SSO/IDMによるクラウド 環 境 に 対 するセキュリティ 対 策 と CTCの 取 り 組 み ITエンジニアリング 室 ミドルウェア 技 術 部 部 長 代 行 稲 吉 英 宗
Today s Agenda IDM/SSOによるクラウド 時 代 のセキュリティ 問 題 解 決 認 証 連 携 技 術 について SSO/IDM Lab for Cloud/Globalのご 紹 介 Sun OpenSSO Enterprise/Sun Identity Managerの ご 紹 介 今 後 の 取 り 組 み
Today s Agenda IDM/SSOによるクラウド 時 代 のセキュリティ 問 題 解 決 認 証 連 携 技 術 について SSO/IDM Lab for Cloud/Globalのご 紹 介 Sun OpenSSO Enterprise/Sun Identity Managerの ご 紹 介 今 後 の 取 り 組 み
統 合 ID 管 理 と 認 証 基 盤 統 合 :IDMとは?SSOとは? IDMという 言 葉 には 様 々な 意 味 合 いがあり 世 の 中 で 利 用 されているIDMという 言 葉 も 使 い 方 は 統 一 されていません 以 下 の 図 は CTCの 考 えるIDMの 提 供 範 囲 です Webシングルサインオンとは 1 度 のログインで 複 数 システ ムに 対 するログオンを 実 施 す る 事 認 証 セッション 管 理 機 能 の 一 元 化 とアクセス 制 御 を 行 う 関 連 用 語 フェデレーション 大 学 間 連 携 アクセス 監 査 メタディレクトリとは データレポジトリの 統 合 を 意 味 し 基 本 的 には 全 てを ディレクトリサービスに 統 合 するアプローチ 関 連 用 語 バーチャルディレクトリ アプリレイヤ Webシングルサインオン メタディレクトリ (ディレクトリ 統 合 ) 広 義 のIDM=IAM エンタープライズ SSO 統 合 ID 管 理 ( 狭 義 のIDM) ヘテロ 環 境 エンタープライズSSOとは クライアント/サーバ 型 シス テムに 対 するSSOを 行 う 統 合 ID 管 理 とは 今 日 のID 管 理 の 主 流 全 て を 一 つのリポジトリに 物 理 統 合 する 訳 ではなく 管 理 だけを 統 合 し 一 括 したID のメンテナンスを 行 う 関 連 用 語 プロビジョニング ID 監 査
社 内 システムに 対 するIDM/SSOのニーズ Webアプリに 対 するシング ルサインオンとユーザ 情 報 にもとづいたアクセス 制 御 Webシングルサインオン アクセス 制 御 アクセス 監 査 エンタープライズ シングルサインオン C/S 型 システムに 対 するシ ングルサインオン WebアプリA WebアプリB WebアプリC C/Sアプリ 各 アプリが 保 持 していた ユーザリポジトリを 集 約 認 証 機 能 Active Directory メタディレクトリ ( 統 合 LDAP) LDAP Database 人 事 DB 統 合 ID 管 理 ( 狭 義 のIDM) プロビジョニング ワークフロー ID 監 査 人 事 情 報 に 基 づく ID 情 報 の 自 動 メンテナンスやワー クフローを 利 用 したIDメン テナンス
認 証 ID 管 理 に 関 する 新 たなニーズ(1) SaaS+オンプレミス(インハウス)のハイブリッド 化 価 格 機 能 単 位 での 利 用 形 態 の 選 択 社 外 からも アクセス 可 能 Oracle Google Apps SaaS/PaaS/IaaS Microsoft Azure 異 なるID Password 様 々な 認 証 方 式 Salesforce CRM ユーザ 情 報 の 管 理 社 内 はSSOできてい るのに SaaSアプリの ID/Passはばらばらだ し 認 証 が 多 い!! エンドユーザ 企 業 内 システム 社 内 向 けSSO 企 業 内 NW システム 管 理 課 金 はユーザ 数 に 依 存 する? クラウドに 対 しても ユーザ 管 理 が 必 要! 退 職 者 や 異 動 者 の 管 理 は? システム 管 理 者
