CA Single Sign-On r12 (12.8) ご紹介 - PDF 無料ダウンロード

CA Single Sign-On r12 (12.8) ご紹介旧製品名 :CA SiteMinder 2018 年 9 月富士通株式会社

概要 1

CA Single Sign-On 概要セキュリティと利便性を保ちつつシングルサインオンと Web アクセス制御の一元管理を実現する統合管理基盤認証機能 (SSO 機能 ) Web シングルサインオン機能を提供します認可機能 ( アクセス制御機能 ) リソースに対してアクセス制御機能を提供します監査機能 ( ログ機能 ) アクセス制御システムのログ取得が可能です 2

CA Single Sign-On 特長 Web アプリケーションのユーザー認証 & アクセス制御をポリシーベースで一元管理豊富な導入実績海外日本国内での幅広い導入実績があります高速パフォーマンス負荷分散拡張性を備えたシステムの構築が可能ですあらゆるシステムに柔軟に対応エージェントソフトの幅広いプラットフォーム対応既存ユーザーリポジトリの有効活用エージェント型とリバースプロキシ型の導入冗長構成に標準対応 Access Gateway Key Point!! 豊富な導入実績高パフォーマンス柔軟なシステム構成 3

CA Single Sign-On のアピールポイント拡張性と信頼性が高いメンテナンス性が高いサポートプラットフォームの柔軟性認証認可処理を受け付ける Policy Server( 認証サーバ ) を追加しアクセス増加に対応できる仕組みを持っている複数台構成でも別の Policy Server に影響されずメンテナンスしやすい仕組みになっている Single Sign-On の各コンポーネントをインストールできるプラットフォームサポートが多い既存のシステムを利用既存のユーザーリポジトリを活用できるエージェントサポートアクセスを分散させるエージェントソフトのサポートと幅広いプラットフォームで利用ができるこれまでの実績導入実績が豊富 4

CA Single Sign-On の構成と動作 5

エージェント型リバースプロキシ型CA Single Sign-On の各コンポーネントと動作エージョント型リバースプロキシ型で動作する場合の構成と流れは以下のとおり保護対象 3 1 Web エージェントエージェント導入 Web サーバ認証認可 6 4 2 7 CA Single Sign-On Policy Server Policy Store Web コンテンツ / アプリケーションブラウザアクセスユーザー (Web ブラウザ ) 1 6 認可認証 4 2 5 監査ログ Audit Store User Store ( 認証用ユーザーリポジトリ ) Administrative UI Report Server 保護対象管理者 3 CA Single Sign-On Access Gateway ( 旧機能名 Secure Proxy Server) 7 Web サーバおよび Web コンテンツ / アプリケーション 6

エージェント型とリバースプロキシ型の特長エージェント型とリバースプロキシ型はそれぞれ一長一短エージェント型リバースプロキシ型メリット新規のハードウェア導入やネットワーク構成の変更が不要アクセスの集中によるボトルネックが発生しにくい ( 拡張性が高い ) ユーザーのアクセス先は変更なし既存の Web サーバに対してエージェントの導入が不要サーバのプラットホームに依存しないデメリット Web サーバにエージェントを導入する必要があるサーバのプラットホームに依存する拡張時に新たにハードウェアの購入やネットワーク構成の変更が必要ユーザーのアクセス先が Web サーバから Access Gateway へ変更が必要 CA Single Sign-On は両方を混在させることができる環境にあわせた柔軟な構築が可能 7

高い拡張性と信頼性をもったシステム構成ミッションクリティカルな環境にも対応可用性 Policy Server/ ユーザーストアのフェイルオーバ構成設定 GUIより簡単に実装が可能拡張性ユーザーの増減に合わせてエージェント /Policy Serverを追加可能 Policy Serverの増加に比例して認証速度が UPします負荷分散サーバの追加と簡単な設定により Single Sign-On 内で Policy Server/ ユーザーストアへのロードバランスを設定キャッシュ機能 Web Server Web Agent ユーザーストア : CA Single Sign-On が管理するユーザー情報を格納するリポジトリ Cache Web Server Web Agent Policy Server Cache ユーザーストア Cache フェイルオーバ / ロードバランスレプリケーション Web Server Web Agent Policy Server Cache Cache フェイルオーバ / ロードバランスユーザーストア 8

