いまさら 聞 けない シングルサインオンの 基 本 と 社 員 1 万 人 の 大 企 業 における OpenAM 導 入 事 例 紹 介 ~Webアプリケーションに 手 をいれることなく 認 証 連 携 を 実 現 する 方 法 ~ 株 式 会 社 オージス 総 研 テミストラクトソリューション 部 Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved.
会 社 概 要 株 式 会 社 オージス 総 研 代 表 者 : 設 立 : 代 表 取 締 役 社 長 平 山 輝 1983 年 6 月 29 日 資 本 金 : 4 億 円 ( 大 阪 ガス 株 式 会 社 100% 出 資 ) 事 業 内 容 : システム 開 発 プラットフォームサービス コンピュータ 機 器 ソフトウェアの 販 売 コンサルティング 研 修 トレーニング 主 な 事 業 所 本 社 : 大 阪 府 大 阪 市 西 区 千 代 崎 3- 南 2-37 ICCビル 東 京 本 社 : 東 京 都 港 区 港 南 2-15-1 品 川 インターシティA 棟 名 古 屋 オフィス: 愛 知 県 名 古 屋 市 中 区 錦 1-17-13 名 興 ビル 売 上 実 績 : 567 億 円 ( 連 結 ) 298 億 円 ( 単 体 ) (2013 年 度 ) 従 業 員 数 : 3,104 名 ( 連 結 ) 1,283 名 ( 単 体 ) 関 連 会 社 : さくら 情 報 システム( 株 ) ( 株 ) 宇 部 情 報 システム ( 株 )システムアンサー OGIS International,Inc 上 海 欧 計 斯 軟 件 有 限 公 司 ( 中 国 ) オージス 総 研 グループ 売 上 構 成 比 ( 連 結 ) 取 得 許 可 認 定 Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 2
アジェンダ シングルサインオンの 基 礎 導 入 事 例 テミストラクトの 紹 介 Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 3
シングルサインオンの 基 礎 Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 4
シングルサインオンとは シングルサインオンでない 状 態 シングルサインオン 導 入 後 業 務 システム 業 務 システム グループウェア SSO グループウェア 各 システムに 都 度 ログイン クラウドサービス 1 回 のログインで アクセス 可 能! クラウドサービス Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 5
なぜ シングルサインオンが必要なのか 其の壱 ユーザーにとって システムが増える 業務は楽になる + 認証は不便になる システム毎にログイン ID/パスワードが増える またログイン画面か このシステムは このパスワードで システム毎にパスワード変更 昨日もパスワード 変更したのに シングルサインオンを実現すると ログインは一回でOK ID/パスワードは一個覚えればOK パスワード変更は一カ所でOK つまり ユーザの利便性が向上する Copyright 2014OGIS-RI OGIS-RI All rights reserved. Copyright 2013 Co.,Co., Ltd.Ltd. All rights reserved. 6
なぜ シングルサインオンが必要なのか 其の弐 認証 認可の実装は 意外と大変 セキュアなシステムかどうかは システム開発者の技量に依存する アクセス制御が未実装 制御ルールがバラバラ 営業部用 アプリ 製造部 他部署の機密文書が 参照できてしまう あれ ちゃんと制御できてる 設定ミスしたかな シングルサインオンを実現すると SSOシステムに任せれば アクセス制御の一元管理が可能 既存システムへのアプリ単位のアクセス制御を一カ所で管理できる 新規システムを開発しても アクセス制御の実装が楽になる 認証のセキュリティレベル統一が可能 つまり セキュリティが向上し 開発/運用コスト削減に役立つ Copyright 2014OGIS-RI OGIS-RI All rights reserved. Copyright 2013 Co.,Co., Ltd.Ltd. All rights reserved. 7
なぜ シングルサインオンが必要なのか 其の参 セキュリティや運用の観点では システムが増える = セキュリティリスクUP + 運用負荷UP セキュリティリスク 運用負荷 ID 12345 PW abcde ------------------------------------------- パスワード多すぎて 覚えられないから 付箋にメモしておこう 全アプリケーションの ログ管理なんてできない シングルサインオンを実現すると ID/パスワードは一個だから 管理しやすい パスワード漏えいを回避するために 十分な対策をとれる 認証ログを一カ所で管理でき 監査対象を一つにできる 運用がシンプルになる つまり セキュリティが向上し 運用負荷が下がる Copyright 2014OGIS-RI OGIS-RI All rights reserved. Copyright 2013 Co.,Co., Ltd.Ltd. All rights reserved. 8
