Salesforceのモバイル利 などで注 される認証技術と基盤整備のメリット 株式会社オージス総研 テミストラクトソリューション部 Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved.
会社概要 株式会社オージス総研 代表者 : 設立 : 代表取締役社長平山輝 1983 年 6 月 29 日 資本金 : 4 億円 ( 大阪ガス株式会社 100% 出資 ) 事業内容 : 主な事業所 システム開発 プラットフォームサービス コンピュータ機器 ソフトウェアの販売 コンサルティング 研修 トレーニング 本社 : 大阪府大阪市西区千代崎 3- 南 2-37 ICCビル 東京本社 : 東京都港区港南 2-15-1 品川インターシティA 棟 名古屋オフィス : 愛知県名古屋市中区錦 1-17-13 名興ビル 売上実績 : 567 億円 ( 連結 ) 298 億円 ( 単体 ) (2013 年度 ) 従業員数 : 3,104 名 ( 連結 ) 1,283 名 ( 単体 ) 関連会社 : さくら情報システム ( 株 ) ( 株 ) 宇部情報システム ( 株 ) システムアンサー OGIS International,Inc 上海欧計斯軟件有限公司 ( 中国 ) オージス総研グループ売上構成比 ( 連結 ) 取得許可認定 Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 2
アジェンダ Salesforce の認証技術 シングルサインオン導 のメリット シングルサインオン導 に向けて 統合認証ソリューション テミストラクト Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 3
Salesforce の認証技術 Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 4
Salesforce のログイン画 ユーザIDとパスワードによる 般的な認証 式 ユーザ ID はメールアドレス形式 ユーザ名 / パスワードを盗まれるとそこまで! じゃあどうすればいいの? Salesforce の機能だけでも 認証を強化することができる Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 5
Salesforce の認証を強化する 法 社外ネットワークからのログインを禁 する ユーザのアクセス元 IP アドレスを制限することが可能 本機能を持つクラウドサービス cybozu.com 等 社内 プロキシサーバ 社外 Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 6
Salesforce の認証を強化する 法 不明なデバイスを検知する ( リスクベース認証ス認証 ) ログイン時 ユーザID/IPアドレス / クライアントブラウザのセットを記録 記録されていないデバイスからアクセスした場合 確認コードによる追加認証を う ( 要素認証の実施 ) 本機能を持つクラウドサービス Dropbox 等 これを ID/ パスワード認証後の確認画 に送信 Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 7
Salesforce の認証を強化する 法 要素認証を必要にする Salesforceでは ワンタイムパスワードを2つ の認証要素として設定することが可能 ワンタイムパスワードの発 はGoogleAuthenticator (Google 認証システム ) を利 本機能を持つクラウドサービス GoogleApps Office365 cybozu.com com 等 (cybozu.com はクライアント証明書での 要素認証 ) Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 8
Salesforce の認証を強化する 法 デバイスの縛りがない ( どんな端末でもアクセスを許可する ) なら Salesforceの機能だけで 分 認証強化できる リスクベース認証 ワンタイムパスワード認証 BYOD 会社 給端末等 指定端末のみ許可する場合は? オンプレミスのアプリケーション利 はどうする? Salesforce は対応できるかもしれないけど 他のクラウドサービスはどうする? Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 9
Salesforce の認証を強化する 法 シングルサインオンを実現する SalesforceはSAMLに対応しており 社内のIDプロバイダを利 したシングルサインオンが可能 社内に適切な認証基盤があれば 社内の認証ポリシーを Salesforce にも適 することができる 認証強化の仕組みはサービスによって実装に差がある SAML の実装は 較的進んでいる 個別にセキュリティ設定するのは 変 社内に認証基盤 意してシングルサインオンすれば クラウドもオンプレも 括で認証強化できる Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 10
シングルサインオン導 のメリット Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 11
シングルサインオン導 のメリット ユーザビリティ向上 システム毎にログイン ID/ パスワードが増える システム毎にパスワード変更 このシステムは 昨 もパスワード またログイン画 か このパスワードで 変更したのに シングルサインオンを実現すると ログインは 回で OK! ID/ パスワードは 個覚えればOK! パスワード変更は カ所でOK! つまり ユーザの利便性が向上する! Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 12
シングルサインオン導 のメリット セキュリティレベル向上 セキュリティリスク 運用負荷 --------------- --------------- --------------- ID 12345 PW abcde パスワード多すぎて覚えられないから付箋にメモしておこう 全アプリケーションのログ管理なんてできない!! シングルサインオンを実現すると ID/ パスワードは 個だから 管理しやすい パスワード漏えいを回避するために 分な対策をとれる 認証ログを カ所で管理でき 監査対象を つにできる 運 がシンプルになる つまり セキュリティが向上し 運 負荷が下がる! Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 13
