SmartOn NEO から SmartOn ID に移行するための技術要点書 ユーザーにクライアントへの初回ログオン時に登録してもらう方式の場合 各ユーザーの SmartOn ユーザー名と初期パスワードを通知する必要があります 株式会社ソリトンシステムズ IT Security Products & Service 事業統括本部 Rev.1
1 はじめに 本資料は SmartOn NEO から SmartOn ID に移行する際に 事前に知っておくべき要点をまとめたものです SmartOn NEOからSmartOn IDへの移行手順書は別途ございます 詳細は移行手順書をご確認ください また 本資料において記載されている 移行手順書 とは全て下記の資料を指します 移行手順書名 :SmartOn NEO ID 移行ツール手順説明書 SmartOn NEO から SmartOn ID への移行を行う際は 導入業者等へコンサルティング 作業をご依頼されることをお勧め致します Windows サーバー構築や Active Directory 構築についてのご相談は Microsoft 社もしくは販売代理店までお願い致します
2 SmartOn NEO と SmartOn ID の主な機能の違い 機能説明 SmartOn NEO SmartOn ID 標準機能 オプション機能 Logon Windows ログオン時に認証トークンを必須とさせる機能 Desktop PC 操作制御 Pass ID/PW 入力代行型シングルサインオン Crypt ファイル / フォルダ暗号 ログサーバー NEO/ID 両用です デバイス制御 USB マスストレージ /WPD の個体識別制御 1XGate IEEE802.1X サプリカント - ( 後述 P.14) for リモートアクセス VDI/SBC 対応 - 指ハイブリッド認証詳細はお問い合わせください - その他 認証トークンへのアクセス方式 Soliton SecureGateway(SSG) Soliton SecureBrowser Pro(SSBP) 連携 認証トークンとは SmartOn で利用している IC カードや USB トークンのことです スマートデバイス等にインストールされた SSBP での SSG ログオンの ID/PW 認証連携 Pass( ブラウザ認証 ) SmartOn ユーザー名 パスワード PIN などを読み書き 格納されている一意の ID を読み取り -
SmartOn ID で利用可能なトークン /IC カードリーダーについて 認証トークンの継続利用可否 認証トークン SmartOn ID での利用補足 非接触 IC カード FeliCa その他 接触 IC カード Smartics-J4K Standard-9 その他 USB キー ikey 1000 8KB etoken PRO 32KB 弊社販売 SmartOn 用 FeliCa であれば継続利用可能です 弊社以外からご購入の FeliCa でも 多くの場合は利用することができます ( 1 3) SmartOn NEO で利用中のトークンは SmartOn ID では利用できません SmartOn ID で接触 IC カードを利用する際は 接触 IC カード製造時に認証情報を付与する必要があり 別途購入する必要があります ( 3) 継続利用可能です ( 3) etoken PRO 16KB(2003 年以前に販売 ) は SmartOn ID ではご利用いただけません Type-B カードも利用可能な場合があります ( 2) Standard-9 は販売終了しました etoken PRO 32KB は販売終了しました 1 カード内に 読み取り専用で一意なデータが書き込まれている非セキュリティ領域が必要です FeliCa チップのシリアル番号である IDm も利用可能ですが お勧めいたしません ( ソニー社もセキュリティーには利用しないよう呼びかけています ) 2 カード内に 運用中に変更のない 一意なデータが書き込まれている領域があれば継続利用可能な場合もあります その場合 その領域へ至るカードに対するコマンド等を確認する必要があり カード設計社とのやりとりが必要となります 3 SmartOn ID で利用する際は SmartOn ID 環境で新たにトークン登録が必要です IC カードリーダー SmartOn NEO で使用中の IC カードリーダーが 下記弊社 SmartOn ID 製品情報ページの記載デバイスに含まれている場合 継続利用可能です http://www.soliton.co.jp/products/pc_security/smarton/specification.html 3
4 SmartOn ID の構成 SmartOn ID 用 Active Directory 既存 Active Directory ACL 情報の更新 1SmartOn 認証 2ACL のダウンロード 3Windows ドメイン認証 SmartOn ID ACL サーバー ( プライマリ ) SmartOn ID クライアント Active Directory ディレクトリ複製 SmartOn ID マネージャー SmartOn ID ACL サーバー ( セカンダリ ) SmartOn NEO と SmartOn ID のシステム構成要素は同じですが 各 ACL サーバー マネージャーの同居 兼用はできません 1 SmartOn ID の ACL サーバーは 既存 Active Directory とは別立て 冗長構成 を推奨しております 2 SmartOn NEO でログサーバーを利用されている場合 SmartOn ID の環境においても利用可能です