認 証 ID 管 理 に 関 する 新 たなニーズ(2) 企 業 のグローバル 化 の 進 展 海 外 拠 点 との 連 携 アプリケーション 利 用 パートナーとの 協 業 の 増 加 パートナーに 対 するアプリケーション 提 供 パートナー 企 業 海 外 事 業 所 異 なるID Password 様 々な 認 証 方 式 利 用 者 の 管 理 利 用 者 の 連 絡 社 内 はSSOできてい るのに パートナー 企 業 や 海 外 アプリの ID/Passはばらばらだ し 認 証 が 多 い!! エンドユーザ 企 業 内 NW 企 業 内 システム 社 内 向 けSSO システム 管 理 社 内 だけでも 大 変 なの に パートナーや 海 外 の 利 用 者 の 管 理 まで 手 が 回 らない! 社 外 の 退 職 者 まで 分 からない!? システム 管 理 者
結 局 のところ 新 たなテクノロジーを 利 用 する 際 でも これまでと 同 じく 利 便 性 の 確 保 セキュリティ エンドユーザに 社 内 / 社 外 のシステムの 違 いを 意 識 させない 社 外 ネットワークからのアクセス 制 御 アクセスログ 管 理 パスワードポリシーの 共 通 化 退 職 者 制 御 運 用 の 容 易 さ コスト 確 実 なユーザ 管 理 課 金 対 象 のコントロール + あらたなマルチベンダー 利 用 に
解 決 策 社 外 からの アクセス= SSO 経 由 に 限 定 Oracle SAML1.1 (SP) SaaS/PaaS/IaaS Google Apps SAML2.0 Salesforce CRM SAML2.0 Microsoft Azure (SP) WS-Fed ユーザ 情 報 の 自 動 連 携 パートナー 企 業 パートナーSSO (IdP) (IdP,SP) 海 外 事 業 所 海 外 事 業 所 SSO 認 証 処 理 をそれぞれで 分 担 マルチに 認 証 フレームワークへ 対 応 (SP) (IdP,SP) 社 内 SSOにて 認 証 を 受 ければSaaSアプ リもSSO 可 能 に 企 業 内 NW (IdP) パートナーや 海 外 事 業 者 の 利 用 者 の 管 理 は それぞれに 任 せられる ようになった! 社 内 向 けSSO IDM エンドユーザ 企 業 内 システム システム 管 理 システム 管 理 者
Today s Agenda IDM/SSOによるクラウド 時 代 のセキュリティ 問 題 解 決 認 証 連 携 技 術 について SSO/IDM Lab for Cloud/Globalのご 紹 介 Sun OpenSSO Enterprise/Sun Identity Managerの ご 紹 介 今 後 の 取 り 組 み
なぜ 認 証 連 携 が 必 要 なのか 環 境 の 変 化 により 認 証 の 世 界 に 求 められるのは 社 内 環 境 ( 同 一 ドメイン)だけを 意 識 したSSOアーキ テクチャから 社 外 多 様 性 を 意 識 したSSOアーキテクチャへ 変 遷 従 来 型 SSOアーキテクチャ ユーザの 多 様 化 より 柔 軟 なトポロジへの 対 応 アプリケーションは 社 内 から 社 外 へ 認 証 標 準 仕 様 の 策 定 ( 独 自 路 線 へ の 決 別 ) 従 来 型 SSOアーキテクチャ 分 散 型 SSOアーキテクチャ ( 他 ドメインとの 認 証 連 携 ) これまで 現 在
認 証 連 携 仕 様 の 現 状 有 力 な3つの 標 準 仕 様 が 共 存 している 状 況 各 仕 様 の 代 表 者 が 集 まり 相 互 運 用 を 検 討 推 進 するプロジェクト OpenID Shibboleth SAML / Liberty Alliance Kantara Initiative Card Space Higgins WS-Federation (ADFS) Bandit
ID 情 報 って 誰 のモノ?(User Centric Identity) これまでの 考 え 方 User Centric Identity Management サービスプロバイダA サービスプロバイダB サービスプロバイダA (リライングパーティ) サービスプロバイダB (リライングパーティ) 利 用 者 ID 情 報 利 用 者 ID 情 報 利 用 者 ID 情 報 利 用 者 ID 情 報 サイト 単 位 で 異 なる ID パスワード ユーザ 情 報 サービス 利 用 の 為 には サイトにIDおよび 個 人 情 報 を 登 録 しなければ ならない ユーザは 任 意 のアイデ ンティティプロバイダを 選 択 し サービスプロバ イダにID 情 報 を 提 供 す る 自 由 を 得 る 確 認 確 認 アイデンティティ プロバイダA アイデンティティ プロバイダB アイデンティティ プロバイダC 垂 直 統 合 IDの 囲 い 込 み 水 平 分 散 IDを 個 人 が 管 理 する 時 代 へ
