック経済研究所 情報セキュリティソリューション市場の現状と将来展望内部統制型 情報漏えい防止型ソリューション編 2009 Web シングルサインオンパッケージ市場シェア 2008 年 ( 実績 ) 35.2% ITR ITR Market View: アイデンティティ管理 / 内部統制市場 2008 SSO 製品市場シェア 32.8% 2007 年 2008 年 Web シングルサインオンパッケージ市場シェア NO.1* * 出荷金額ベース国内 Web シングルサインオンパッケージ市場 No1 日本 HP:35.2%( 出典 : ミック経済研究所 情報セキュリティソリューション市場の現状と将来展望内部統制型 情報漏洩防止型ソリューション編 年 6 月刊 ) 34

35 HP IceWall SSO とは ~ 導入実績 多くのリーディングカンパニーに HP IceWall SSO を認証基盤としてご採用頂いています ver.8.0 R3 までに 4000 万超ユーザライセンスを販売 Web シングルサインオンパッケージ市場シェア NO.1* * 出荷金額ベース国内 Web シングルサインオンパッケージ市場 No.1 日本 HP:35.2% ( 出典 : ミック経済研究所 個人認証型セキュリティソリューション市場の現状と将来展望 2009 ) お客様名製品エディションシステム内容ユーザ数 イーヒルズ ( 株 ) 様 ( 森ビルグループ ) EE ビジネスポータル (EIP) 5 万 NTT コミュニケーションズ ( 株 ) 様 EE+PKI BtoB(ASP) 数万 ( 株 )NTT データ様 EE+PKI 保険共同ゲートウェイ無制限 ( 株 )NTT ドコモ様 EE BtoC 数百万 KDDI ( 株 ) 様 EE ASP( ファイル交換サービス - 住友商事 ( 株 ) 様 EE イントラネット 1.3 万 ( 株 ) 損害保険ジャパン様 EE 代理店システム数万 トヨタ自動車 ( 株 ) 様 EE イントラネット エクストラネット GSSO(SAML) ( 株 ) 三菱東京 UFJ 銀行 ( 旧 UFJ 銀行 ) 様 EE+PKI インターネットバンキング数百万 ( 株 ) ユーフィット (UFJ グループ ) 様 EE マーケットプレイス 3 万 十数万 建設会社 EE イントラネット 1000~ 大手損保 EE+PKI 代理店システム 10 万 ~ 公共機関 RP BtoC - 証券会社 EE イントラネット 4000 証券会社 EE BtoC 10 万 ~ 新聞社 EE イントラネット 5000 保険会社 EE イントラネット 10 万 ユーティリティ会社 EE イントラネット 5 万 通信会社 SE BtoB 1000~ 大学 SE イントラネット 1000~ サービス会社 EE BtoC 100 万 EE=Enterprise Edition, SE=Standard Edition 35

36 HP IceWall SSO とは ~ 基本構成 HP IceWall SSO は エージェントレスで OS や Web アプリケーションに制限の少ないリバースプロキシ方式を主体とした Web シングルサインオン製品です HP IceWall SSO 基本構成図 POINT 1 リバースプロキシ方式すべてのトランザクションが IceWall サーバを通過 認証認可チェックし アタックを防御する働きをします HP IceWall SSO POINT 2 エージェントの配布不要 OS Web アプリに制約が少ない ネットワーク Web アプリケーション クライアント PC IceWall サーバ Web アプリケーション POINT 3 認証モジュール IceWallサーバからの要求を受け 認証 DB 上の認証認可情報と照合し, アクセスログを出力 認証サーバ Web アプリケーション 36

