2019 年 3 月更新 ver.1.4 認証連携 ( フェデレーション ) ソリューション IceWall Federation のご紹介 日本ヒューレット パッカード株式会社 IceWall ソフトウェア本部
目次 1. クラウド (SaaS) 認証の課題と認証連携 (Federation) による解決 2. IceWall Federation 3. IceWall Federation (SAML IdP) 4. IceWall Federation Agent 5. IceWall Federation OIDC ソーシャルログイン 6. IceWall Federation OIDC / OAuth OP 7. お問い合わせ 2
クラウド (SaaS) 認証の課題と認証連携 (Federation) による解決
クラウドサービス (SaaS) 導入時の認証の課題 ユーザーが覚えるユーザー ID とパスワードの増加 認証の強度がクラウド側に依存し 多要素認証などの導入に制限がある 利用場所や端末を制限する機能もクラウド側に依存し 柔軟な制御が行えない 4
フェデレーション は 自社の認証でクラウドサービスを利用するための仕組み 自国での本人確認 ( 自社での認証 ) で 外国に入国できる ( クラウドを利用出来る ) 点で パスポートに近い仕組み パスポートの仕組みフェデレーションの仕組み パスポートは 自国での厳格な本人確認 ( 戸籍や住民票 ) が求められる一方で 外国への入国はパスポートだけで入国が可能 同様にフェデレーションでも 自社 IdP(Identity Provider) での厳格な認証を通れば IdP から発行されたアサーションの提示のみでクラウドの利用が可能 5
フェデレーション導入による SaaS 導入時課題の解決 ユーザーが覚えるユーザー ID とパスワードは 1 つのみで パスワード漏洩リスクを抑制 SSO システム (IdP) への認証を強化することでクラウドサービスの認証も強化でき 多要素認証などの導入も容易 SSO システム (IdP) にアクセス可能な範囲にのみクラウドサービスが利用可能な範囲となるため 場所や端末による制限が柔軟にできる 6
認証連携の基本的な動作 (SAML の場合 ) ユーザー 3 IdP の認証のみで SP を利用可能に 1 IdP にログイン サービス提供 (SaaS) SP(Service Provider) 2 認証されたユーザーであることを IdP から SP へ伝達 ユーザー認証 IdP(Identity Provider) ユーザーは IdP での認証を行うのみで (SP 側で追加の認証の手間なく ) SP が提供するサービスを利用可能 左図は企業ユーザーの認証に広く使われる SAML (Security Assertion Markup Language) の例 SAML は認証連携の標準仕様のうちのひとつで 他には BtoC や BtoB などの認証で OpenID Connect が広く使われている OpenID Connect の場合 下記のように呼び方が変わるユーザー認証 :OP (OpenID Provider) サービス提供 :RP (Relying Party) 7
認証連携ベネフィットまとめ 複数の SaaS を利用する場合もユーザーが覚える ID/ パスワードが 1 つだけになり パスワードの使い回しやメモ書きなどによるパスワード漏洩のリスクを抑制 多要素認証などによる認証強化は IdP だけで行えばよく 認証強化がより効率的かつ効果的に行える 認証ログも IdP で集中管理することが出来るうえ SaaS 単独では取得の難しい 失敗ログオン のログが取得可能なため 不正アクセスの兆候を迅速に検知しやすい 社外などから直接 SaaS にアクセスする場合に利用端末を限定するなどの 条件に応じたアクセス制御がやりやすい 8
IceWall Federation
IceWall Federation 製品群 IceWall Federation (SAML IdP) IceWall を SAML IdP にするためのモジュール IceWall SSO および IceWall MFA に無償バンドルされている IceWall Federation Agent Web アプリケーションを SAML SP にするためのエージェントモジュール IceWall Federation OIDC/OAuth OP OpenID Connect/OAuth の OP(SAML の IdP に相当 ) となるモジュール IceWall Federation OIDC ソーシャルログイン Web サイトを OpenID Connect の RP(SAML の SP に相当 ) にするためのモジュール 10
IceWall Federation (SAML IdP)