SAML(1) 特 徴 認 証 連 携 仕 様 のメインストリームであり 特 定 のサービス 間 で 認 証 連 携 認 可 およびID 情 報 をセキュアに 流 通 させることを 前 提 とている B2B B2C B2Eのいずれにも 対 応 可 能 連 携 するサイト 間 は 事 前 にシステム 的 に 設 定 を 行 っておく( 静 的 に 信 頼 関 係 を 結 ぶ) 必 要 が ある 主 な 対 応 サイト IdP(Identity Provider) 社 内 に 構 築 することが 中 心 である 為 公 表 可 能 な 事 例 が 少 ない 一 部 B2Cサイトあり(NTTコミュニケーションズ Goo など) 政 府 教 育 関 係 での 導 入 事 例 が 多 い SP(Service Provider) Google Apps SalesForce.com Oracle CRM on Demand
SAML(2) SAML 動 作 概 要 サービスを 提 供 する(サービスプ ロバイダ) 3 ID 情 報 を 提 供 す る(アイデンティ ティプロバイダ) 静 的 な 信 頼 関 係 静 的 な 信 頼 関 係 サービスを 提 供 する(サービスプ ロバイダ) 認 証 要 求 4 認 証 済 み 情 報 (Assertion) 1 2 認 証 済 み 情 報 (Assertion) 認 証 済 み 情 報 と 共 にユーザの 属 性 情 報 や 認 可 情 報 も 含 まれるXML 1 2 3 4 サービスへアクセス IdPに 対 して 認 証 要 求 をリダイレクト IdPにてユーザを 認 証 認 証 済 み 情 報 をSAML AssertionとしてSPへ 送 付
OpenID(1) 特 徴 ユーザ 毎 に 付 与 した 一 意 なURIをユーザIDとして 利 用 する 分 散 アーキテク チャを 採 用 した 認 証 プロトコル 軽 量 でシンプルな 実 装 でWebとの 親 和 性 が 高 い 主 な 対 応 サイト OpenIDプロバイダ Yahoo! mixi BIGLOBE etc Relying Party facebook Live journal So-net SNS okyuu.com
OpenID(2) ID 情 報 を 提 供 す る(OP:OpenID プロバイダ) OPの 場 所 を 示 す (XRDS) XRDSの 場 所 を 示 す XRDS 文 書 (XML) 7 6 4 動 的 な 信 頼 関 係 3 2 サービスを 提 供 する(RP: Relying Party) 8 5 1 1 サービスへアクセス(ユーザは 自 身 のOpenIDのドメイン 名 (OP Identifier)を 入 力 ) 2 RPはユーザの 入 力 したドメイン 名 からXRDSの 場 所 を 取 得 3 XRDSにてOpenIDプロバイダの 場 所 を 取 得 4 RPは 動 的 にOpenIDプロバイダと 信 頼 関 係 を 構 築 どのOPを 使 おうか? RPに 情 報 を 渡 すべき か? 5 6 7 ユーザをOpenIDプロバイダへリダイレクト OpenIDプロバイダにて 認 証 OpenIDに 登 録 された 情 報 をRPに 渡 して 良 いかユーザへ 確 認 8 RPへ 認 証 済 み 情 報 と 属 性 情 報 を 送 付 (Assertion)
Card Space(1) 特 徴 従 来 のユーザIDの 代 わりに 擬 似 的 な カード を 提 示 すること で 認 証 済 み 情 報 および ユーザ 情 報 をサービスに 提 示 する 仕 組 み 主 な 対 応 サイト Windows Live ID
Card Space(2) 情 報 カードを 発 行 管 理 する(IP: Identity Provider) セキュリティトークンを 発 行 する (STS:Security Token Service) サービスを 提 供 する (RP:Relying Party) 信 頼 関 係 1234-5678-1111 1234-5678-1111 1234-5678-1111 1 どのカードを 提 出 するか? 1234-5678-1111 1234-5678-1111 4 セキュリティ トークン 5 2 3 1 IPからインフォカード( 情 報 カード)の 発 行 ( 初 回 のみ) 2 RPに 対 してアクセス 3 RPはクライアントに 対 してセキュリティトークンの 提 示 を 求 める 4 クライアントは 任 意 のカードを 選 択 しSTSに 対 してセキュリティトークンの 発 行 を 依 頼 ( 情 報 カードを 提 示 ) 1234-5678-1111 5 STSが 情 報 カードの 正 当 性 を 確 認 し RPが 必 要 なクレーム(ユーザ 属 性 )を 含 んだセキュリ ティトークンを 発 行 クライアントはセキュリティトークンをRPに 送 付 し RPのサービスを 受 け る