37 HP IceWall SSO が提供する 5 つのメリット HP IceWall SSO は利便性のみを追求する単なるポイントソリューションにはとどまらず 複数の課題を解決し 企業あるいは対外サービス全体で IT の最適化に貢献します Reliability 信頼セキュリティ強化で企業の信頼性を向上させます 企業が取り扱う個人情報 機密情報などの情報資産をセキュリティを強化することで守り お客様や社会から信頼される企業になるためのサポートをします Care 安心日本開発の製品で 日本企業への細かいケアを行います グローバル IT 企業である HP の技術と経験をベースに日本国内で開発をしています 機能 サポートの両面から 日本の企業文化や組織構造に合わせたきめ細やかなケアを行い これによって常に安心してお使いいただくことが可能です Comfort 快適クオリティの高い製品で快適なワークスタイルを実現します きわめて高品質で使いやすい製品です 運用者の負担と エンドユーザがアプリケーションを使用する際のストレスを軽減し 一歩進んだ快適な仕事環境を実現します Flexibility 柔軟幅広いビジネス規模 ニーズに柔軟に応え 未来の可能性を支えます 幅広い価格体系で企業の規模 ニーズに合った適切な導入ができ その高い拡張性と他のソリューションとの連携で 長く付き合える製品を提供し 企業の未来の可能性を支えます Professional 確実専門的な知識と確実なサポートで企業のビジネスを止めません HP が培ってきた豊富な導入経験と知見に基づき 短期間での確実な導入が可能です また ビジネスニーズに対応した信頼性の高いサポートで 導入後のご相談やご要望にもスピーディーに対応し 企業のビジネスを止めません 37

38 Comfort 快適 HP IceWall SSOの処理性能 リバースプロキシ型はプロキシ部分に負荷が集中するためボトルネックになると考えられがちですが HP IceWall SSO は処理性能が高いため ボトルネックにはなりません また 認証サーバ部分と認証 DB についても非常に高速です 現状では極めて大規模なサイトでも数千ヒット / 秒数百ログイン / 秒程度と考えられます HP IceWall SSO は十分それに耐えうる製品構造をもっています 高速処理性能の仕組み プロキシ専用 1,000hit/sec/ 台以上 dfw->mcrp により一層の高速化を実現 HP IceWall SSO IceWall サーバ Web アプリ Network MCRP クライアント PC マルチスレッド コネクションプール B*Tree などにより高速処理可能 10,000hit/sec 以上 認証モジュール 認証 DB 認証サーバ 書き込みが早い DB タイプを使用可能 ログインログアウト時に各 1 度のみアクセス 1,000 ログイン /sec 以上 38

39 Flexibility 柔軟リバースプロキシによる代理認証 HP IceWall SSO は リバースプロキシ型接続においても現在導入済のシステムを選ばず 一部の特殊環境を除き どんな環境にでも適応させることができます HP IceWall SSO IceWall サーバ HTTP ヘッダでの属性情報引き渡し例 : Suzuki Ichiro 自動 Form 認証 代行認証例 : user01 ***** 自動 Form 認証 代行認証例 : AAAA *** 認証なし 例 ) 新規 既存の Web アプリ 認証あり Form Basic 例 ) パッケージ Web アプリ等 Webアプリケーション Type A 属性情報でのアプリケーションのコントロール Web アプリケーション Type B HP IceWall SSO の ID/ パスワードを利用した認証 認証 DB サーバ HP IceWall SSO の ID/ パスワード USERID PASSWD Name 属性情報 アプリケーションの ID/ パスワード USERID PASSWD 認証あり Form Basic 例 ) パッケージ Web アプリ等 Webアプリケーション Type C アプリケーション管理のID/ パスワードを利用した認証 user01 ***** Suzuki Ichiro AAAA *** 39

40 その他他認証システムとの連携一覧 HP IceWall SSO は多様な認証製品と連携することができます ベンダー製品名種類 IW との連携 RSA セキュリティ ( 株 ) RSA Adaptive Authentication for Web RSAセキュリティ ( 株 ) RSA Secure ID ハードウェアトークン ( ワンタイムパス ワード ) リスクベース認証連携ソフトウェア提供 ( 有償オプション ) 設定で対応 ソニー株式会社 Felica IC カード設定で対応 ソフトバンクBB 株式会社 SyncLock 携帯電話を使用した認証 ( ワンタイムパ スワード ) ( 株 ) ソリトンシステムズ SmartOn IC カード設定で対応 連携ソフトウェア提供 ( 有償オプション ) 日本ベリサイン株式会社 VeriSign ManagedPKI 電子証明書連携ソフトウェア提供 ( 有償オプション ) パスロジ株式会社 PassLogic マトリクス認証 ( ワンタイムパスワード ) ベンダーより接続用モジュール提供 日立ソフトウェアエンジニアリング株式会社 静紋生体認証 ( 指静脈認証 ) ベンダーより接続モジュール提供 マイクロソフト株式会社 Microsoft Windows Windows 統合認証連携ソフトウェア提供 ( 有償オプション ) 株式会社ディー ディー エス ID Manager for HP IceWall クライアントサーバーアプリケーションID パスワード自動代行入力 設定で対応 株式会社ディー ディー エス EVE MA 多要素認証プラットフォーム設定で対応 大日本印刷株式会社 TranC ert Enterprise IC カード ( クライアント証明書 ) 設定で対応 40 株式会社 VASCO Data Security Japan 株式会社 VASCO Data Security Japan VASCO DIGIPASS ハードウェア / ソフトウェアトークン ( ワンタイムパスワード ) 設定で対応 Vacman ハードウェア ( ワンタイムパスワード ) 設定で対応