管理コンソールによる柔軟な設定 Single Sign-On 管理コンソール Webベースの管理インターフェース全ての設定を画面から操作可能設定をオブジェクトとして登録ロールに紐づける操作画面でアクセス制御用ポリシーを柔軟に設定可能 9

認証機能 (SSO 機能 ) 10

様々な認証方式をサポート豊富な認証方式テンプレートベーシック (ID/Password) HTMLフォーム X.509クライアント証明書統合 Windows 認証ワンタイムパスワードカスタム認証方式 (API) SAML JSON Web Token(JWT) 他認証管理機能認証レベル付与 11

既存のユーザーストアを利用可能既存のインフラストラクチャーを活用して開発期間の短縮と開発コストを削減既存 LDAP もしくは DBMS のユーザーストアを利用した認証アクセス Web エージェント Web サーバ認証認可の問い合わせ CA Single Sign-On Policy Server 既存 LDAP もしくは RDBM のユーザーストアで認証認可シングルサインオン製品用の認証ユーザーストア (LDAP やデータベース ) を構築する必要はありません既存ユーザーストアへ問い合わせ切り替えが容易 Single Sign-On の管理画面にてユーザーストアを容易に変更することが可能です開発環境用ユーザーストアへ問い合わせ Single Sign-On でサポートされる User/Policy Store(LDAP もしくは DBMS) である必要があります 12

認可機能 ( アクセス制御機能 ) 13

認可機能 ( アクセス制御機能 ) 必要に応じたきめ細やかなアクセス制御のポリシー設定が可能ポリシー設定の概念指定する項リソースフィルター ( 保護対象リソース ) ディレクトリ認証式パーミッション ( リソース ) ユーザーグループ ( ロール ) ポリシーどこのリソースを CA Single Sign-On の保護対象 ( 認証認可対象 ) として認証式をどれにするか? どのディレクトリにいる誰にどのような操作を割り当てるか? ポリシー設定イメージ app01 アプリケーションリソースフィルターディレクトリ認証式リソースロールポリシー Web アプリケーションとしてどこを保護対象とするか? どのディレクトリでユーザー認証するか? 認証はどの式でうか? 保護対象配下のどのリソースに対してどのようなアクションを動作させるか? ディレクトリからロールの作成 /app01/* に GET/POST アクション許可 LDAP Basic 認証 /app01/* に GET POST アクション許可 OU=Sales のロールリソースをロールに付与する /app01 配下のコンテンツ OU=Sales のロール 14

実際のポリシー設定画面例営業部にアクセス許可を与える 15

認証と認可で違うユーザーストアを利用認証で利用したユーザーストアとは別のユーザーストアの情報 ( 属性 ) を利用して認可使用例 ) ユーザー認証は LDAP 上のアカウントを使って認証し認可 ( アクセス制御 ) は DBMS の情報を利用する DBMS 上のテーブルにユーザーの情報 ( 属性 ) を持っておりこの情報を利用してアクセスコントロールを実施 ID:user01 Web エージェント認証認可 Webサーバ (Webアプリケーション) 認証認可 CA Single Sign-On Policy Server LDAP ( 認証用 ) DBMS( 認可用 ) uid:user01 userpassword:password NAME user01 マッピング Job_category sales 既存のユーザー情報を利用して柔軟にアクセス制御設定が可能です 16