5 認証処理の違い -SmartOn NEO の場合 - SmartOn NEO ACL サーバー (Active Directory) SmartOn アカウント SmartOn パスワード Windows アカウント Windows パスワード SmartOn NEO で特徴的な箇所 Windows ドメインコントローラー Windows アカウント Windows パスワード 3SmartOn 認証トークン無効化情報などの照会 4Windows ログオン用認証情報の取得その他ユーザー情報の取得 5Windows 認証 (Windows ログオン ) SmartOn NEO クライアント 2PIN により解錠 SmartOn 認証情報の取得 1 トークンへの個人認証 (PIN 入力 ) ユーザー 認証トークン SmartOn アカウント SmartOn パスワード
6 認証処理の違い -SmartOn ID の場合 - SmartOn ID ACL サーバー (Active Directory) SmartOn アカウント SmartOn パスワード Windows アカウント Windows パスワード SmartOn ID で特徴的な箇所 Windows ドメインコントローラー Windows アカウント Windows パスワード 3 トークン ID よりユーザー照会し SmartOn 認証トークン無効化情報などの照会 4Windows ログオン用認証情報の取得ユーザー情報の取得 5Windows 認証 (Windows ログオン ) SmartOn ID クライアント 1SmartOn パスワード入力 ( 省略設定可 ) 2 トークン ID の読み取り (PIN 必要なし ) ユーザー トークン
認証処理の違い まとめ - ログオン時に手入力する文字列について SmartOn NEO では ログオン時に PIN 認証 が行われますが SmartOn ID では PIN 認証 ではなく SmartOn パスワード認証 が行われます SmartOn NEO における PIN 認証 とは トークン内に書き込まれた SmartOn 情報を取得するために行われる トークンに対する認証です トークンより取得した SmartOn ユーザー名 /SmartOn パスワードにて ACL サーバーに対し認証を行います SmartOn ID における SmartOn パスワード認証 とは トークンから読みだした一意の ID( トークン ID) と ユーザーの入力した SmartOn パスワードをもって ACL サーバーに対し認証を行います (ACL サーバー内では トークン ID を元にユーザー照会が行われています ) PIN ロックについて SmartOn NEO では PIN 入力を設定回数連続して間違えると PIN ロック ( トークンをロックします ) がかかりました SmartOn ID では トークンへの書き込みが行われないため トークンのロックはできませんが ACL サーバーのグループポリシー設定で アカウントのロックが可能です 操作感の違いについて ログオン時やロック解除時などで入力する値が PIN から SmartOn パスワード に変更されますが パスワードを入力するという点においてユーザーの操作感は変わりません 7
移行作業の流れ 事前確認 利用中の認証デバイス 及び機能が SmartOn ID で利用できるかを確認します 認証トークン内のどの部分を SmartOn ID で利用する一意の ID とするかを決定します ( カード設計社やご購入元とご相談ください ) トークン登録方法を決定します -( 後述 P.11) SmartOn ID への移行作業の流れ 1. SmartOn ID ACL サーバー及び SmartOn ID マネージャーを新規に構築する 2. SmartOn ID マネージャーに最新のアップデートパックを適用する 3. 既存の SmartOn NEO ACL サーバーを V2.8 対応のスキーマに拡張する 4. SmartOn NEO ACL サーバーから設定情報を CSV ファイルとしてエクスポートする 5. SmartOn NEO ACL サーバーからエクスポートした CSV ファイルをコンバートする 6. コンバートした CSV ファイルを SmartOn ID ACL サーバーにインポートする 7. インポート後に必要な設定を行う 8. SmartOn ID クライアントの展開を行う -( 後述 P.13) 8
9 データ移行について SmartOn NEO で設定した情報を CSV ファイル変換ツールを使用することで SmartOn ID へ情報の引き継ぎが可能です ( 一部の設定情報は引き継ぎができません 詳細は 移行手順書をご確認ください ) データ移行の簡易イメージ SmartOn NEO のインポートエクスポートツール ( ) を使用し SmartOn NEO ACL サーバーから既存の情報を CSV でエクスポートします その CSV ファイルを CSV ファイル変換ツールで SmartOn ID で認識できる CSV ファイルに変換します その後 SmartOn ID のインポートエクスポートツール ( ) で SmartOn ID ACL サーバーにインポートします ( CSV ファイル変換ツールに付属しています ) SmartOn NEO ACL サーバー エクスポート コンバート インポート NEO CSVファイル変換ツール ID SmartOn ID ACL サーバー データ移行の簡易イメージ図
10 SmartOn ID で設定が必要な項目 以下項目は SmartOn ID 移行後に 設定が必要です 設定一覧 ID 読込先の設定 トークン登録 ディスク設定の接続先 ACL サーバー設定の変更 初期アカウントの設定 サブマネージャーライセンスの新規発行 ( サブマネージャーを利用される場合 ) 補足 認証トークン内のどこの領域をトークン ID にするか設定します SmartOn ID で利用するトークンを登録します ( 後述 P.11) 接続先 ACL サーバーを SmartOn ID の ACL サーバーに変更します ( 後述 P.12) SmartOn ID 用のサブマネージャーの設定を行います