各 プロトコルの 関 係 各 プロトコルは それぞれが 競 合 する 仕 様 というよりは 用 途 目 的 に 応 じて 使 い 分 けられる シンプルかつWebに 親 和 性 の 高 い 仕 様 によ りWebサービス 事 業 者 向 け 技 術 軽 量 シンプル OpenID Security Privacy 拡 張 性 異 なるドメイン 間 の 連 携 SAML / Liberty Alliance User Centric XMLの 利 用 UIの 統 一 フィッシング 対 策 UI 中 心 アプローチ Card Space 強 固 な 認 証 基 盤 を 持 つIdPを 中 心 とした エン タープライズ キャリア 向 け 技 術 カード というメタファを 利 用 した(UIを 中 心 と した) ユーザビリティ 向 上 のための 技 術 出 展 :The Venn of identity, Eve Maler, http://www.xmlgrrl.com/blog/archives/2007/03/28/the-venn-of-identity/
適 材 適 所 なID 連 携 事 例 Sun Microsystems: 社 員 向 けにOpenIDを 発 行 社 員 向 けにOpenIDを 発 行 することで IDの 利 用 者 が 本 人 であ ることの 保 証 を 行 っている (ID 自 体 の 信 頼 性 を 高 めている) Google Apps Salesforce.com:SAML 連 携 に 対 応 エンタープライズ 向 けアプリケーションの 認 証 連 携 にSAMLを 利 用 することで 利 用 企 業 内 の 強 固 な 認 証 基 盤 (IdP)とのセキュリ ティ 強 度 の 高 い 認 証 が 可 能 NTT DoCoMo:SAML 連 携 に 対 応 携 帯 電 話 にIDをひもづけ IdPとしてSAML(Liberity Alliance) を 利 用 した 認 証 システムを 構 築
課 題 導 入 が 進 む 一 方 で 以 下 のような 課 題 も 出 てきています 仕 様 の 乱 立 (ユーザへの 混 乱 ) OpenID SAML CardSpaceといった 連 携 仕 様 に 独 自 に 対 応 するサイト が 増 えると 結 果 としてユーザへの 混 乱 を 招 く 恐 れがある IdP IPの 信 頼 性 IdP IPを 誰 もが 立 てられるようになると ID 自 体 の 信 頼 性 に 問 題 が 出 る 恐 れがある IDは 本 当 に 信 頼 できるか? IDの 発 行 元 (IdP)は 本 当 に 利 用 者 本 人 を 認 証 できているのか?
まとめ(1) 何 のプロトコルが 優 れている/ 劣 っているという 議 論 ではなく 目 的 用 途 に 合 わせた 手 法 を 検 討 す べき 現 状 の 利 用 シーン 対 応 サイト メリット デメリット SAML エンタープライズ キャリア 向 けの 認 証 連 携 属 性 交 換 Salesforce.com Google Apps セキュア 拡 張 性 に 富 む 仕 様 が 幅 広 く 実 装 が 複 雑 OpenID Webシステムにおけ る 認 証 連 携 属 性 交 換 Facebook Basecamp 各 種 SNSサイト オープン 軽 量 実 装 がシンプル IDの 信 頼 性 を 必 要 とするサービス の 実 績 が 少 ない Card Space ユーザの ID/Password 認 証 の 代 替 セキュリティ 向 上 など Windows Live ID セキュア 実 績 が 少 ない (IP RP STS 側 の) 実 装 が 困 難
まとめ(2) 認 証 連 携 における 今 後 のキーワード マルチベンダクラウド 認 証 フレームワークをマルチにサポートしたIdP IDのビジネスへの 応 用 認 証 を 軸 とした 新 たなビジネスモデルの 創 造 RP(サービス 側 )の 対 応 サービスの 質 に 合 わせた 認 証 フレームワークの 選 択 採 用 IdP/IPの 信 頼 性 担 保 IdPの 認 証 強 化 ( 多 要 素 認 証 の 検 討 など) IdPに 保 持 したIDの 信 頼 性 (ID 利 用 者 の 本 人 確 認 含 む)をどこまで 担 保 するか