監査機能 ( ログ機能レポート機能 ) 17

ログ出力機能認証認可のアクセスイベントを一元管理し監査としての利用も可能 Single Sign-Onで取得できるログ Policy Server Webエージェントの動作ログを記録 ( エラーログ / ポリシーサーバログ / トレースログ ) コンポーネント起動停止ポリシーの変更などシステムのログ監査ログ ( アクセスログシステムのログ ) 認証 (Authentication) 認可(Authorization) 拒否(Reject) などをアクセスイベントごとに記録エージェントが受信したリクエストの内容 (IPアドレスユーザー名時間ターゲットなど) を一覧出力テキストもしくはデータベースへアクセスログを記録することが可能 Single Sign-On のログ出力の仕組み認証アクセス Web エージェント認可 CA Single Sign-On Policy Server トレースログ ( テキスト ) 監査ログ ( テキスト or ODBC ) ポリシーサーバーログ ( テキスト ) トレースログ ( テキスト ) エラーログ ( テキスト ) 18

レポート機能運用ガバナンスコンプライアンス目的の情報をレポート表示監査レポート認証認可の状況をレポート Activity by User Denied Authorizations Denied Resources Resource Activity 分析レポートアクセス制御の状況をレポートリソースベース Applications Roles by Application Roles by Resource Users by Resource ユーザーベース Applications by User Policies by Role Resources by User Users by Role Activity by User レポートサンプル 19 特定 Web Agent 配下のトランサクションサマリユーザー単位の認証認可処理結果

シングルサインオン環境の拡張 20

Active Directory ドメインログオンとのシングルサインオン統合 Windows 認証に対応可能 Windows PC から Active Directory へのログオンだけで CA Single Sign-On のシングルサインオン環境へアクセス可能 CA Single Sign-On によるシングルサインオンユーザー企業内ドメインログオン CA Single Sign-On Policy Server WebAgent WebAgent WebAgent 社内アプリ A 社内アプリ B 社内アプリ C Active Directory Domain Contoller 要望 Windows ログインの情報を使って CA Single Sign-On で保護された Web アプリケーションへもシングルサインオンしたいソリューション CA Single Sign-On の Windows の統合認証 (NTLM/Kerberos) との連携の仕組みを利してドメインへログインすると CA Single Sign-On で保護された Web アプリケーションでは認証は発しません 21

クラウドとのフェデレーション (ID 連携 ) 社内のシングルサインオン環境をクラウドに拡張ユーザーの操作性は損なわずユーザーによるクラウドアプリのアカウント管理を不要化企業内 WebAgent 社内アプリ A 要望社内のシングルサインオン機能を外部クラウドサービスへ拡張したい CA Single Sign-On によるシングルサインオンユーザー CA Single Sign-On Policy Server WebAgent Access Gateway 社内アプリ B SAML / WS-Federation / OpenID Connect シングルサインオン環境をクラウドへ拡張ソリューション SAML や WS-Federation や OpenID Connect といった標準仕様をいた外部認証連携 CA Single Sign-On で社内で認証するとクラウド利では認証はかからない ( シングルサインオン ) クラウドアプリケーション 22

CA Single Sign-On のパスワード管理強化機能 23

パスワードポリシー設定機能パスワードポリシー設定をすることによりセキュリティの高いパスワード管理が可能登録したユーザーディレクトリに対しパスワードポリシーを設定システム全体のパスワードポリシーを均一化パスワード管理に関するオペレータコストの削減パスワードに関する詳細な設定が可能パスワードの有効期限設定パスワードの無効化 / 強制変更を実施アカウント利用状況の確認パスワードの無効化 / 強制変更を実施パスワード入力間違い失敗回数によりアカウントの無効化再有効化までの時間の設定パスワードの選択時の文字列制限最大および最少文字数同一文字の繰り返し大文字小文字再利用等の制限前回パスワードとの差異の程度の割合を指定辞書による特定語彙の排除 ( 例 : password 等 ) 同一パスワード再使用の禁止 24

リバースプロキシ型による SSO 25

Access Gateway Access Gateway を使うことによりリバースプロキシ型の運用でも Single Sign-On を利用可能リバースプロキシ型による Web アプリケーションの保護 Web エージェントがインストールできない環境への対応携帯電話などの Cookie に対応しないブラウザアクセスを可能とするプロキシ Cookie を利用できない端末向けにセッション管理機能を提供アクセス管理シングルサインオンなどは通常の Single Sign-On プロセスと同様 WEB クライアント Cookie 以外のセッション方式を選択可能通常 Cookie 携帯電話識別 ID SSL セッション ID 簡易 Cookie IP アドレス URL Rewriting CA Single Sign-On Access Gateway CA Single Sign-On Policy Server Firewall Firewall 26