41 Flexibility 柔軟 HP IceWall SSOが提供する2つの方式 HP IceWall SSO では代表的な 2 つの型を使った リバースプロキシ型とエージェントモジュール型を提供しています エージェントモジュール型 Network クライアント PC エージェントモジュール型のポイント ブラウザからアクセスする際にボトルネックになる箇所が少なく パフォーマンスに優れている Web サーバごとにエージェントを埋め込む必要がある エージェントモジュールが Web サーバのプラットフォームに対応していない場合がある Web アプリ リバースプロキシ型 エージェント エージェント エージェント 認証サーバ リバースプロキシサーバ 認証サーバ Web アプリ 41

42 Care 安心モバイル対応 HP IceWall SSO はモバイルに完全対応 国内携帯電話の動作検証を随時実施しています モバイルに完全対応しています 四半期ごとに国内の携帯電話での検証を実施 新機種 仕様変更に柔軟に対応しています URL にセッション ID を埋め込む機能で クッキーに対応していないモバイル端末にも利用可能 例 : モバイル用テンプレート (HTML) 対応キャリア 42

43 HP IceWall SSO による統合認証 43

44 HP IceWall SSO における標準認証方式 シングルサインオンソリューションの HP IceWall SSO では 統合認証を実現するための標準方式を 3 種類ご提供しています HP IceWall SSO の標準統合認証方式 SAML による統合認証の実現 HP IceWall SSO は SAML2.0 仕様を実装したオプション製品を提供しています SAML2 SSO-Profile オプション SAML2 エージェントオプション OpenID による統合認証の実現 HP IceWall SSO では HP IceWall SSO を導入したサイトに OpenID Provider の機能を実装させるモジュールを提供しています OpenID 連携プロバイダモジュール Shibboleth による統合認証の実現 HP IceWall SSO では Shibboleth との連携情報についての情報を 設定ガイドとして提供しています HP IceWall SSO と Shibboleth との連携方法設定ガイド 44

45 OpenIDソリューション OpenID for Java オープンソースのライブラリであるOpenID for Javaを利用してIceWall SSOを OpenID プロバイダーにすることができます OpenID Relying Party OpenID Provider OpenID サーバ 1OpenIDに対応したサービス提携サイト (OpenID Relying Party) へアクセス 2OpenID Providerへリダイレクト ( 未認証の場合 :3へ認証済みの場合 :7へ) 3OpenID 連携プロバイダモジュールがユーザをフォワーダへ誘導 4フォワーダがユーザに認証を要求 ユーザがID/PWD 入力 5 認証モジュールがユーザを認証しCookieを渡す 6 認証 CookieをOpenID 連携プロバイダモジュールに渡す 7OpenID 連携プロバイダモジュール (Servletエージェント) と認証モジュール間で認証 Cookieを照合 8OpenID 連携プロバイダモジュール (OpenID4JAVAライブラリ) が認証結果をOpenIDのフォーマットで送信 9OpenIDに対応したサービス提携サイト (OpenID Relying Party) へのアクセスが可能に 6 Servlet エージェント OpenID 連携プロバイダモジュール OpenID4JAVA ライブラリ 7 Login UserID Passwd 4 3 フォワーダ (dfw) IceWall サーバ 5 認証モジュール (certd) 認証サーバ 認証 DB 45