11 トークンの登録について SmartOn ID を利用する際は必ずトークンを登録する必要があります SmartOn ID でトークン登録を行う方法 方法 1:CSV を使って一括でトークン ID を登録 ID として読み込む領域のデータ ( トークン ID) を 一覧でお持ちの場合のみ利用可能です インポートエクスポートツールを利用します トークンの回収は不要です 方法 2: 初回ログオン時にユーザー自身がトークン登録 管理者が各ユーザーに SmartOn ユーザー名と初期パスワードを通知し ユーザーが初回ログオン時に登録することができます トークンの回収は不要です 方法 3:SmartOn ID マネージャーに個々に登録 トークンを回収する必要があります
初期アカウントとは SmartOn ID では 初期アカウント の登録が必要です SmartOn ID クライアントが ACL サーバーへ初めて認証を行う際 今認証しようとしている SmartOn ユーザー情報のない状態でアクセスします ( 認証時 SmartOn ユーザー名の入力を求めないため ) この際 ACL サーバーの基盤である Active Directory にアクセスするためには ディレクトリ参照権限のあるユーザーの ID/PW が必要です 初回はキャッシュ情報が無いためディスクに予めユーザーの ID/PW を設定しておきます これが 初期アカウント です 接続に成功後 トークンが有効かどうか トークン ID を元にしたユーザーの照会を行います その端末の 2 回目以降の認証には 初期アカウントではなく SmartOn 認証で取得した SmartOn ユーザー名 パスワードを使用して接続を行います SmartOn NEO の場合は 認証トークンより取り出した SmartOn ユーザー名 / パスワードを用いて ACL サーバーにアクセスするため 初期アカウントは必要ありませんでした 1 初期アカウントでの LDAP 接続 2SmartOn 認証 3ACL 情報ダウンロード SmartOn ID クライアント SmartOn ID ACL サーバー ディスク設定のプロパティ画面 - 初期アカウントの設定 - 注意 :ACL サーバーでアカウントのパスワード期限があると 期限が切れたときにパスワード変更が出来ないために認証に失敗します 初期アカウント用ユーザーはパスワード期限を無期限に設定してください 初期アカウントに持たせるべき権限などは SmartOn ID 管理者ガイド 8.5.7 章 初期アカウントの設定 をご参照ください 12
クライアント展開について SmartOn ID クライアントの展開方法 以下 2 つの方法があります SmartOn NEO クライアントのアンインストール後に SmartOn ID クライアントのインストール SmartOn NEO クライアントに SmartOn ID クライアントの強制上書きインストール 1XGate 機能がインストールされている場合は 強制上書きインストールはできません 認証デバイスの変更がある場合の展開方法 1. SmartOn NEOクライアントをアンインストール 2. 既存のデバイスドライバをアンインストール 3. SmartOn IDで使用するデバイスドライバのインストール 4. SmartOn IDのクライアントをインストール SmartOn NEO SmartOn ID 移行時に モジュールアップデート機能はご利用いただけません インストール時に管理者権限を与えたディスクを発行する機能もあります 通常 SmartOn クライアントのインストールにはローカルの管理者権限が必要となりますが ここにローカルの管理者権限を持つユーザーのアカウント パスワードを指定してディスクを発行すると インストーラを起動したユーザーの権限ではなく 指定したアカウントの権限でインストールを実行することができます 13
SmartOn NEO 1XGate 機能をご利用の場合 本機能は SmartOn NEO の独自機能です SmartOn ID では Windows 標準サプリカント等への移行をご検討ください ご注意事項 802.1x 認証設計の見直しが必要になります 設計の見直しやWindows 標準サプリカントについてのお問い合せは Microsoft 社や販売代理店へお願い致します Windows 標準サプリカントのシングルサインオン機能 ( ネットワーク認証と Windows ログオンを同時に行う機能 ) はご利用いただけません この機能は Windows 標準 Credential Provider(Windows のログオン画面の機能モジュール名 ) を利用しますが SmartOn ID は Credential Provider を専用のものに置き換えているためです その他 ご注意点を弊社 FAQ サイトにて公開しております 下記ご参照ください FAQ No.5454 SmartOn 1XGate 利用ユーザーが Windows 標準サプリカントに移行する際の制限事項 / 注意事項について https://secure.okbiz.okwave.jp/faq-soliton/faq/show/5454 上記 FAQ は SmartOn NEO 年間サポートサービスご契約者様専用 FAQ です ご契約者様専用アカウントでログイン後 上記 FAQ をご覧ください 14
補足事項 SmartOn NEO の PIN に対する以下のポリシーを SmartOn ID で実現する場合 SmartOn ID ACL サーバーの基盤 AD のグループポリシーの設定を利用し パスワードポリシーを決めてください オブジェクト ユーザー OU ユーザー OU ユーザー OU ユーザー OU 機能 項目名 PINの有効期間 PINの変更禁止期間認証 PINロックまでの回数最少のPINの長さ 詳細は SmartOn ID 管理者ガイド 2.2 章 ドメインセキュリティーポリシーについて をご参照ください 15 ( 最終ページ )