Today s Agenda IDM/SSOによるクラウド 時 代 のセキュリティ 問 題 解 決 認 証 連 携 技 術 について SSO/IDM Lab for Cloud/Globalのご 紹 介 Sun OpenSSO Enterprise/Sun Identity Managerの ご 紹 介 今 後 の 取 り 組 み
Technical Solution Center 概 要 CTCがご 提 供 するシステムの 信 頼 性 と 安 全 性 を 確 実 なものとし スムーズな 導 入 と 安 定 したシステムのライフサイクル 実 現 をサポートする 総 合 検 証 センター 40ベンダー 以 上 の 機 材 を 揃 えた 日 本 最 大 級 のマルチベンダー 環 境 お 客 様 ご 自 身 もセンター 設 備 を 利 用 可 能 お 客 様 の 状 況 に 応 じて 活 用 できる 各 種 センター(CCV,DWCC)を 設 置 2005 年 3 月 開 設 2008 年 度 利 用 実 績 カッコ 内 は 開 設 時 よりの 累 計 検 証 932 件 (2794 件 ) 見 学 124 件 (454 件 ) 機 材 稼 働 率 50% 26
デモ 想 定 グローバルに 展 開 する 企 業 を 想 定 し リージョン 間 でシングルサインオンを 実 現 した システム 間 連 携 を 実 現 する フェデレーションに よるSSO
保 有 するアプリケーション 今 回 のモデル 企 業 が 保 有 するアプリケーションは 以 下 の 通 り Service in the Cloud Internet 北 米 拠 点 向 け ポータル グループウェア 日 本 拠 点 向 け ポータル 技 術 情 報 Wiki グループウェア SSO/ID 管 理 は 抜 いています 北 米 拠 点 北 米 拠 点 ユーザ 日 本 拠 点 ユーザ 日 本 拠 点 ユーザアクセス
システム 全 体 概 要 (1) Service in the Cloud Salesforce CRM Google Apps <ID 管 理 の 状 況 > 各 リージョン 毎 にID 管 理 / 認 証 システムを 構 築 しており それらが 互 いに 連 携 しながら 全 社 的 なSSOが 可 能 北 米 拠 点 ID 管 理 (Sun IDM) 北 米 拠 点 向 け 北 米 拠 点 向 け システム 群 Aシステム 群 A SAML2.0 SAML2.0 日 本 拠 点 ID 管 理 (LDAP Manager) 日 本 拠 点 向 け 日 本 拠 点 向 け 日 本 拠 ポータル 点 向 け ポータル システム 群 <リージョン 間 SSO> リージョン 間 のSSOは 以 下 のようなルールで ある 日 本 北 米 拠 点 へのSSO 北 米 アプリの 利 用 申 請 およびリージョン 間 SSOの 利 用 申 請 が 必 要 北 米 拠 点 SSO (OpenSSO) SAML2.0 日 本 拠 点 SSO (IceWall) 北 米 拠 点 日 本 へのSSO 日 本 アプリの 利 用 申 請 が 必 要 (リージョン 間 SSOの 利 用 申 請 は 必 要 ない) US 社 内 クライアントPC 社 内 クライアントPC Japan
システム 全 体 概 要 (2) 北 米 拠 点 ID 管 理 (Sun IDM) 北 米 拠 点 向 け 北 米 拠 点 向 け システム 群 Aシステム 群 A Service in the Cloud Salesforce CRM SAML2.0 北 米 拠 点 SSO (OpenSSO) SAML2.0 Google Apps SAML2.0 日 本 拠 点 ID 管 理 (LDAP Manager) 日 本 拠 点 SSO (IceWall) 日 本 拠 点 向 け 日 本 拠 点 向 け 日 本 拠 ポータル 点 向 け ポータル システム 群 < 北 米 拠 点 システム 状 況 > 北 米 には OpenSSO があり 北 米 の 社 内 シ ステムに SSO 機 能 を 提 供 OpenSSO には 北 米 のユーザーのみ 登 録 OpenSSO は Salesforce CRM に 対 し SAML2.0 にて 認 証 情 報 を 提 供 北 米 環 境 ではSun IDMにて 統 合 ID 管 理 が 実 現 されている < 日 本 拠 点 システム 状 況 > 日 本 には IceWall があり 日 本 の 社 内 シス テムに SSO 機 能 を 提 供 IceWall には 日 本 のユーザーのみ 登 録 され ている IceWall は Google apps に 対 し SAML2.0 にて 認 証 情 報 を 提 供 日 本 環 境 はLDAP Managerにて 統 合 ID 管 理 が 実 現 されている US 社 内 クライアントPC 社 内 クライアントPC Japan < 北 米 / 日 本 相 互 連 携 > OpenSSO と IceWall はSAML2.0 にてお 互 いに 認 証 を 信 頼 しており 相 互 にSSOが 可 能
