オージス総研のご紹介 社名 代表者 設立 株式会社オージス総研 取締役社長平山輝 1983 年 6 月 29 日 資本金 4 億円 ( 大阪ガス株式会社 100% 出資 ) 売上実績 512 億円 ( 連結 ) 270 億円 ( 単体 ) ( 2010 年度 ) 従業員数 2,847 名 ( 連結

Similar documents
自己紹介 八幡孝 ( やはたたかし ) 株式会社オージス総研 ThemiStruct ソリューション開発リードアーキテクト ThemiStruct 関連サービスの東日本エリア責任者 OpenAM コンソーシアム活動メンバー OpenID ファウンデーション ジャパン Enterprise Ident

Microsoft PowerPoint _セミナー資料(オージス).pptx

やっぱり OSS! Zabbix & ThemiStruct で行こう テミストラクト 株式会社オージス総研サービス事業本部 八幡孝 2013 年 11 月 22 日 Copyright 2013 OGIS-RI Co., Ltd. All rights reserved.

シングルサインオンしてますか? 2014/11/21 第 6 回 OpenAM コンソーシアムセミナー 1

OpenAMトレーニング

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

FUJITSU Cloud Service K5 認証サービス サービス仕様書

OpenAM(OpenSSO) のご紹介

PowerPoint プレゼンテーション

PowerPoint Presentation

SinfonexIDaaS機能概要書

今後の認証基盤で必要となる 関連技術の動向 株式会社オージス総研テミストラクトソリューション部八幡孝 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved.

統合 ID 管理システム SECUREMASTER/EnterpriseIdentityManager(EIM) 連携先システム : AD 1, 業務サーバ 3 監査オプション : あり ユーザ ID 情報を一元管理し 業務システム (CSV インポートが可能なシステム ) や AD などの ID

PowerPoint プレゼンテーション

How to Use the PowerPoint Template

OSSTechプレゼンテーション

CA Federation ご紹介資料

OSS活用ソリューション ThemiStruct (テミストラクト) シリーズ概要

4. 本オプションで提供する機能 基本機能 Microsoft Office 365 マイクロソフト社 Microsoft Office 365 の機能をそのまま利用できます アクティブディレクトリ連携サービス (Active Directory Federation Service: 以下 ADF

Mobile Access簡易設定ガイド

会社概要 サービスビジネス事業 一般企業および公共機関向けシステム サービス アプリ開発等 スマートデバイス活用 BCP 安否確認 ヘルスケア事業 エンタープライズ事業 帝人グループ 医療 / ヘルスケア領域向け IT サービス 大企業向け IT サービス : 企画 / 開発 / 運用 / 保守 基

IceWall FederationによるOffice 365導入のための乱立AD対応ソリューション(オンプレミス型)

PowerPoint プレゼンテーション

スライド 1

PowerPoint プレゼンテーション

Mobile Access IPSec VPN設定ガイド

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

Software Token のセット価格 398,000 円 (25 ユーザ版 税別 ) をはじめ RSA SecurID Software Token を定価の半額相当の特別価格を設定した大変お得な スマートモバイル積極活用キャンペーン! を 3 月 31 日 ( 木 ) まで実施します また

SeciossLink クイックスタートガイド(Office365編)

PowerPoint Presentation

OSSTechプレゼンテーション

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

_EMS概要_クラウドを使う上で考慮すべきこと(セキュリティ視点で60分語るv4)_E5まで

Microsoft PowerPoint - 【Webnner】はじめてのHULFT-WebFT.pptx

自己紹介 氏縄武尊 (Ujinawa Takeru) Work 株式会社オージス総研テミストラクトソリューション部 4 年目認証 認可 ID 管理 PKI OpenID Foundation Japan EIWGメンバー Favorite Spec: OpenID Connect, OAuth2.0

SeciossLink クイックスタートガイド Office365 とのシングルサインオン設定編 2014 年 10 月株式会社セシオス 1

モバイル オープンAPIを 活用するための認証基盤 標準技術 OpenID Connect, OAuth 適用の考え方 株式会社オージス総研 サービス事業本部 テミストラクトソリューション部 八幡 孝 2017 OGIS-RI Co., Ltd. 2017/9/15 Japan Identity C

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

POWER EGG 3.0 Office365連携

クラウド時代のロードバランサ

パソコン画面イメージ 既に トークン発行 ボタンをクリックされ スマートフォン等に 専用アプリのダウンロード (P3) は終了しているが 初回のワンタイムパスワード認証 (P7) を行っていない場合は トークン発行の省略 ボタンが表示されますので これをクリックしてください この場合は 次の画面で

