2016 年 4 月 更 新 ver.4.4 IceWall SSO モバイルソリューションの ご 紹 介 日 本 ヒューレット パッカード 株 式 会 社 テクノロジーコンサルティング 統 括 本 部 IceWallソフトウェア 本 部
目 次 1. はじめに - モバイルSSO を 取 り 巻 く 市 場 背 景 2. IceWall SSOが 提 供 する モバイルSSO ソリューション 2
はじめに - モバイルSSO を 取 り 巻 く 市 場 背 景 - 3
市 場 背 景 1-1 クラウド&モバイル 時 代 のIT 利 用 ~any devices, anywhere accesses Public Cloud SaaSサービス 社 外 ユーザー(Remote) On Premise 社 内 イントラ 社 内 ユーザー IT 部 門 が 処 理 の 流 れを 把 握 出 来 ない セキュリティ 利 便 性 接 続 性 に 課 題 4
市 場 背 景 1-2 クラウド&モバイル 時 代 こそ 必 要 とされる 統 合 認 証 基 盤 認 証 連 携 (Federation) Public Cloud SaaSサービス モバイル 社 外 ユーザー(Remote) 統 合 認 証 基 盤 ワンタイム パスワード On Premise 社 内 イントラ IceWall ログ Web 利 用 分 析 社 内 ユーザー モバイルからもSSO!クラウドサービスへもSSO! 高 セキュリティの 統 合 認 証 ソリューションが 必 要 な 時 代 に IceWall なら 一 挙 解 決 5
認 証 機 能 認 証 機 能 市 場 背 景 2 スマートデバイスの 普 及 に 伴 う 変 化 ~ブラウザーから クラサバ 的 アプリケーションへの 回 帰 スマートデバイス(スマートフォンなど) APサーバー スマートフォン 内 のブラウザー GET, POST (ブラウザーより) HTML サーバー アプリケーション ユーザーインターフェースの 開 発 自 由 度 が 大 きい 今 後 さらなる 普 及 の 可 能 性 スマートフォン 内 のアプリケーション GET, POST (Web APIより) JSON, XML サーバー アプリケーション NFC NFCなどの 普 及 によりデバイス 側 のセキュリティソリューションも 急 増 する 見 込 み スマートデバイスのインターフェースやユーザービリティを 考 慮 した ログオン/ 認 証 方 法 を 検 討 することも 重 要 に 6
IceWall SSOが 提 供 する モバイルSSO ソリューション 7
IceWall SSOが 提 供 する モバイルSSO ソリューション ~モバイルデバイスの 利 用 をより 快 適 でセキュアに 1スマートフォン 携 帯 電 話 の 標 準 ブラウザーでの 事 前 動 作 検 証 2スマートフォン 用 画 面 テンプレートの 提 供 3スマートフォン タブレット 用 アプリケーションの 提 供 IceWall SSO Smart OTP 4 多 様 なスマートデバイスに 対 応 可 能 な 認 証 ソリューションの 提 供 IceWall SSO スマートデバイスオプション Android ios 版 を 各 々Google Play App Store 上 で 提 供 8
1400 機 種 を 超 える 携 帯 電 話 スマートフォンの 標 準 ブラウザーで 動 作 検 証 を 実 施 NTT docomo 機 種 一 例 AQUOS PHONE ARROWS BlackBerry GALAXY MEDIAS Optimus REGZA Sony Tablet Xperia iphone ipad Y! mobile 機 種 一 例 DIGNO STREAM Softbank 機 種 一 例 ipad iphone ARROWS DELL Streak GALAPAGOS HTC Desire PANTONE AQUOS PHONE au 機 種 一 例 AQUOS PHONE ARROWS htc EVO INFOBAR iphone MOTOROLA PHOTON REGZA ipad iphone IceWall SSO 動 作 確 認 済 スマートフォン 一 覧 をWebサイトに 公 開 しています 最 新 の 動 作 検 証 結 果 は 以 下 を 参 照 ください http://h50146.www5.hp.com/products/software/security /icewall/sso/spec/smartphone.html http://h50146.www5.hp.com/products/software/security /icewall/sso/spec/mobile_list.html 9