デモ 環 境 S/W 構 成
デモ 環 境 S/W 構 成 北 米 拠 点 向 け 環 境 日 本 拠 点 向 け 環 境
Today s Agenda IDM/SSOによるクラウド 時 代 のセキュリティ 問 題 解 決 認 証 連 携 技 術 について SSO/IDM Lab for Cloud/Globalのご 紹 介 Sun OpenSSO Enterprise/Sun Identity Managerの ご 紹 介 今 後 の 取 り 組 み
Sun OpenSSO Enterprise 主 な 特 徴 OpenSSO Enterprise とは? オープンソースをベースにSunが 商 用 としてのサポートサービスを 提 供 するWeb 上 やフェデレーション 環 境 およびWebサービス 環 境 におけるSSO/ 認 可 /パーソナライズの 機 能 を 備 えた 初 の 統 合 ソリューション シングルサインオン 機 能 強 力 な 認 証 機 能 ID/Password による 認 証 (LDAP, Active Directory, JDBC, Unix ) 証 明 書 認 証 Windows 統 合 認 証 RADIUS 認 証 SecureID など ロールベースによる 認 可 機 能 クロスドメインSSOに 対 応 マルチプロトコルフェデレーションハブ トラストサークル 内 であれば 企 業 間 が 異 なるフェデレー ションプロトコルを 利 用 して 通 信 が 可 能 Fedlet サービス プロバイダー 向 けにJavaと.NET 用 のフェデ レーションモジュールを 生 成 可 能 柔 軟 なアーキテクチャ エージェント 型 リバースプロキシ 型 両 方 式 に 対 応 するこ とで 柔 軟 なシステム 構 成 が 可 能 管 理 ツール Web ベースの 管 理 ツールから OpneSSO Enterprise の 設 定 やユーザ 登 録 が 可 能
アカウント 管 理 画 面 アカウントの 登 録 変 更 削 除 は Web 管 理 画 面 から 行 うことができます ここで 作 成 されたアカウントは Directory Server (または Active Directory) に 登 録 されます
ポリシー 設 定 画 面 ポリシーの 設 定 も 管 理 画 面 からウィザード 形 式 で 設 定 を 行 うことができます ルール: どのサーバ どの URL に 対 するポリシーかを 指 定 対 象 : ユーザ グループ ロールを 指 定 このほか 接 続 元 の IP や アクセスできる 時 間 帯 などを 指 定 することも 可 能 です
Sun Identity Manager 異 種 システム 間 のアクセス 権 限 の 設 定 検 証 是 正 報 告 を 包 括 的 に 実 現 人 事 システム 申 請 者 承 認 者 コンプライアンス 担 当 者 監 査 担 当 者 経 営 層 ID の 源 泉 とな る 人 事 システム との 連 携 ビジネス プロセスに 基 づくアクセス 権 限 の 付 与 剥 奪 コンプライアンス 違 反 に 関 する 通 知 是 正 緩 和 アテステーション 結 果 や 職 責 分 離 リポートの 提 供 と ダッシュボード Sun Identity Manager アイデンティティ プロビジョニング 予 防 的 統 制 アカウントと アクセス 権 限 設 定 の 自 動 化 アイデンティティ 監 査 発 見 的 統 制 既 存 の アクセス 権 限 の スキャン バーチャル アイデンティティ エージェントレス アダプタ ワークフロー 監 査 ログ/リポート パスワード 同 期 スケジューリング ディレクトリ / SSO ERP グループ ウェア CRM RDBMS カード 管 理 / 入 退 室 ポータル 幅 広 い 種 類 の アプリケーション と リソースに 対 応
Sun Identity Manager 機 能 アクセス 制 御 ユーザの 役 割 や 部 門 属 性 に 基 づいた 適 切 なアクセスコントロールを 実 施 プロビジョニング 雇 用 形 態 配 属 部 署 などのユーザ 環 境 に 応 じて アカウントに 関 連 づく 情 報 を 付 与 関 連 するシステムへの 情 報 伝 播 を 自 動 化 ワークフロー 監 査 アカウントの 作 成 付 与 情 報 の 変 更 削 除 処 理 を 行 うにあたり ビジネス 要 件 に 即 した 申 請 承 認 プロセスを 補 完 いつ 誰 が どこに 何 をした というログを 記 録