スライド 1

AXIOLE V Release Letter

スライド 1

TGBrowserユーザマニュアル

SlinkPass ユーザマニュアル

4. 環境要件 WebWrapper および WebWrapper 管理サーバ <Windows 版 > Windows2000Server ( サービスパック 3 また 4 適用済 ), Windows Server 2003 <Solaris 版 > SPARC CPU を搭載する Sun 製ワ

Workspace Gate ~ Workspace ONE(AirWatch) 連携 Cloud ホワイトペーパー ~ 1. Workspace Gate とは Workspace ONE(AirWatch) と社内サーバーやクラウドとの連携に必要なゲートウェイサーバーを Azure/AWS など

PowerPoint プレゼンテーション

OSSTechドキュメント

2017 年 6 月 14 日 スムーズな API 連携でデジタルビジネスを推進する API Gateway as a Service の提供を開始 ~ 外部との API 接続を容易にし xtech ビジネス連携を加速 ~ NTT コミュニケーションズ ( 以下 NTT Com) は 複数のシステム

V.O.Anywhere ご利用の手引き ~ macOS編 ~

Microsoft Word - XOOPS インストールマニュアルv12.doc

PowerPoint プレゼンテーション

Cloud Gate SSO 携帯端末ID制限

CybozuWorkspace連携ホワイトペーパー_v1.2

Microsoft Word - Gmail-mailsoft_ docx

WisePoint Shibboleth 導 入 のメリット SAML2.0に 対 応 したサービスと 認 証 連 携 可 能 本 人 認 証 と 端 末 認 証 の 二 要 素 認 証 装 備 固 定 ID PW 認 証 とワンタイムパスワード 認 証 による 強 固 な 認 証 機 能 の 利

PowerPoint プレゼンテーション

Oracle Access ManagerとOracle Identity Managerの同時配置

北海道大学における Shibboleth 実証実験 IdP の構築 廉価な機器による実装 ID/Password 認証連携の実証試験 PKI 認証連携の実証試験 プライベート認証局の利用 専用のプライベート CA を新設し IdP サーバ証明書を発行 クライアント証明書は既設のプライベート CAから

Microsoft PowerPoint - サイバートラストデバイスID F5 BIG-IP Edge Client連携のご紹介.ppt [互換モード]

スライド 1

<4D F736F F F696E74202D AD955C A91E F B F91CE8FA48ED C81458B5A8F F A8893AE95F18D90>

JP1 Version 11

仮想化環境のクライアントとしてのChromebook

製品概要

スライド 1

Delphi/400ユーザーのための『Visual Query・Simple Transfer/400』ご紹介

Transcription:

第 2 回 OpenSSO&OpenAM コンソーシアムセミナー OSS 活用型認証基盤構築事例のご紹介 ( 当社構築事例にみる OpenAM の活用法 ) 株式会社オージス総研 IT 基盤ソリューション第二部吉田貴英 2012 年 4 月 5 日

オージス総研のご紹介 社名 代表者 設立 株式会社オージス総研 取締役社長平山輝 1983 年 6 月 29 日 資本金 4 億円 ( 大阪ガス株式会社 100% 出資 ) 売上実績 512 億円 ( 連結 ) 270 億円 ( 単体 ) ( 2010 年度 ) 従業員数 2,847 名 ( 連結 ) 1,248 名 ( 単体 ) ( 2011 年 3 月 31 日現在 ) 連結対象 事業内容 さくら情報システム ( 株 ) ( 株 ) 宇部情報システム ( 株 ) システムアンサー OGIS International, Inc. ソフトウェア開発 情報処理サービス コンピュータ機器 ソフトウェアの販売 2

持続可能なビジネスシステムを目指して 百年アーキテクチャ 持続可能な IT 再生可能な IT についてオージス総研ができることは何か そこから生まれたもの それが 百年アーキテクチャ という概念です 既存資産の活用オープンソースソフトウェアの活用 3

オープンソースソフトウェアへの積極的な取り組み 取り組み より長く 安心してオープンソースソフトウェア (OSS) をお使い頂くために社内にエンタープライズ オープンソース センターという技術の統括部門を設けて 実証実験や技術開発を推進しています 2009 年 4 月設立 体制 OSS リファレンススタック ThemiStruct シリーズとして提供 4