46 IceWall SSO Shibboleth ソリューション 大学 / 研究機関の認証連携で利用されている SAML をベースとしたプロトコル (UPKI プロジェクト ) SP: 認証依存サイト Tomcat SAML-Login module dfw(rp) Apache 4 IDP: 認証提供サイト Servlet Agent Tomcat IDP Auth module certd dfw 3 dfw certd 1 要 JAVA Agent Library for Extend Protocol Option 2 46 IceWall の接続のために用意する IDP Auth moduleと SAML-Login moduleはサンプル提供 Browser IDP Auth module : 10(step) のサーブレット SAML-Login module : 200(step) のサーブレット

47 サイト間認証連携 (GSSO) 導入ソリューション Google Apps との連携 社内の ID 管理システムと GoogleApps の ID の一元管理が行えます さらに社内の各アプリケーションや Google Apps に対しシングルサインオンできます 47

48 本ソリューション導入のメリット 本ソリューション連携のメリットを以下に記載します システム利用ユーザ 管理するID パスワードは1つだけとなります GmailをはじめとしたGoogle AppsサービスにログインするためにID パスワードを入力する必要がありません システム管理者 社内システムにおけるユーザ管理( 追加 変更 削除 ) がシームレスにGoogle Appsと連携されるため 運用負荷が大幅に軽減します 認証基盤によりセキュリティが強化されます 追加のソリューション連携 ( 他のソリューションとの追加連携やHP IceWall SSO のMacアドレス認証オプションの導入など ) 今後も追加されるSaaSサービスへの連携など 拡張性の高いシステムとなります 48

49 HP IceWall SSO における Windows 環境 との連携 49

50 Flexibility 柔軟 Windows 環境との統合 HP IceWall SSO は マイクロソフト社と連携し 社内の Windows 環境との融合をすすめています LOG IN Windows 統合認証 ID PASS dfw DGO MOSS/OWA 接続 AD LDAP AD/LDS 認証 DB Certd 50 Active Directoryを中心とした環境 セキュリティ属性によるアクセス制御 Identity Manager LDAP/Oracle を中心とした環境

51 AD RMS と SharePoint テクノロジとの連携 AD RMS と SharePoint テクノロジとの連携 1 ファイルをそのままアップロード 指定された文書管理エリアに保存されると自動的にセキュリティ設定が適用される 作成者は編集可能作成者側利用者側 セキュリティ自動設定作成者定2 権限が設定されたドキュメントをダウンロード 印刷不可 閲覧者 ファイルが漏えいしても閲覧できない 主なセキュリティ設定項目 印刷許可 / 不許可 スクリーンショット禁止 / コピー禁止 閲覧の有効期限 MOSS Microsoft Office SharePoint Server 2007 の略情報共有 ポータル 検索などの機能を持つ MOSS 連携 MOSS と連携すれば 自動的に権限が設定される MOSS 上で全文検索できる 51

52 IceWall SSO を利用した インターネット経由での AD RMS と SharePoint テクノロジとの連携 RMS+MOSS IRM+ IceWall の推奨するシステム構成を以下に示します FB 認証 (SSL) DMZ クライアント インターネット IW 用 UID/IW 用 PWD 認証 DB Icewall 基本認証 イントラネット MSRPC RMS MOSS Active Directory クライアント ( ドメイン参加 ) FB 認証 ( 非 SSL) 認証 DB 基本認証 AD 用 UID/ AD 用 PWD IRM ライブラリ (docx,pptx etc) 52 IW 用 UID/IW 用 PWD Icewall 内部ネットワーク (Windowsドメイン)

53 HP IceWall SSO ロードマップ 53

54 HP IceWall SSO 製品リリース状況 プロジェクトとしてスタート ver.1.x ver.5.0i ver.5.1i ver.6.0 ver.7.0 ver.8.0 ver.8.0r2 ver.8.0r / / / / / / /1 リバースプロキシ シングルサインオン LDAP 対応 i モード対応 外部 I/F による多様な認証に対応 Source IP による認可の対応 パスワード強化 超大規模トランザクション対応 ノンバッファリング対応 フォワーダ Linux 対応 AD 対応 Liberty Alliance ver.1.0 対応 Linux 完全対応 Identity Manager クロスサイトスクリプティング対応 Windows 統合認証 エージェント型認証 Dynamic Menu Portal 自動フォーム認証機能 API 機能拡張 ログ拡張 GSSO 対応 64bit 対応 (HP-UX) Configuration Manager Agent モジュールの拡大 オリジナル URL 利用 OSS 対応 自由度の高い構成を実現 UserExit にて動的にグループを作成する API の追加 MCRP2.0 SAML2 Agent Certd 分散化 (ICP2.0) 未ログイン時の P OST 文継承 HEADER の編集強化 MCRP2.1SP1 Agent 2007 UR2 Agent Option 代理店システム BtoC Broad Band Liberty Alliance イントラネット EIP GSSO Virtual Company 前バージョン 最新バージョン 54