IceWall Federation (SAML IdP) SaaS(SP) Office365 SaaS(SP) Salesforce SAML IdP として動作 IceWall SSO および IceWall MFA に無償バンドル ログイン IceWall サーバー IceWall 認証サーバー IceWall Federation (IdP) オンプレミス 認証 DB リバースプロキシ型 SSO によるイントラネットの Web アプリケーションと SaaS へのログインを一元的に集約 IdP(Identity Provider) : ID を管理して認証を行うサイト SP (Service Provider) : 実際のサービスを提供するサイト 12
各サービス / ソフトウェアとの認証連携を検証済み IceWall Federation は実際の各サービスとの相互接続検証を行っており 安心 迅速な導入が可能 フェデレーション機能を提供する製品の多くは SAML 等の 標準仕様に準拠 を確認していても 各サービスとの相互接続確認 / 検証はユーザー任せ という製品も少なくない 国内のサービス / ソフトウェアも実績多数 一般的なフェデレーション機能提供製品 導入時 : 特定の対象サービス (SP) のインタフェースに合わせ SAML 等 適用する標準仕様の詳細を理解し 自身で設定 接続検証をする必要あり 運用時 : 万が一 本番運用において障害が発生した場合 個々の標準仕様におけるエラーは自身で解析してから各社製品窓口に問い合わせる必要あり IceWall Federation 導入時 : 適切な標準仕様を用い日本ヒューレット パッカードにて各サービス (SP) 単位での接続検証をしているため 安心かつ迅速にサービス導入が可能 運用時 : 接続検証された対象サービス (SP) との接続において障害が発生した場合 日本ヒューレット パッカードから問題解決のためのサポートを受けることができる 2019 年 3 月現在 SP として接続が確認できているサービス / ソフトウェア G Suite Salesforce Platform Office 365 クリプト便 Fileforce 福利厚生倶楽部 Box SECURE DELIVER GigaCC Aruba ClearPass SharePoint ADFS 2.0 cybozu.com KDDI Knowledge Suite(GRIDY) Suite(GRIDY) 出張なび Bulas e- 革新サービス HPE Service Anywhere Shibboleth の SP Windows Azure GoodData Confluence (RickCloud) Adobe Creative Cloudエンタープライズ版 Adobe Document Cloudエンタープライズ版 連絡とれるくん Citrix Virtual Apps and Desktops( 旧 XenDesktop) 他 多数 接続確認ができているサービスの最新状況は弊社 Web ページをご確認ください 13
Office 365 との認証連携 Office 365 との連携機能でマイクロソフトの認定を取得マイクロソフトの Works with Office 365 - Identity program * の認証連携 サードパーティー ID プロバイダー として 国産製品として始めて認定 Web はもちろん Outlook や Skype などの Windows アプリケーションや モバイルアプリも対応 Web Windows アプリケーションモバイルアプリ 14
IceWall Federation GUI IceWall Federation GUI により IceWall Federation を簡単に設定可能 設定内容 IceWall Federation モジュールの基本設定 認証連携を行うクラウドサービス (SAML SP) の登録 連携先設定画面 追加できる SAML SP の種類 IceWall Federation Agent G Suite Salesforce Office 365(SAML 連携のみ ) General( その他の一般的な SAML) 15
IceWall SSO( または IceWall MFA) との組合せで SaaS だけでなくイントラ Web アプリも含めたシングルサインオン SaaS SaaS 認証連携 (SAML など ) IceWall SSO IceWall Federation ユーザー 多要素認証 IceWall サーバー ( リバースプロキシ ) イントラ Web アプリ イントラ Web アプリ IceWall 認証サーバー 認証 DB イントラ Web アプリ 16
SaaS のシングルテナント利用 ~IceWall SSO の ID 探索機能 ~ IceWall Federation (IdP) SaaS Office365, Salesforce など SAML 認証連携 SaaS をシングルテナントで利用したい場合 認証連携先として指定できる認証 DB は 1 つのみ 認証 DB が複数ある場合 SaaS のテナントを分割するか認証 DB を統合するか IceWall 認証サーバー IceWall 認証サーバー IceWall 認証サーバー IceWall SSO の ID 探索機能を使えば複数の認証 DB のユーザーが SaaS をシングルテナントで利用可能 17