ThemiStruct シリーズラインナップ ThemiStruct とは ThemiStruct は OSS( オープンソースソフトウェア ) を活用した IT 基盤ソリューション全体を指すブランドです 提唱する百年アーキテクチャを具現化し 業務に合わせた柔軟で持続可能なソリューションを 適正な価格 で提供します アクセス管理ソリューションユーザが一度認証を受ければ 他の許可されているシステムへのログイン 利用が可能 ( シングルサインオン ) クラウドサービスへのシングルサインオンも実現 ID 管理ソリューションユーザのアカウント情報を一元管理し アカウントの作成 更新 削除の自動化 ( プロビジョニング ) クラウドサービスへのプロビジョニングも実現 ThemiStruct Identity Management (IDM) ThemiStruct Web Access Management (WAM) ThemiStruct シリーズ ThemiStruct Certificate Management (CM) 証明書管理ソリューション BtoB EC でよく利用されるクライアント端末認証 この時に利用する電子証明書の発行 エンドユーザ向けダウンロード環境の提供 企業向け情報ポータルソリューション 企業の情報を統合した情報ポータルとして インターネット イントラネットに分散したアプリケーション及び情報を一元的に表示することが可能 ThemiStruct Enterprise Information Portal (EIP) ThemiStruct MONITOR システム管理ソリューションシステムの稼働監視 ( サーバ プロセス サービスなど ) パフォーマンス監視 ログ監視が可能 5

アジェンダ I. 当社におけるOpenAM 活用方法 i. 社内 / 社外のシステムのシングルサインオン ii. ESBとSAMLを組み合わせたシステムインテグレーション II. 事例紹介 i. グループ会社共通認証基盤構築 ii. リモートアクセス対応した社内認証基盤構築 III. 認証基盤に求められる要件 i. リバースプロキシのポイント ii. 二要素認証のポイント IV. まとめ 6

I. 当社における OpenAM 活用方法 7

当社における OpenAM 活用方法 当社の構築 開発案件パターン 社内 / 社外のシステムのシングルサインオン ESB と SAML を組合せたシステムインテグレーション 8

社内 / 社外のシステムのシングルサインオン 社内 / 社外のシステムのシングルサインオン 自社内向け グループ会社向け 取引会社向けにおける Web アクセスをシームレスに実現できるようにシングルサインオン環境の構築を実施 SAML (IdP-SP 連携 ) Web アプリ Web アプリ OpenAM PolicyAgent 認可 PolicyAgent 認可 認証 ディレクトリ SAML (IdP-IdP 連携 ) グループ会社向け ブラウザ 自社 ADFS ActiveDirectory OR OpenAM ディレクトリ 9

ESB と SAML を組合せたシステムインテグレーション ESB と SAML を組合せたシステムインテグレーション 安全にシステム連携をする仕組みを実現するために ESB(Mule) と SAML(OpenAM,OpenSAML) を組み合わせたシステムを構築する ブラウザ Web アプリ Web アプリ Web サービス Web サービス Mule (ESB) 認証 認可 外部接続フレームワーク Web サービスクライアント OpenAM (SAML) IdP PDP 10

II. 事例紹介 11

事例紹介 以下の事例についてご紹介いたします 某運輸業様グループ会社共通認証基盤構築 オージス総研リモートアクセス対応した社内認証基盤構築 12

事例 1 グループ会社共通認証基盤構築 1 システム構築の目的 グループ全体で IT 利用の効率化 コスト削減を実現するために グループ企業へのサービス提供を実施する そのための基本となる認証基盤の構築を行う グループ会社全体のセキュリティ向上 グループ会社で共用することによるコスト削減 各グループ会社におけるシステム要員の負担軽減 13

事例 1 グループ会社共通認証基盤構築 2 Apache モジュールにてコンテンツ変換を実現 OSS ベースの証明書発行システムの導入実施 グループ共通 リバースプロキシ 認証サーバ 負荷分散装置 事業者網 インターネット クライアント証明書によるアクセスコントロールの実施 固定 IP 固定 IP 証明書 証明書 運輸業様 グループ会社 A グループ会社 B 外出時 14

事例 2 リモートアクセス対応した社内認証基盤構築 1 システム構築の目的 社内システムの利便性向上を実現するために シングルサインオン環境を構築する また 既存の商用リモートアクセス環境に対しても本シングルサインオン環境で認証することでコスト削減を実施する 社内システムの利便性向上の実現 リモートアクセス環境の有効活用によるコスト削減 スマートデバイス クラウドサービス利用に向けて基盤準備 15