55 HP IceWall ファミリー HP IceWall は 認証 アクセス管理を中心とした以下のようなソリューション展開を行っています 監査 Web サイト データ File 認証データ HP Compliance Log Warehouse ID 管理アクセス管理 HP IceWall Identity Manager ビジネスロジック /UI HP IceWall DMP HP IceWall File Manager 認証 HP IceWall SSO SAML2 エージェントオプション グローバルシングルサインオン 企業が守るべき情報資産 Webサイト データFile 認証データ 55

56 HP IceWall ファミリーのご紹介 要件 シングルサインオン認証認可セキュリティ強化 製品 HP IceWall SSO 機能拡張用オプション ( 抜粋 ) HP IceWall SSO Dynamic Menu Portal( 無償 ) HP IceWall SSO Configuration Manager( 無償 ) HP IceWall SSO Performance Monitor( 無償 ) HP IceWall SSO エージェントオプション HP IceWall SSO JAVA Agent Library HP IceWall SSO Domain Gatewayオプション HP IceWall SSO SSLオプション HP IceWall SSO クライアント証明書オプション HP IceWall SSO SAML 対応各オプション (IdP 用 SP 用 ) HP IceWall SSO OpenID 連携プロバイダモジュール HP IceWall SSO MACアドレス認証オプション HP IceWall MCRP HP IceWall MCRP SSL オプション ID 管理 HP IceWall Identity Manager ファイルサーバ HP IceWall File Manager 56

57 HP IceWall SSO 周辺サービスとお問い合わせ お問い合わせ HP カスタマーインフォメーションセンター (HPカスタマー インフォメーションセンター) 受付時間 : 月曜日 ~ 金曜日 9:00-19:00 土曜日 10:00-17:00 ( 日 祝祭日 年末年始および5 月 1 日を除く ) お見積り 資料のご請求 最新 詳細情報 HP IceWall SSO 公式サイト オンラインデモ ware/security/icewall/family/demo/index.ht ml HP IceWall SSO 評価版ダウンロードサイト 各種サービス 導入サービス エクスプレスサービス ( 短期間 低料金の定型構築パッケージサービス ) コンサルティングサービス ( お客様のあらゆるニーズに応じる個別サービス ) 定期技術トレーニングサービス 海外への導入 サポートサービス 低価格なStandard Edition, 定型パッケージもございます 57

58 HP IceWall SSO 教育コースのご紹介 HP 教育サービスでは HP IceWall SSO 関連の研修をご提供しています これらの研修を通して Web アプリケーションの基礎技術や HP IceWall SSO の概念 / 機能 / 利用方法を習得できます Web アプリケーション テクノロジ概要 YS 日間 ( 税込 42,000) HP IceWall SSO トレーニングの内容をより確実に理解していただくためのお勧め前提コースです HP IceWall SSO トレーニング HP IceWall SSO トレーニング II YS 日間 ( 税込 57,750) HP IceWall SSO の導入を行う際に必要な知識を習得するためのコースです 他の Web サーバとの連携 情報継承機能 (Web サーバに認証データを引き渡す機能 ) なども実習を通し体験することができます YS 日間 ( 税込 57,750) パフォーマンス調整項目 フェイルオーバの機能やシステム管理者 アプリケーション開発者から要望の多い web サーバとの高度な接続方法について 実習を交えて説明いたします その他の情報についてHP 教育サービスの詳細については お問い合わせ お申込はHP 教育サービス受付へ 月 ~ 金 9:00~12:00/13:00~17:00( 土 日 祝祭日 年末年始および5/1を除く ) (FAX24 時間受付 ) [email protected] ( ) 58

59 59