2スマートフォン 用 画 面 テンプレートの 提 供 Stylish Template スマートフォンに 最 適 化 した 画 面 テンプレート ログイン 画 面 アイコン 表 示 ポータル 画 面 リスト 表 示 ポータル 画 面 Simple Template 従 来 のPC 用 デザインに 合 わせた 画 面 テンプレート カスタマイズが 容 易 この 他 にエラー 表 示 画 面 も 提 供 端 末 属 性 (User-Agent)により PC 用 画 面 と 自 動 切 換 可 能 ログイン 画 面 アイコン 表 示 ポータル 画 面 10
3スマートフォン 用 アプリケーションの 提 供 スマートフォンの 快 適 性 とセキュリティを 両 立 するソリューション IceWall SSO Smart OTP ニーズ スマートフォンからWebアプリに 簡 単 に 単 純 な 操 作 だけでログ インしたい 追 加 コストをかけずに ログインのセキュリティを 高 めたい 端 末 毎 にコストがかかる クライアント 証 明 書 やトークンは 使 い たくない スマートフォン 上 の 少 ない 操 作 で 簡 単 にログインが 可 能 ユーザーID パスワードに ワンタイムパスワードを 加 え た 二 要 素 認 証 を 実 現 別 途 トークンの 準 備 携 帯 は 不 要 スマートフォン タブレット Android 版 ios 版 を 各 々Google Play App Store 上 で 提 供 ios 版 イメージ(iPhone) 画 面 はイメージです 使 用 する 機 種 などにより 異 なることがあります 11
3スマートフォン 用 アプリケーション IceWall SSO Smart OTP 12
IceWall SSO Smart OTPとは スマートフォンでのワンタイムパスワード (OTP)ソリューション スマートフォンでOTPを 生 成 し 自 動 送 信 SSOのセキュリティがさらに 向 上 HWトークンが 不 要 なためコストが 低 い SWトークンとしても PCからのログインに 使 用 可 能 IceWall SSO 1 IceWall SSO 1 IceWall サーバー OTP 連 携 オプション IceWall SSOの 基 本 構 成 に 以 下 の 機 能 を 追 加 / 付 与 OneTime 認 証 連 携 ツールfor IceWall IceWall SSO OTP 連 携 オプション Webアプリ IceWall SSO Smart OTP (スマートフォン アプリケーション) 2 アプリケーション(Smart OTP) をインストール ユーザーID パスワードを 登 録 OTPの 共 通 鍵 を 登 録 認 証 サーバー / 認 証 DB OneTime 認 証 連 携 ツール for IceWall OATH 準 拠 1 : v10.0 以 降 で 対 応 2 :Android 版 およびiOS 版 を 提 供 13
ログイン 操 作 手 順 (スマートフォンからのログイン) 1. 2. 3. 4. 1. Smart OTPを 起 動 ログインアカウントを 選 択 2. ログイン ボタンをタップ 3. Smart OTPがOTPを 自 動 生 成 ユーザーID/パスワードと 共 に 自 動 送 信 パスワードのみはSmart OTP 上 に 保 存 せず 毎 回 手 入 力 することも 可 能 です 4. ログイン 完 了 ログイン 後 は 標 準 ブラウザを 使 用 して 対 象 のWebサイトへアクセスが 可 能 です 画 面 はイメージです 使 用 する 機 種 などにより 異 なることがあります 14
ソフトウェアトークンとしての 使 用 (PCからのログイン) 1. 2. 3. 4. 1. Smart OTPを 起 動 ログインアカウントを 選 択 2. OTPを 表 示 ボタンをタップ Smart OTPがOTPを 生 成 表 示 3. PC 上 でブラウザのログイン 画 面 に 表 示 されたOTPと 共 にユーザーID/パスワードを 入 力 送 信 4. ログイン 完 了 画 面 はイメージです 使 用 する 機 種 などにより 異 なることがあります 15
様 々なトークンの 使 用 イメージ IceWall SSO Smart OTPと 共 にOATHに 準 拠 したHWトークンやSWトークンも 使 用 可 能 OTPを 表 示 ログイン 画 面 に 入 力 送 信 O A T H 準 拠 HWトークン 複 数 ベンダーの 多 様 な 製 品 SWトークン(スマートフォンアプリ) IceWall SSO Smart OTP SWトークン(Windows PC クライアント) IceWall SSO Smart OTP Windows *1 OTPを 生 成 ID/パスワードと 共 に 自 動 送 信 スマートフォンアプリ IceWall SSO Smart OTP *1 PCのブラウザー 版 のSWトークンもご 用 意 しています IceWall SSO IceWall サーバー 認 証 サーバー / 認 証 DB OneTime 認 証 連 携 ツール for IceWall OTP 連 携 オプション Webアプリ OATH 準 拠 16