IceWall Federation Agent
SAML SP 機能実装のニーズの高まり クラウド化の進展 Web アプリの AWS や Azure への移行 PaaS と連携 システム相互利用の拡大 サプライチェーンの強化のためにパートナー間での Web アプリ相互利用拡大 SAML を認証の中心に 標準的なプロトコルの必要性インターネット利用時のセキュリティ考慮 幅広い Web アプリに SAML SP 化が求められる 企業内 Web アプリケーションにも SAML SP 機能の実装が求められている 19
Web アプリケーションへの SAML SP 機能実装の課題と IceWall Federation Agent による解決 SAML SP の実装が困難 ボリュームのある SAML の仕様を読み解いて実装する必要あり ID/Password の認証機能に比べ 技術的なハードルが高く余計な工数も必要 パッケージ製品の Web アプリケーションには対応できない 多くのパッケージ製品は SAML には対応していない IceWall Federation Agent は Web アプリを SAML SP 化するためのエージェント機能を提供手間なく短期間で Web アプリケーションを SAML SP 化できる 20
IceWall Federation Agent 概要 IceWall Federation Agent (SAML SP として動作 ) Web アプリケーション 3 IdP の認証のみで SP を利用可能に Web サーバー (Apache) ユーザー 1 IdP にログイン 2 認証されたユーザーであることを IdP から SP へ伝達 ユーザー認証 IdP(Identity Provider) Apache 上で動作する Web アプリケーションが対象 Web アプリケーションはヘッダで ID や属性などのユーザ情報を受けとる Web アプリケーション自体の改修は軽微 21
IceWall Federation Agent リバースプロキシ SSO 併用パターン 3 IdP の認証のみで SP を利用可能に IceWall Federation Agent (SAML SP として動作 ) IceWall MCRP ( リバースプロキシ ) Web サーバー (Apache) Web アプリケーション Web アプリケーション ユーザー 1 IdP にログイン 2 認証されたユーザーであることを IdP から SP へ伝達 Web アプリの改修の必要が全くない パッケージ製品の Web アプリでも利用可能 ユーザー認証 IdP(Identity Provider) 22
SAML 機能を自社で実装するリスク SAML の仕様を理解するのは難しく 自社で SAML 機能を実装するとセキュリティの問題も起こりやすい 新たな脆弱性へ対応する労力が過大になり遅れてしまう 攻撃者の格好の餌食になりうる ベンダーが提供する製品を使用すれば 脆弱性への対策が確実かつ迅速に可能 公開された脆弱性の例 : 2018/2/27 JVNVU#98536678 複数の SAML ライブラリに認証回避の脆弱性 SAML ライブラリには 認証回避の脆弱性があります 結果として 遠隔の第三者が 細工した SAML メッセージを使い SAML サービスプロバイダの認証を回避する可能性があります その結果 遠隔の攻撃者は 改ざんした SAML メッセージを使って SAML サービスプロバイダの認証を回避することが可能となります 出典 JVN 脆弱性対策情報データベース 23
Azure AD 環境との連携 ユーザー認証は Azure AD で行う 非 Windows アプリを改修無しで認証を連携 Azure AD に格納されていないユーザー属性も使用可 Azure 環境 Azure AD IdP 認証連携 SAML Federation Agent 非 Windows 環境 Web サーバー MCRP ( リバースプロキシ ) リバースプロキシ型構成例 Web アプリケーション Web アプリケーション ユーザー認証 アプリへのアクセス Federation Agent Web アプリケーション ユーザー Webサーバーエージェント型構成例 SP 24
Azure AD を中心としたシングルサイオン環境 オンプレミス Windows 環境 Azure 環境 Azure アプリ オンプレミス / クラウド非 Windows 環境 AD Windows アプリケーション AD 連携 Office365 Exchange SharePoint Azure AD SAML 認証連携 Web アプリケーション 3rd party パッケージ IceWall Federation Agent Azure AD での認証のみで全てのアプリ / サービスを利用可能 ユーザー認証 ユーザー SAML 認証連携 SaaS Salesforce G Suite など 25