パスワードマネジメント 機 能 これまでシステムごとに 設 定 していたパスワードポリシーを Identity Manager から 一 括 して 設 定 可 能 全 システム 共 通 パスワードポリシーを 適 用 1 AD Active Directory パスワードポリシー Sun Java System Identity Manager Oracle Oracle パスワードポリシー パスワード 変 更 LDAP LDAP パスワードポリシー 1 Identity Manager から 各 システム 単 位 でポリシーを 設 定 することも 可 能
セルフサービス 機 能 セルフサービスの 提 供 パスワード 変 更 画 面 パスワードリセット 画 面 自 己 情 報 変 更 画 面 etc ヘルプデスクへの 問 い 合 わせのうち 60%はパス ワードに 関 するものという データも
Today s Agenda IDM/SSOによるクラウド 時 代 のセキュリティ 問 題 解 決 認 証 連 携 技 術 について SSO/IDM Lab for Cloud/Globalのご 紹 介 Sun OpenSSO Enterprise/Sun Identity Managerの ご 紹 介 今 後 の 取 り 組 み
今 後 の 構 想 (1): 連 携 対 象 アプリケーションのマルチベンダ 化 推 進 より 実 在 の 環 境 に 近 い 状 態 でのデモを 実 現 すべく 連 携 対 象 アプリケーションの 充 実 を 予 定 しています 以 下 は 連 携 を 予 定 しているアプリケーションの 一 部 です 連 携 予 定 のアプリケーション SaaS Oracle CRM on Demand Microsoft BPOS オンプレミス Microsoft Exchange SharePoint ネオジャパン Desknet s Lotus Notes/Domino 認 証 基 盤 の 強 化 Active Directory SecurID クライアント 証 明 書 認 証
今 後 の 構 想 (2):マルチ 認 証 フレームワークへの 対 応 北 米 拠 点 ID 管 理 (Sun IDM) 北 米 拠 点 向 け 北 米 拠 点 向 け システム 群 Aシステム 群 A Multiple Vender Service in the Cloud Multiple Auth Framework 北 米 拠 点 SSO (OpenSSO) SAML ADFS Infocard 対 応 SAML2.0 Multip;e Auth Flamework 日 本 拠 点 ID 管 理 (LDAP Manager) 日 本 拠 点 SSO (IceWall) 日 本 拠 点 向 け 日 本 拠 点 向 け 日 本 拠 ポータル 点 向 け ポータル システム 群 クラウド 上 で 提 供 されるサービスの 増 加 = SaaSのマルチベンダ 化 それは 即 ち 認 証 フレームワークもSAMLだ けではなく 複 数 仕 様 が 採 用 される 可 能 性 も? 本 環 境 ではマルチ 認 証 フレームワーク にいち 早 く 対 応 させることでマルチベン ダクラウド 環 境 に 対 する 検 証 をいち 早 く 実 施 可 能 US 社 内 クライアントPC Japan
フェデレーションデモの 今 後 その 他 以 下 のような 計 画 にてデモ 環 境 の 拡 張 を 推 進 しています ID 管 理 部 分 に 対 するワークフロー 機 能 の 実 装 ID 管 理 シナリオにおける 利 用 申 請 をW/F 化 運 用 監 視 やバックアップなど 運 用 面 でのベストプラクティスの 検 討 検 証 仮 想 環 境 活 用 によるパフォーマンス 検 証 と 集 約 率 の 向 上 の 検 討 デモ 環 境 から 検 証 環 境 としての 用 途 へ 利 用 拡 大
Today s Agenda IDM/SSOによるクラウド 時 代 のセキュリティ 問 題 解 決 認 証 連 携 技 術 について SSO/IDM Lab for Cloud/Globalのご 紹 介 Sun OpenSSO Enterprise/Sun Identity Managerの ご 紹 介 今 後 の 取 り 組 み CTCのIDM/SSOソリューション