Single Sign-On r12.7 r12.8 の機能強化項目 27

機能強化項目 r12.8 新機能 OpenID Provider の拡充 OpenID Provider で Refresh Token と Implicit Flow に対応しました認証方式レベルでの IP ホワイトリスト設定 IP ホワイトリストでの制御ができるようになりました外部のサービスと連携する認証方式の追加以下の認証方式をサポートしました JSON Web Token(JWT) 28

機能強化項目 r12.7 新機能外部のサービスとの連携を実現する標準仕様のサポート以下の標準仕様をサポート OpenID Connect 1.0サポート Relying Partyは対応していません Policy Object REST API サポート統合 Windows 認証のサポート Windows PC から Active Directory にログオンするだけで CA Single Sign-On のシングルサインオン環境にもアクセス可能 Microsoft Azure のシングルサインオン企業内ユーザーと以下のクラウドソリューションの間でシングルサインオンが可能 Microsoft Azure FUJITSU Cloud Service for Microsoft Azure Web サービスの認証認可 Web サービスの認証認可が可能 29

動作環境種類 / 用途 Single Sign-On ( ポリシーサーバ ) Web Agent Access Gateway ( 旧機能名 Secure Proxy Server) User/Policy Store(*1) Web コンソール動作 OS/ 環境 Windows Server 2012 R2 / Windows Server 2016 / Red Hat Enterprise Linux 6 / Red Hat Enterprise Linux 7 Interstage Application Server V11/V12 ASF Apache 2.2.x/2.4.x Microsoft IIS 7.0/7.5/8.0/8.5 /10 詳細は弊社営業 SE にお問い合わせください Windows Server 2012 R2 / Windows Server 2016 / Red Hat Enterprise Linux 6 / Red Hat Enterprise Linux 7 / Oracle Solaris 11 Microsoft Active Directory 2012, 2012R2, 2016 / Microsoft Active Directory Lightweight Directory Services 2012, 2012R2, 2016 / Microsoft SQL Server 2012, 2014, 2016 / Oracle Directory Server EE 11gR1, 11gR1 SP1,11.1.1.x / Oracle Internet Directory 11gR1, 12c / Oracle MySQL Enterprise Server 5.1 以降 / Oracle Database 12c, 12cR1, 12cR2 / Oracle RAC 12cR1 /Red Hat Directory Server 9.x, 10.x / CA Directory 12.x / OpenLDAP 2.4 / PostgreSQL 9.3, 9.4, 9.6 HTTP1.x HTTP cookie SSL/TLS をサポートしているブラウザ (*1)CA Single Sign-On が管理するユーザー情報ポリシー情報を格納するリポジトリ 30

登録商標 CA Identity Manager CA Single Sign-Onは米国およびその他の国における米国 CA Inc. またはその子会社の商標または登録商標です Microsoft Internet Explorer Hyper-V Windows およびWindows Serverは米国 Microsoft Corporationの米国およびその他の国における登録商標または商標です UNIXは米国およびその他の国におけるオープングループの登録商標です OracleとJavaは Oracle Corporation およびその子会社関連会社の米国およびその他の国における登録商標です文中の社名商品名等は各社の商標または登録商標である場合があります Oracle Solarisは Solaris Solaris Operating System Solaris OSと記載することがあります Linuxは Linus Torvalds 氏の米国およびその他の国における商標または登録商標です Red Hatは Red Hat, Inc. の米国およびその他の国における登録商標または商標ですその他本資料に記載されているシステム名製品名等には必ずしも商標表示 (TM ) を付記しておりません 31