OneTime 認 証 連 携 ツール for IceWall について 本 製 品 は 株 式 会 社 エスシーシーの 開 発 によるサーバー 製 品 です IceWall SSOと 組 み 合 わせてWebアプリーケーションの 前 段 に 配 置 することで OATH 規 格 のワンタイムパスワード 認 証 を 実 現 します ライセンス 体 系 : サーバーライセンス Enterprise EditionとStandard Editionをご 用 意 しています OneTime 認 証 連 携 ツール for IceWallを 動 作 させるサーバー 毎 に1ライセンス 必 要 です また 別 途 IceWall SSO OTP 連 携 オプション(サイトライセンス)が 必 要 です 本 ライセンスとあわせて 保 守 のご 購 入 が 必 要 です 動 作 環 境 サーバー OS:Red Hat Enterprise Linux 6.1 以 降 (x86_64) Red Hat Enterprise Linux 5.4 以 降 (x86_64) 認 証 システム:IceWall SSO 10.0 APサーバー:Tomcat 6.0 (OSバンドル 版 ) Java:Open JDK 6.0 (OSバンドル 版 ) データベース:Oracle 11g MySQL 5.1 OpenLDAP トークン ソフトウェアトークン:IceWall SSO Smart OTP 他 OATH 規 格 のソフトウェアトークン ハードウェアトークン:OATH 規 格 のハードウェアトークン 2014 年 1 月 現 在 最 新 の 動 作 環 境 は 別 途 お 問 い 合 わせ 下 さい 17
Tips1 各 認 証 方 式 の 比 較 ID パスワード 電 子 証 明 書 HWウェア トークン (OTP) Smart OTP (SWトークン OTP) 導 入 コスト 証 明 書 購 入 コスト トークン 購 入 コスト サーバーライセンスのみ 運 用 コスト ユーザーの 利 便 性 なりすまし 強 証 明 書 管 理 更 新 使 い 方 が 環 境 依 存 トークン 管 理 更 新 ただしトークン 必 要 スマートフォン 必 要 度 適 合 ソリューション 汎 用 的 BtoB/イントラネット リモートアクセス/ 出 金 認 証 欠 点 セキュリティ 弱 運 用 が 煩 雑 導 入 コスト 高 汎 用 的 / 出 金 認 証 SWトークンは まだ 普 及 途 中 適 用 規 模 制 約 なし 中 規 模 小 規 模 制 約 なし IceWall SSO Smart OTPは 中 大 規 模 領 域 においても 最 有 力 ソリューションに 18
Tips2 各 ワンタイムパスワード 方 式 の 比 較 トークンの 種 類 対 応 OS 対 応 端 末 ログイン 方 法 OTP 共 通 鍵 の 登 録 方 法 備 考 IceWall SSO Smart OTP IceWall SSO Smart OTP (SW トークン モード) ios6.0+ /Android 3.0+ 対 応 OS が 動 作 す るスマー トフォン 制 限 なし ( 主 に PC) ワンタイムパスワード を 意 識 せず 自 動 ログイン URL/ユーザーID/パス ワードを 事 前 登 録 ( 複 数 サイトが 登 録 可 能 ) ワンタイムパスワード をコピー&ペースト また は 手 動 入 力 ユーザーID/パスワード はその 都 度 手 動 入 力 手 動 入 力 QRコードによる 読 み 取 り メールで 通 知 さ れたURLで 登 録 サイト 別 に 複 数 のワンタイム パスワードを 生 成 可 能 カスタマイズ 可 能 ( 有 償 ) タイムベースのみ 使 用 可 能 30 秒, 60 秒 /20byte, 32byte, 64byteの 選 択 をユーザー 毎 に 設 定 可 能 Google Authenticat or ios5.0 + /Android2.2 +Blackberr y 等 制 限 なし ( 主 に PC) ワンタイムパスワード をコピー&ペースト また は 手 動 入 力 ユーザーID/パスワード はその 都 度 手 動 入 力 手 動 入 力 QRコードによる 読 み 取 り サイト 別 に 複 数 のワンタイム パスワードを 生 成 可 能 多 数 のOSに 移 植 30 秒 /20byteのみ タイムベース/イベントベース が 選 択 可 能 HWトークン OATH 仕 様 (タイムベー ス) 制 限 なし ( 主 に PC) ワンタイムパスワード を 手 動 入 力 ユーザーID/パスワード はその 都 度 手 動 入 力 不 要 (サーバー 側 での 登 録 のみ) 単 一 のワンタイムパスワード 例 ) OTP C200の 場 合 切 り 替 え60 秒 毎 20byte(30 秒 版 は 個 別 対 応 ) 19
4 多 様 なスマートデバイス 向 け 認 証 ソリューション IceWall SSO スマートデバイスオプション 20