シングルサインオンで実現するクラウドサービスの認証強化 Salesforce を例に シングルサインオンを導 する / しないを 較 実現したいこと Salesforce の機能だけで実現 シングルサインオン導 による実現 社外アクセスの禁 アクセス元 IDアドレス制限 不正なアクセス検知 防 リスクベース認証 端末紛失時の対応 モバイル活 時のセキュリティ向上 ( デバイスの縛りなし ) モバイル活 時のセキュリティ向上 ( 会社指定端末 (BYOD 含む ) のみをアクセス許可 ) 管理者の操作により 紛失した端末を確認済みのデバイスリストから削除できる 2 要素認証 ( ワンタイムパスワード ) デバイス認証には未対応 クラウドでのパスワード管理廃 認証ポリシーの統 ( 全社内アプリ ) Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 14
( 補 )Salesforce を SAML 連携する上での注意点 私のドメイン を設定しないと シングルサインオンを利 せずにSalesforceへ直接ログインできてしまう 社内の認証ポリシーを完全に適 するためには 私のドメイン を設定する必要がある 設定していないと SP-initiatedログイン (Salesforceへのアクセスからスタートする認証フロー ) に抜け道ができる 般ログインURLにアクセスすると 通常の認証フローでログインできてしまうでログインできてしまう 私のドメイン を設定すると このURLからのログインを禁 できる https://login.salesforce.com/ https://login.salesforce.com/?saml=xxxxx リダイレクト SAML 認証 の URL にアクセスさせないといけない SSO Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 15
シングルサインオン導 に向けて Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 16
シングルサインオン導 に向けて システムとの連携 式を考える フェデレーション 式 リバプロ / エージェント 式 実装例 SAML OpenAMとPolicyAgent での実装 アプリ側での認証 アプリ側でSAML SP HTTPヘッダを使った 情報の受け取り 機能の実装が必要 連携 セッション管理 セッション無効化 URLベースのアクセス制御 パスワード管理 アプリ側での管理となる実装ばらつきに注意 ID 管理での無効化処理などの併 が必要アプリ側での管理 or ロールに基づく ID 登録 パスワードは認証基盤内にとどまる 認証基盤で 元的に管理 認証基盤で 元的に管理 認証基盤で 元的に管理 パスワードは認証基盤内にとどまる 代理認証 リバプロ / エージェント 式併 アプリは実装を変える必要が無い 認証基盤で 元的に管理可能認証基盤で 元的に管理可能 認証基盤で 元的に管理可能 アプリ側でもパスワード管理が必要 SAMLはアプリケーション側の実装難易度が い SaaSはフェデレーション 式 社アプリはリバプロ / エージェント 式 Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 17
シングルサインオン導 に向けて ライセンス管理を考える クラウドサービス利 のためライセンス管理を適切にする ユーザ1 ユーザ 2 ユーザ3 ユーザ4 ユーザ5 ユーザ 6 HR システム 休職 退職 クラウドサービスライセンス使 状況 ユーザ1 Active ユーザ 2 Inactive ユーザ3 Active ユーザ4 Active ユーザ5 Inactive ユーザ 6 Active 無駄なライセンスコストをかけない Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 18
シングルサインオン導 に向けて アクセス制御を考える ユーザのロール情報に基づいた ID を適切に配布する 製造部 製造部 サービス 営業部 営業部 サービス クラウドサービスに登録すべきIDを適切に登録する アクセスさせないユーザ ID は登録しない Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 19
シングルサインオン導 に向けて オンプレアプリとの認証連携を考える アプリケーションに連携する ID 情報を統 する 認証情報 SSO メンテナンス性 開発効率を考慮し 全てのアプリに同じ情報を連携する SSO から連携する情報は同じにして 開発 / 管理コストを抑える Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 20
シングルサインオンで 指すべき姿 アプリの認証にパスワードを使わない RP SSO フェデレーション技術に対応 セキュリティ強化は SSO システムだけやれば OK スマートデバイスに対応 ライセンスの適切な管理ロール情報に基づく ID 配布 IDM Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 21
統合認証ソリューション テミストラクト Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 22
テミストラクトで実現できること 認証基盤ソリューション ThemiStruct-WAM シングルサインオン フェデレーション連携 式への対応 多要素認証(OTP クライアント証明書) スマートデバイスへの対応 RP SSO ID 管理ソリューション ThemiStruct-IDM t クラウドサービス連携 IDライフサイクル管理 セルフサービス( パスワードセルフメンテ ) ログ管理 IDM Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 23
ThemiStruct-WAM で対応している認証 式 認証 式 機能内容 備考 ID/ パスワード認証 ID/ パスワードにより認証を う最 も標準的な認証機能です DesktopSSO 認証 電 証明書認証 OTP 認証 リスクベース認証 Windows 端末認証と連携する仕組みを提供します デジタル証明書により認証を う仕組みを提供します ワンタイムパスワードを いて認証を う仕組みを提供します アクセスするユーザーの 場所 時間 所属 役割 などの情報をもとに ユーザーに課す認証の組み合わせを制御します 外出先ユーザーにはID/ パスワード認証に加え OTP 認証を課すといった制御が可能です 認証 式を複数組み合わせての認証強化が可能です Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 24
まとめ Salesforce の認証技術 シングルサインオン導 のメリット シングルサインオン導 に向けて 統合認証ソリューション テミストラクト Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 25
おわりに ご清聴ありがとうございました ござ Copyright 2013 2015 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 26