CTCのIDM/SSOソリューション IDM/SSOソリューション プロジェクト 計 画 アクセス 制 御 ルールの 整 備 要 件 定 義 設 計 実 装 テスト 運 用 IAMコンサルティングサービス IDM 製 品 選 定 支 援 サービス IAM 設 計 構 築 サービス IDMシステム 保 守 サービス IAMコンサルティングサービス IAMに 関 する 投 資 判 断 支 援 RFP 作 成 支 援 現 状 のたな 卸 し 等 ご 要 望 に 応 じて 行 うカスタマイズコンサル ティングサービスです 統 合 ID 管 理 製 品 選 定 支 援 サービス 統 合 ID 管 理 に 関 する 課 題 要 件 をヒ アリングの 上 複 数 製 品 の 公 正 な 比 較 概 算 費 用 の 産 出 を 行 います IDM/SSO 設 計 構 築 サービス IDM/SSO 製 品 ( 場 合 によってはスク ラッチ 開 発 )を 用 いた 設 計 構 築 サー ビスをご 提 供 します IDMスターターパック Sun Identity Managerで 最 低 限 必 要 な 機 能 をパッケージングしており 短 期 間 での 導 入 が 可 能 です IDM/SSOシステム 保 守 サービス IDM/SSO 製 品 のみではなく IDM/SSOシステム 全 体 の 保 守 サー ビスをご 提 供 します
IDM スターターパックとは? パッケージ 内 容 支 援 サービス 内 容 CSVファイル ( 人 事 情 報 等 ) パスワードの 変 更 管 理 Sun Identity Manager レポジトリ 用 DB IDM 構 築 に 必 要 な 支 援 サービスを オールインワンでご 提 供 設 計 支 援 検 証 支 援 構 築 支 援 運 用 支 援 Active Directory LDAP Database テーブル ヒアリング お 客 様 の 現 状 システム 運 用 問 題 点 のヒアリングを 行 い パッケージ 適 用 判 断 を 行 いま す ワークショップ ID ID 管 理 プロジェクトの 課 題 と ゴールを 将 来 を 含 め 検 討 し プロジェクトの 明 確 化 を 図 りま す 開 発 環 境 構 築 お 客 様 の 擬 似 環 境 を 構 築 /テ ストし 各 種 報 告 書 ( 基 本 詳 細 設 計 書 等 )を 作 成 します 運 用 ルール 設 計 お 客 様 環 境 での 運 用 ルール を 策 定 し 運 用 マニュアルを 作 成 します 開 発 環 境 レビュー 開 発 環 境 のテスト 結 果 と 運 用 ルールをまとめ 本 番 環 境 の 実 装 方 法 を 検 討 します 本 番 環 境 実 装 テスト 本 番 環 境 へのインストール 設 定 テスト データの 移 行 設 定 報 告 書 を 作 成 します スターターパックを 通 し ID 管 理 の 将 来 像 を お 客 様 と 一 緒 に 考 えます! What s Next? ー 利 便 性 向 上 運 用 費 用 削 減 -その 他 リソースとの 連 携 ( 各 種 ビジネスアプリ 各 種 OS 各 種 メッセージソフトウェア 等 ) -Single Sign Onの 導 入 ーコンプライアンスへの 対 応 -ワークフロー 導 入 による 役 割 の 明 確 化 - 監 査 レポート 機 能 ー サービスレベルの 向 上 -セルフサービス 拡 充 による 管 理 部 署 の 負 荷 軽 減 -フェデレーションによる 企 業 間 のID 連 携
IDM スターターパックの 機 能 CSVデータ 自 動 取 込 み 機 能 人 事 情 報 等 アカウント 情 報 のマス タとなるデータをIdentity Manager へ 自 動 取 り 込 み プロビジョニング 機 能 アカウントの 作 成 / 更 新 / 削 除 アカウント 属 性 情 報 のプロビ ジョニング Active Directory CSVファイル( 人 事 情 報 等 ) Sun Identity Manager 各 種 LDAP エンドユーザ パスワードメンテナンス 機 能 接 続 先 システムに 対 するパス ワード 変 更 画 面 の 提 供 と 一 貫 し たパスワードポリシーの 実 装 スターターパックの 提 供 するID 管 理 基 盤 各 種 データベース
IDM-アイデンティティ マネジメント 入 門 日 本 初 のIDM 書 籍 目 次 アイデンティティ マネジメントとは IDMと 内 部 統 制 の 関 係 認 証 とIDMの 関 係 IDMシステムの 構 築 ステップ ディレクトリサービスとIDMの 関 係 IDMを 活 用 したソリューション 国 内 / 海 外 事 例 http://www.amazon.co.jp/gp/pro duct/490385907x