シングルサインオンで 目 指 すべき 形 社 内 アプリ と クラウドサービス の 両 方 を 利 用 する 構 成 で ユーザの 利 便 性 向 上 セキュリティ 向 上 を 実 現 するシングルサインオンが 将 来 目 指 すべき 形 アプリの 認 証 に パスワードを 使 わない RP SSO セキュリティ 強 化 は SSOシステムだけやればOK 認 証 は 一 回 だけ Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 9
シングルサインオン 実 現 方 式 シングルサインオン 実 現 のための 3ステップ Step1 ID/パスワード ワンタイム パスワード Step3 HTTPヘッダ 連 携? Cookie 連 携? 代 理 認 証? デスクトップ SSO 連 携 方 式 を 決 める SSO? 認 証 方 法 を 決 める Step2 エージェント 型? リバースプロキシ 型? SAML 型? アプリのログイン 方 式 を 決 める SSO? Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 10
シングルサインオン実現方式 認証方法を決める ユーザーが行う認証の方法を決定する ID/パスワード ワンタイム パスワード 証明書認証 統合Windows 認証 社外からは 多要素認証 セキュリティリスクの高さ を考慮し 利便性 セキュリティ コスト のバランスを考えて決定する 社内からしかアクセス できないのに 複雑な認証方法 社外から重要情報にアクセス するのに 簡単な認証方法 セキュアにしたはいいけど 導入コストが高すぎる Copyright 2014OGIS-RI OGIS-RI All rights reserved. Copyright 2013 Co.,Co., Ltd.Ltd. All rights reserved. 11
シングルサインオン実現方式 認証方法を決める たとえば 社内ユーザにとっての利便性を低下させたくない 社外からアクセスには セキュリティを高めたい 社外からのアクセスのみ多要素認証させる 多要素認証に証明書認証を使う 証明書認証 ブラウザにインストールしたクライ アント証明書をもとに 端末を認証 する Copyright 2014OGIS-RI OGIS-RI All rights reserved. Copyright 2013 Co.,Co., Ltd.Ltd. All rights reserved. 認証サーバ 12
シングルサインオン実現方式 認証方法を決める たとえば 社内からのアクセスしかない 社外公開していない とにかく便利にしたい 統合Windows認証にする 統合Windows認証 Windowsドメインにログオンして いれば システムへのログインを自 動で行う認証方法 ActiveDirectory ① Windowsドメインログオン ユーザがID/パスワードを入力する のは ドメインログオン時のみ 認証サーバ ② ドメインログオン情報を 使って認証 自動処理 Copyright 2014OGIS-RI OGIS-RI All rights reserved. Copyright 2013 Co.,Co., Ltd.Ltd. All rights reserved. 13
シングルサインオン 実 現 方 式 ~ 連 携 方 式 を 決 める~ SSO 対 象 アプリケーションと 認 証 サーバをどのように 連 携 するかを 決 定 する 社 内 アプリ エージェント 型 リバースプロキシ 型 クラウドサービス フェデレーション 型 SSO SSO アプリアクセスの 手 前 で 認 証 認 証 情 報 を 安 全 な 方 法 で 渡 す Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 14
シングルサインオン 実 現 方 式 ~ 連 携 方 式 を 決 める~ エージェント 型 Webサーバー アプリケーションサーバーに 直 接 エージェントを 導 入 する 方 法 エージェントごとにSSOサーバーとの 通 信 が 発 生 する 1 利 用 者 ログイン SSO 2 SSO 対 象 アプリに アクセス 3 SSO 対 象 アプ リに 認 証 済 み 情 報 を 連 携 SSO 対 象 アプリ A SSO 対 象 アプリ B 4 認 証 済 みであれば アプリを 利 用 可 能 Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 15
シングルサインオン 実 現 方 式 ~ 連 携 方 式 を 決 める~ リバースプロキシ 型 リバースプロキシサーバーにエージェントを 導 入 し アプリケーションへのアク セスをリバースプロキシサーバー 経 由 にする 方 法 SSOサーバーとのやりとりをリバースプロキシサーバーに 任 せる リバースプロキシ アプリ A 用 の 1 利 用 者 ログイン 2 リバースプロキシ サーバーにアクセス 仮 想 ホスト OR 仮 想 パス アプリ B 用 の 4 認 証 済 みであればSSO 対 象 アプリに 接 続 SSO 対 象 アプリ A SSO 3 SSO 対 象 アプ リに 認 証 済 み 情 報 を 連 携 仮 想 ホスト OR 仮 想 パス SSO 対 象 アプリ B Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 16
シングルサインオン 実 現 方 式 ~ 連 携 方 式 を 決 める~ フェデレーション 型 安 全 な 方 法 でクラウドサービスとのSSOを 実 現 するために SAMLやOpenID Connectなどのフェデレーション( 認 証 連 携 ) 用 のプロトコルを 利 用 する 方 式 利 用 者 1 サービス 利 用 開 始 4 クラウドサービス HTTP Redirect & SSO 成 功 POST POSTデータはユーザー 属 性 にあたる (この 場 合 は メール 情 報 ) 2 HTTP Redirect & POST 3 ユーザー 認 証 POSTデータは ユーザー 属 性 の やり 取 り 開 始 の 手 続 きにあたる SSO 利 用 者 情 報 name mail address 利 用 者 情 報 なまえ メール 電 話 themistruct riyousha@ogis-ri.jp Tokyo Japan 利 用 者 riyousha@ogis-ri.jp 0x0-1234-5678 SAMLプロトコルを 利 用 した 認 証 連 携 の 流 れ あらかじめ 属 性 情 報 が 一 部 連 携 されている Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 17
シングルサインオン 実 現 方 式 ~アプリのログイン 方 式 を 決 める~ SSO 対 象 アプリケーション 側 でユーザーを 認 証 する 方 法 を 決 定 します アプリケーション 側 の 認 証 方 法 を 改 修 可 能 か YES NO 属 性 情 報 連 携 方 式 代 理 認 証 方 式 SSOサーバーから 受 け 取 った 情 報 をも とに 認 証 する HTTPヘッダ 連 携 Cookie 連 携 アプリの 認 証 方 法 を 再 現 し ユーザー の 代 わりにアプリ 認 証 を 行 う Basic 認 証 From 認 証 Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 18
シングルサインオン 実 現 方 式 ~アプリのログイン 方 式 を 決 める~ 代 理 認 証 方 式 ユーザーが 初 めにログインする 際 にアクセスするURL( 代 理 認 証 用 URL)にて ID/パスワードを 代 わりに 送 信 し Cookie 等 の 認 証 済 み 情 報 を 取 得 する 1 代 理 認 証 用 URLにアクセス リバースプロキシ 代 理 認 証 用 URL 3 ユーザーの 代 わりに ID/パスワードを 送 信 アプリ 用 の SSO 2 属 性 情 報 を エージェントに 連 携 仮 想 ホスト OR 仮 想 パス 4 アプリから 取 得 した Cookieをブラウザに セットし ログイン 後 URLにリダイレクト Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 19
シングルサインオンの 基 礎 ~まとめ~ シングルサインオンを 導 入 すると ユーザの 利 便 性 が 向 上 する セキュリティが 向 上 する シングルサインオンを 実 現 するためには 認 証 方 法 を 決 める 連 携 方 式 を 決 める アプリのログイン 方 式 を 決 める 連 携 方 式 には 社 内 アプリでは エージェント 型 リバースプロキシ 型 がある クラウドサービスは フェデレーション 型 でSSO 可 能 代 理 認 証 方 式 で アプリケーション 改 修 せずにシングルサインオンできる Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 20
事 例 紹 介 Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 21
プロジェクトの 概 要 概 要 : サービス 業 様 認 証 基 盤 構 築 プロジェクト バラバラの 認 証 方 式 のアプリケーションに 対 して 代 理 認 証 方 式 によりシングルサインオンを 実 現 ユーザー 数 : 約 10,000 ユーザー( 社 外 / 社 内 ) 接 続 アプリ 数 : 約 30 システム ポイント : 社 内 ユーザーは 統 合 Windows 認 証 を 利 用 可 能 とする 外 部 サーバー( 勤 務 日 確 認 システム)から 取 得 した ア クセスしてきたユーザが 勤 務 日 かどうかの 情 報 をもとに アクセス 判 定 を 行 う 仕 組 みを 実 装 する Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 22