( 参考 )2018/9 以前の r12.7 の動作環境種類 / 用途 Single Sign-On ( ポリシーサーバ ) Web Agent Access Gateway ( 旧機能名 Secure Proxy Server) User/Policy Store(*1) Web コンソール動作 OS/ 環境 Windows Server 2012 R2 / Red Hat Enterprise Linux 6 / Red Hat Enterprise Linux 7 Interstage Application Server V11/V12 ASF Apache 2.2.x/2.4.x Microsoft IIS 7.0/7.5/8.0/8.5 /10 詳細は弊社営業 SE にお問い合わせください Windows Server 2012 R2 / Red Hat Enterprise Linux 6 / Red Hat Enterprise Linux 7 / Oracle Solaris 11 Microsoft Active Directory 2012, 2012R2 / Microsoft Active Directory Lightweight Directory Services 2012, 2012R2 / Microsoft SQL Server 2012, 2014 / Sun Java System Directory Server EE 6.1 以降,7.x / Oracle Directory Server EE 11gR1, 11gR1 SP1 / Oracle Internet Directory 11gR1 / Oracle MySQL Enterprise Server 5.1 以降 / Oracle Database 12cR1 / Oracle RAC 12cR1 /Red Hat Directory Server 9.x, 10.x / CA Directory 12.x, 12.5.x, 12.6 / OpenLDAP 2.4 / PostgreSQL 9.3, 9.4 HTTP1.x HTTP cookie SSL/TLS をサポートしているブラウザ (*1)CA Single Sign-On が管理するユーザー情報ポリシー情報を格納するリポジトリ 33

( 参考 )2017/7 以前の動作環境種類 / 用途 Single Sign-On ( ポリシーサーバ ) Web Agent 動作 OS/ 環境 Microsoft Windows Server 2008(32-bit, 64-bit)/2008 R2 Red Hat Enterprise Linux 5(x86, Intel64)/6(x86, Intel64) Oracle Solaris 10/11 Interstage Application Server V10/V11(32bit) ASF Apache 2.2.x/2.4.x(32bit/64bit) Microsoft IIS 7.0/7.5(32bit/64bit) 上記以外については弊社営業 SE にお問い合わせください Secure Proxy Server User/Policy Store(*1) Microsoft Windows Server 2008(32-bit, 64-bit)/2008 R2 Red Hat Enterprise Linux 5(x86, Intel64)/6(x86, Intel64) Oracle Solaris 10/11 Microsoft Active Directory 2012(*2) Microsoft SQL Server 2008/2008R2/2012 Oracle Database 12c(*2) CA Directory r12 SPx 上記以外と (*2) については弊社営業 SE にお問い合わせください Web コンソール HTTP1.x HTTP cookie SSL/TLS をサポートしているブラウザ (*1)CA Single Sign-On が管理するユーザー情報ポリシー情報を格納するリポジトリ 34

( 参考 )2015/8 以前の動作環境種類 / 用途 Single Sign-On ( ポリシーサーバ ) Web Agent 動作 OS/ 環境 Microsoft Windows Server 2008(32-bit, 64-bit)/2008 R2 Red Hat Enterprise Linux 5(x86, Intel64)/6(x86, Intel64) Oracle Solaris 10/11 Interstage Application Server V9/10/V11(32bit) ASF Apache 2.0.54 以降 /2.2.x/2.4.x(32bit/64bit) Microsoft IIS 7.0/7.5(32bit/64bit) 上記以外については弊社営業 SE にお問い合わせください Secure Proxy Server User/Policy Store(*1) Microsoft Windows Server 2008(32-bit, 64-bit)/2008 R2 Red Hat Enterprise Linux 5(x86, Intel64)/6(x86, Intel64) Oracle Solaris 10/11 Microsoft Active Directory 2008/2008R2 Sun Java System Directory Server EE 6.1 以降,7.x Microsoft SQL Server 2008/2008R2/2012 Oracle Database 11g R2 CA Directory r12 SPx 上記以外については弊社営業 SE にお問い合わせください Web コンソール HTTP1.x HTTP cookie SSL/TLS をサポートしているブラウザ (*1)CA Single Sign-On が管理するユーザー情報ポリシー情報を格納するリポジトリ 35 Copyright 2013-2017 FUJITSU LIMITED