事例 2 リモートアクセス対応した社内認証基盤構築 2 ID/ パスワード ワンタイムパスワード (TOTP) による二要素認証 ワンタイムパスワードのシードは社内ポータルにてユーザ毎に QR コードを表示 インターネット リバースプロキシ 認証サーバ (OpenAM) 社内ネットワーク ポータル (Liferay) クライアント スマートフォン ( または携帯電話 ) ワンタイムパスワード VPN サーバ (CISCO ASA5500 シリーズ ) RADIUS サーバ (FreeRADIUS) ActiveDirectory クライアント その他社内システム リバースプロキシ リバースプロキシ (Policy Agent) デスクトップ SSO によるシングルサインオン 16

III. 認証基盤に求められる要件 17

認証基盤に求められる要件 当社が実施してきた OpenAM 関連の案件において共通して求められる要件は以下の通り 要件 認証基盤としてのセキュリティー確保 解決策 リバースプロキシ ネットワーク ミドルウェア等の既存環境への適合 二要素認証 永く使い続けられる OSS 活用 疎結合 18

リバースプロキシのポイント 1 リバースプロキシ リバースプロキシを実現する上で 通常機能で実現 セキュリティの確保既存の環境に手を加えないパッケージ製品への対応 標準機能にないニーズパスワード連携代理認証コンテンツ変換 これまで リバースプロキシ型にに求められる機能は多い これからは mod_rewrite + 独自 Apache モジュール Identity Gateway OpenIG 参照 : 第 1 回 OpenSSO&OpenAM コンソーシアム技術セミナーオージス総研講演資料 19

リバースプロキシのポイント 2 OpenIG の機能 OpenIG には Policy Agent 版と Fedlet 版がある Fedlet 版では OpenAM と SAML 通信が可能 SAML パスワードリプレイ OpenIG OpenAM へのログイン時パスワードを連携することが可能 このパスワードを利用して代理認証用のパスワードとして利用可能 DB/LDAP 連携 データベース ディレクトリ上のデータへアクセス可能 それらのデータを利用して代理認証などで利用可能 設定で Form 認証 BASIC 認証などのアプリケーションへのシングルサインオンが可能 代理 認証 コンテンツ変換 独自フィルターを実装 組込みが可能 当社では正規表現によるコンテンツ変換用フィルタを実装 20

二要素認証のポイント 1 二要素認証 二要素認証を実施するにあたり 典型的な二要素認証は ID/ パスワード ワンタイムパスワード OR 電子証明書 しかし 課題も. ハードウェアトークンの管理認証実施に伴うコスト標準 HOTPモジュールの利便性 オープンソースソフトウェアを活用して 適度なセキュリティーで Google 認証 ( ワンタイムパスワード生成 ) EJBCA ( クライアント証明書発行 ) 21

二要素認証のポイント 2 コストを抑えたワンタイムパスワードの実現方法例 ワンタイムパスワード用シードをディレクトリから取得し QR コードとして表示する Google 認証はカメラを利用して QR コードからユーザ個別のシードをセットすることができる Google 認証 (TOTP) をワンタイムパスワードアプリとして利用する場合は以下のサイトからソース入手可能 https://code.google.com/p/google-authenticator/ OpenAM 用 TOTP 認証モジュールを以下で公開 iアプリ用のtotpモジュールも提供中 https://code.google.com/p/themistruct-wam/ 22 TOTP 用 QR コード表示 Portlet Liferay TOTP 認証モジュール OpenAM ディレクトリ (ActiveDirectory,LDAP) OTP 用シード

二要素認証のポイント 3 オープンソースソフトウェアを用いた証明書による二要素認証の実現方法例 クライアント証明書の提示 ヘッダー情報として CN( ユーザ ID) を連携 該当するユーザ ID が LDAP に存在するか確認 クライアント SSL アクセラレータ ヘッダ - 認証モジュール データストア認証モジュール OpenAM クライアント ディレクトリ OSS クライアント証明書発行システム EJBCA 4.0.11 から日本語化ファイルが追加される http://www.ejbca.org/ 独自ヘッダ認証モジュールの管理画面例 23

IV. まとめ 24

まとめ 認証基盤の実装方法とそのねらい メリット リバースプロキシの実装方法 独自 Apache モジュール OpenIG 二要素認証の実装方法 Google 認証 EJBCA その他のオープンソースソフトウェアと組合せて利用すること以下のメリットが得られます セキュリティリスク軽減開発コスト削減ユーザ利便性向上 参照 : 第 1 回 OpenSSO&OpenAM コンソーシアム技術セミナーオージス総研講演資料 持続可能なビジネスシステムを実現へ 25

ご清聴ありがとうございました お問合せ先 株式会社オージス総研東日本営業部 TEL 03-5440-4771 E-mail info@ogis-ri.co.jp 26

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック