2017 年 3 月更新 ver.1.1 IceWall Federation による Office365 導入のための乱立 AD 対応ソリューション ( オンプレミス型 ) のご紹介 日本ヒューレット パッカード株式会社テクノロジーコンサルティング事業統括 IceWall ソフトウェア本部
ソリューション概要 2
クラウド導入におけるシングルサインオンの課題 AD FS で Office 365 とのシングルサインオンを実現するには AD の統合が必須とされているが AD で認証したい 要望 Office 365 現実 でも社内に AD が乱立していて 統合は無理 Salesforce G Suite( 旧 Google Apps) AD とクラウドサービスとのシングルサインオンを実現したい! 無理! 信頼関係無管理が別々 野良 AD も存在 AD 統合? ドメイン統合? ID 統合? AD を統合せずに Office 365 とのシングルサインオンを実現したい 3
IceWall Federation が問題を解決 社外 社内 クラウド ID のドメインを AA.COM に統一 Office 365 認証要求 IceWall Federation が認証要求を振り分け 中継 * クラウド ID taro@aa.com jiro@aa.com saburo@aa.com Salesforce G Suite( 旧 Google Apps) 認証要求 ( クラウドID) ( ローカルID) taro@aa.com taro@aa-corp.com jiro@aa.com y-jiro@aa.local saburo@aa.com saburo@aa.co.jp 認証要求 認証要求 ローカルドメイン AA-CORP.COM ローカルドメイン AA.LOCAL ローカルドメイン AA.CO.JP AD FS AD FS IceWall SSO LDAP など AD 以外のリポジトリは IceWall SSO で対応 ローカル ID taro@aa-corp.com ローカル ID y-jiro@aa.local ローカル ID saburo@aa.co.jp ユーザーはローカルのADにログインするだけで Office 365にシングルサインオン AD 統合不要! * ユーザーは初回のログイン時に自分自身が存在するローカルドメインを1 度だけ指定する必要があります 2 回目以降は自動的にローカルドメインが判断されます 4
本ソリューションの特長 AD 統合不要 AD の統合が前提とならないため 導入が容易 低コスト 長期保守 使用する IceWall 製品は ユーザー数に依存しないライセンス体系 IceWall 製品の信頼性 長期サポートにより 長期安定稼働を実現 拡張性 認証連携の標準規格 (SAML 等 ) を使用しているため Office 365 以外に Salesforce や G Suite( 旧 Google Apps) 等 多くのクラウドサービスも使用可能 IceWall SSO 製品を追加すれば AD 以外のリポジトリ (LDAP Oracle MySQL など ) にも拡張可能 IceWall SSO 製品を追加すれば AD FS を導入せずに Windows 環境とのシングルサインオンも可能 5
ソリューション詳細 6
対象 前提条件 対象となるサービス 環境 対応クラウドサービス 対応ブラウザ 対応クライアント (Office 365 のみ ) Office365 および SAML2.0 による認証連携 ( フェデレーション ) をサポートしているクラウドサービス (Salesforce G Suite( 旧 Google Apps) 等 ) Internet Explorer Chrome Firefox 等 Modern Authentication に対応したクライアントアプリ Outlook(2013 以降 ) Skype for Business 等 * * 詳細は Office365 認証連携動作確認済アプリケーション一覧をご覧ください http://h50146.www5.hpe.com/products/software/security/icewall/federation/office365_application.html 前提条件 ローカル側のドメイン ( リポジトリ ) は SAML 2.0 の IdP(*) として構成されている必要があります そのため AD には AD FS や IceWall SSO の導入が別途必要です LDAP や RDB 等のリポジトリには IceWall SSO の導入が別途必要です クラウド側の ID は ローカル側の IdP が作成するクレームに含まれている必要があります ユーザーが初回ログイン時に指定したローカルドメイン名は ファイルクッキーとしてユーザーの PC 上に保存されます ローカル側の AD( リポジトリ ) からクラウドサービス側への ID プロビジョニングは別途必要です *IdP Identity Provider の略 ID を管理して認証を行うサイト 7
参考システム構成 対応 OS: Red Hat Linux 6.1 以降 7.1 以降 Office 365 社外 社内 IceWall Federation Agent + IceWall MCRP ( 二重化構成 ) IceWall Federation ( 二重化構成 ) Active Directory + AD FS IceWall Federation Agent IceWall MCRP および IceWall Federation は同一筐体で動作させる構成も可能です ( 二重化の場合は全 2 台構成 ) 8
参考ライセンス ( 二重化構成 ) ライセンスライセンス数参考価格 IceWall Federation Agent License 2 2,000,000 IceWall MCRP Standard Edition Server License 2 3,200,000 IceWall Federation Single Connection License 1 1,200,000 ライセンスのご購入の際は あわせて保守のご購入が必要となります 別途メディア費用が必要です 別途 OS ライセンス等が必要です 合計 6,400,000 9
ソリューション応用 10
応用 : 乱立 AD 対応ソリューション SSO 編 Office 365 社外 社内 SAML ログオン Single Sign On 社内 Web アプリケーション SP IceWall Federation Agent + IceWall MCRP IceWall Federation Agent が認証要求を指定リポジトリに振り分け * ローカルドメイン AA-CORP.COM ローカルドメイン AA.LOCAL ローカルドメイン AA.CO.JP AD FS AD FS IceWall SSO AD 以外のリポジトリも対応可能 ローカル ID taro@aa-corp.com ローカル ID y-jiro@aa.local ローカル ID saburo@aa.co.jp クラウドだけでなく社内 Web アプリケーションも乱立 AD 対応 * ユーザーは初回のログイン時に自分自身が存在するローカルドメインを1 度だけ指定する必要があります 2 回目以降は自動的にローカルドメインが判断されます 11
共有アカウント使い回し対策ソリューション Before: 管理者間でのアカウント使い回し After: 管理者個々のアカウントでログイン ログイン証跡がアカウント単位 パスワードを共通管理 IceWall が変換 ログイン証跡が UID 単位 パスワードを個人管理 クラウドでも Web アプリケーションでも対応可能 管理アカウント x1 IceWall SSO admin/pw 管理アカウント x1 admin/pw admin/pw admin/pw AD など uid1/pw1 uid2/pw2 uid3/pw3 管理者 管理者 管理者を変更しても管理アカウントは変更不要 12
Thank you