Azure AD 連携向けパッケージライセンス IceWall Federation Agent for Azure AD Package Azure AD との認証連携をサポート 初期費用低減型ライセンス では以下を提供 IceWall Federation Agent と IceWall MCRP( リバースプロキシ )SE 版のライセンス 本ライセンスで エージェント構成 リバースプロキシ構成 のどちらも使用可 サーバー 1 台あたり 初期費用 ( ライセンス費 ) 100,000 円 ( 税抜 ) 月額費用 ( 保守費 ) 60,000 円 ( 税抜 ) のサブスクリプション型ライセンス 26
IceWall Federation OIDC ソーシャルログイン
ソーシャルログインとは SNS などのソーシャルアカウントでの Web サービスへの会員登録やログインを実現します ソーシャルログイン使用イメージ XXオンラインショップ外部サイトの IDでログイン Yahoo! ID Facebook Google ソーシャルメディアへのリンクをクリック Yahoo! Japan Yahoo ID でログイン ID パスワード ソーシャルメディアのログイン ID パスワードを入力 送信 XX オンラインショップ MY PAGE 目的の Web サイトへのログイン完了 サービス利用者へのメリット 新しく ID パスワードを記憶する必要なし スマートフォン等でのログイン操作がより簡単 会員登録フォームへの入力がラク サービス運用者へのメリット 新規登録会員が大幅増 サイト離脱率 カート放棄率が改善し売上が UP ユーザー情報の管理負荷が軽減 ソーシャルログインの実装方法は各 Web サービスによって異なります ここでは実現例を挙げています 28
IceWall Federation OIDC ソーシャルログイン OAuth 2.0/OpenID Connect 1.0 1 によるソーシャルログインを実現 Google OP 2 Facebook ユーザー LOG IN Yahoo! ID PW Yahoo!Japan LOG IN Yahoo! ID Facebook Google 4 RP 3 IceWall SSO 認証サーバー IceWall Federation OIDC サーバー 3 IceWall SSO IceWall サーバー 1. IceWall SSO のログイン画面にアクセス OP のログインボタンを選択 2. OP にログイン 3. ログインセッションを生成 4. IceWall SSO 経由で Web アプリへアクセス Web アプリ 1 OpenID Connect: OAuth 2.0 をベースとする次世代認証アイデンティティシステムの最新標準規格 OpenID Foundation が仕様を策定 2 OP(OpenID Provider): トークンを発行する側 ユーザーはログインしてトークンを取得する (SAML の IdP に相当 ) 3 RP(Relying Party): アプリケーションを提供する側 ユーザーはトークンを提示してサービスを受ける (SAML の SP に相当 ) 連携検証済みの OP (2019 年 3 月現在 ): Yahoo! ID Facebook Google LINE OP から取得したユーザー属性情報が Web アプリに渡されます 取得できるユーザー属性や属性名は OP 毎に異なります IceWall SSO の認証 DB にユーザーを登録する必要はありません 29
IceWall Federation OIDC / OAuth OP
OpenID による認証連携 OP はユーザー情報 (ID,PWD など ) を管理する ユーザーは OP に ID,PWD などを入力して認証を受ける ユーザー 1RP にアクセス 3 OP にログイン ユーザーが RP にアクセスする 認証を受ける OP を RP の画面上で選択する 2RP から OP へ認証を要求 OP(OpenID Provider): ID を管理して認証を行うサイト RP(Relying Party): 実際のサービスを提供するサイト RP(Relying Party) サイト B RP が OP に認証を依頼し 認証結果を受け取る サイト間の通信には OpenID 2.0 を使用する 4 認証結果の検証を要求 OP(OpenID Provider) サイト A IceWall SSO ソリューション リバースプロキシサーバー 認証サーバー / 認証 DB Federation サーバー ユーザーの ID/ パスワードが登録済み 31
API エコノミーの誕生へ ~ なぜ 今 API なのか?~ オープン イノベーションの実現に向けて広がるオープン API 外部サービス事業者との協業 既存サービスの販売加速 API 新サービスの早期実現 Web サービスの API 利用 モバイルアプリの API 利用 24% 15% 2018 年には 68% に増加と予測 Source: Mind Commerce, Telecom Network API Marketplace インターネット上では 既に多数の API サービスが存在 サービス事業者はインターネット上の API を組み合わせた新サービスを模索 魅力的な新サービス = API が必要この流れが金融へ Web API : 様々な機能をアプリケーションの中から利用しやすい形でまとめたもの (Application Programming Interface) ここでは HTTP ベースのリクエスト / レスポンスで 外部から簡単に機能を呼び出すための SOAP/REST インタフェースを指します 32