IceWall SSO スマートデバイスオプションとは 各 種 スマートデバイス(アプリケーション)から 送 られる ID 情 報 による 認 証 を 可 能 にするIceWall SSOのオプション 製 品 IceWall SSO 特 殊 アプリケーション NFC スマートフォン 証 明 書 タブレットPC フィーチャー フォン ID 情 報 ヘッダー 情 報 BASIC 認 証 ヘッダー 証 明 書 情 報 など IceWall SSO スマートデバイス オプション Webアプリ 各 種 スマートデバイス スマートフォンアプリケーション お 客 様 独 自 仕 様 の 端 末 など 認 証 サーバー / 認 証 DB IceWall SSO スマートデバイスオプションは サーバーライセンス として 提 供 されます (ユーザー 数 には 依 存 しません) 21
IceWall SSOスマートデバイスオプションの 仕 組 み スマートデバイス (アプリケーション) (リクエストヘッダー) スマートデバイス オプション リバースプロキシー (IceWall MCRP) Webアプリ RPサーバー NFCなど 毎 回 送 られるリクエストの ヘッダーからID 情 報 を 抽 出 認 証 サーバー 認 証 DB ID 情 報 の 抽 出 処 理 は 製 品 標 準 の 機 能 を 使 用 する 他 カスタムプログラム( 有 償 )により デバイス(アプリケーション)の 仕 様 に 合 わせた 抽 出 方 法 ( 抽 出 パターン)の 実 装 が 可 能 です 抽 出 したID 情 報 を 使 用 して 認 証 認 可 (Cookieは 使 用 しない) IceWall SSO スマートデバイスオプション 動 作 環 境 RedHat Linux, Apache HTTP Server 詳 細 はサポートマトリクスを 参 照 してください 22
スマートデバイスオプションの 適 合 ケース HTTPの3つの 仕 組 みが 利 用 可 能 な Webブラウザー 等 には IceWall SSO フォワーダーが 適 合 (IceWall SSOの 基 本 構 成 が 適 合 ) ブラウザー (1)ログイン 画 面 よりID/パスワードを 入 力 して 送 信 (POST) (2) HTTP Redirect によるAP 画 面 への 遷 移 IceWall SSO フォワーダー Webアプリ (3) Cookieによるログインセッションの 維 持 Set-Cookie: IW_INFO=ABCD.. Cookie: IW_INFO=ABCD.. HTTPの3つの 仕 組 みが 利 用 できない スマートデバイス(アプリケーション) 等 には IceWall SSO スマートデバイスオプションが 適 合 スマートデバイス (アプリケーション) X X X IceWall SSO スマートデバイス オプション Webアプリ POST Redirect Cookie..... リクエストヘッダー 23
スマートデバイスオプション デバイス/ アプリケーション 1 スマートフォン ア プリケーション ユースケース 一 覧 ID 情 報 抽 出 方 法 要 件 / 課 題 ソリューション 利 用 形 態 端 末 固 有 ID ( ) ヘッダー 情 報 HTTPヘッダーに 付 与 される 端 末 固 有 のIDにより 認 証 し たい スマートデバイスオプションが ヘッダーよりIDを 抽 出 して 認 証 BtoE 2 携 帯 端 末 (フィーチャーフォ ン) 端 末 固 有 ID ( ) ヘッダー 情 報 HTTPヘッダーに 付 与 される 端 末 固 有 IDにより 認 証 した い 端 末 はHTTPリダイレク トが 使 用 不 可 スマートデバイスオプションが ヘッダーよりIDを 抽 出 して 認 証 BtoC 3 EDIクライアント アプリケーション クライアント 証 明 書 情 報 ヘッダー 情 報 (カスタムの 抽 出 プログラム による) クライアント 証 明 書 により 認 証 したい クライアントアプリ はCookieを 使 用 できない スマートデバイスオプションが ヘッダーに 含 まれる 証 明 書 情 報 を 抽 出 して 認 証 BtoB 4 金 融 系 クライアント アプリケーション Authorizatio n ヘッダー BASIC 認 証 ヘッダー 情 報 既 存 システム 機 能 の 踏 襲 の ため BASIC 認 証 によりロ スマートデバイスオプションが グインしたい クライアントア AuthorizationヘッダーよりIDを プリがHTTPリダイレクトを 使 抽 出 して 認 証 用 できない BtoB 端 末 固 有 IDとしてどのような 情 報 を 取 得 するか 取 得 した 情 報 がセキュリティリスク 上 問 題 無 いかどうかについては 個 々のお 客 様 の 環 境 ( 使 用 デバイス アプリケーション ネットワーク 環 境 等 )に 依 存 します 24
Thank you