PFM (Personal Financial Management) サービスの例 利用者 PFM サービス 銀行やクレジットカードなどの履歴を集め 非常に容易かつ詳細な記録をする家計簿サービスを提供 銀行 クレジットカード会社 電子マネー会社 PFM サービスが銀行やクレジットカード会社が持つ利用者の個人情報を取得するために 現状では Web スクレイピング ( 後述 ) が利用されていることが多い 33
FinTech における Web スクレイピングとその課題 利用者 本来なら利用者が直接 Web で参照する インフラサービス Web サイト 課題 銀行 Web サイトのログイン情報を預ける 情報サービス (PFM など ) 利用者から預かったログイン情報を使って情報取得 Web スクレイピングの実装は情報サービスにとって開発の負荷が高く 銀行側 Web サイトのデザイン変更に対応できない場合がある パスワードも含むログイン情報を第三者に預けることへのセキュリティ上の懸念 ログイン情報を預かった情報サービス業者は必要以上の権限を持ってしまう より柔軟でセキュリティの高い連携方法が望まれる 34
オープン API を使った柔軟でセキュリティの高い複数サービス間連携 利用者 1 情報要求 3 インフラサービスへログオン 2 インフラサービスへのログオンに誘導 4 アクセストークン発行 情報サービス (PFM など ) インフラサービス 5 トークンに基づきアクセス権を制御した API アクセス 利点 情報サービス業者にとって実装するのが容易でインフラ側 Web デザインの変更にも影響は受けない パスワードも含めたインフラサービスへのログイン情報を 情報サービス業者に預ける必要が無い 情報サービス業者は インフラサービスに対して必要最小限のアクセス権しか持たない 35
IceWall Federation OIDC / OAuth OP IceWall SSO の OpenID Connect1.0/OAuth 2.0 OP 機能を利用することで オープン API の利用環境においてもセキュアな認証環境の構築が可能になります 認証によりユーザの同意に基づくセキュアなリソースのアクセスが可能認証は一旦 OP にリダイレクトされ リソースのアクセス権限は トークン と呼ばれるもので通知されます お客様のパスワードを外部に漏らす心配はありません オープンな仕組みで Web API を通じたサービス提供 OpenID Connect 1.0/OAuth 2.0 は ここ数年広く普及してきたオープンな仕組みであり Web API によって幅広いサービス提供を安全に実現するために好適の技術です これによって 利用者に対して安心性と利便性が両立したサービスが提供できるようになります ユーザーの同意に基づく WebAPI アクセスの仕組み (OpenID Connect 1.0/OAuth 2.0) 36
Amazon API Gateway との連携 Amazon API Gateway と IceWall Federation OIDC/OAuth OP との連携 IceWall 技術レポート : Amazon API Gateway と IceWall Federation OIDC/OAuth OP との連携 https://www.hpe.com/jp/ja/japan/icewall/report/amazon_apigateway.html 37
お問い合わせ
お問い合わせおよび周辺サービス お電話でのお問い合わせ ( 日本ヒューレット パッカードカスタマー インフォメーションセンター ) 0120-268-186 / 03-5749-8279 ( 携帯電話 PHS から ) 受付時間 : 月曜日 ~ 金曜日 9:00-19:00 ( 土 日 祝祭日 年末年始および 5 月 1 日を除く ) Web フォームからのお問い合わせ http://www.hpe.com/jp/iw-contact 最新 / 詳細情報 IceWall Federation 公式サイト http://www.hpe.com/jp/icewall-federation IceWall SSO 公式サイト http://www.hpe.com/jp/icewall 技術レポート ( 新規レポート随時公開中!!) http://www.hpe.com/jp/iw-report カタログ http://www.hpe.com/jp/iw-catalog IceWall SSO 評価用マニュアルダウンロード http://www.hpe.com/jp/icewall-download 各種サービス 導入サービス コンサルティングサービス エンジニア様向け技術トレーニング 海外拠点への導入 コンサルティングサービス 39
Thank you