プロジェクトでの 課 題 アプリ 担 当 者 が 不 明 だったりして 仕 様 がわからない つまり アプリの 改 修 はできない! でもシングルサインオンは 実 現 したい! リバースプロキシ 型 / 代 理 認 証 方 式 を 採 用 実 は リバースプロキシ 型 / 代 理 認 証 方 式 は やってみるまでできるかわからない リバースプロキシ 型 コンテンツ 変 換 がうまくいかない( 画 面 が 正 常 に 表 示 されない) 場 合 がある 代 理 認 証 方 式 アプリが 複 雑 な 認 証 方 法 をしている 等 代 理 認 証 の 実 装 に 時 間 がかかるパターンが 存 在 する Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 23
構 築 のポイント 各 アプリケーションで 認 証 の 仕 様 が 統 一 されていない 代 理 認 証 を 実 現 するために 実 施 すること アプリケーション 認 証 仕 様 の 調 査 を アプリの 数 分 実 施 接 続 検 証 代 理 認 証 を 設 定 SSOログイン 用 のID/パスワードとは 異 なるID/パスワード を 使 って 代 理 認 証 を 実 現 認 証 用 DBに 代 理 認 証 用 のID/パスワードを 暗 号 化 してセット 代 理 認 証 時 はパスワードを 復 号 化 してアプリに 送 信 Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 24
構 築 のポイント 特 殊 な 認 可 方 法 の 実 装 アクセスユーザが 勤 務 日 かどうかによってアクセス 制 御 する 外 部 サーバにユーザ 情 報 を 問 い 合 わせてアクセス 制 御 を 行 うモ ジュールを 新 規 に 開 発 して 対 応 統 合 Windows 認 証 モジュールのバグ 修 正 クライアント 側 のOS/ブラウザの 組 み 合 わせによっては 正 常 に 動 作 しないバグが 存 在 OGISでバグ 修 正 を 実 施 OSSであるOpenAMだからこそ 実 現 できた Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 25
最 終 的 なシステム 構 成 ThemiStruct-WAM 外 部 RPサーバ 認 証 基 盤 連 携 先 システム 社 外 ユーザ ID/パスワード 認 証 インターネット SSOサーバ 代 理 認 証 外 部 公 開 アプリケーション DMZ 内 部 ネットワーク Windows 統 合 認 証 Active Directory ユーザーがアクセス 可 能 かどうかを 問 い 合 わせる 内 部 RPサーバ 勤 務 日 確 認 システム 社 内 ユーザ 代 理 認 証 内 部 専 用 アプリケーション Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 26
ThemiStruct のご 紹 介 Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 27
ThemiStruct のご 紹 介 ThemiStructはシステムの 連 携 を 実 現 します ThemiStructは 企 業 の 様 々なシステムの 連 携 を 実 現 する6つのIT 基 盤 ソ リューションから 成 っています 企 業 を 取 り 巻 く 様 々なIT 環 境 の 変 化 と 要 求 にお 応 えできるよう 日 々 進 化 し 続 けています シングル サインオン 社 内 とクラウドをシームレスに つなぐシングルサインオン ワーク フロー ID 配 布 管 理 電 子 証 明 書 の 発 行 と 管 理 を シンプルに 実 現 電 子 証 明 書 配 布 管 理 サーバー 監 視 ワンタイム パスワード Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 28
ThemiStruct-WAMの 特 徴 OSSであるOpenAMがベースのソリューション シングルサインオンを 実 現 する 機 能 が 完 備 されている 機 能 拡 張 のためのフレームワークが 提 供 されていて 拡 張 性 が 高 い フレームワークで 実 装 できなく 個 別 実 装 でも 取 り 込 みやすい ThemiStruct-WAMだからこそ OpenAMと 組 み 合 わせて 使 えるモジュールが 豊 富 導 入 実 績 が 豊 富 で 具 体 的 な 構 築 イメージが 提 示 できる OpenAMはもちろん ThemiStruct-WAM 独 自 の 部 分 全 てにおいて サポートサービスが 充 実 している Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 29
おわりに シングルサインオンの 目 指 す 形 は アプリで 認 証 認 可 をしない アプリにはクレデンシャルを 持 たせない どうしても 改 修 できないアプリは 存 在 する より 最 適 な 方 法 で 代 理 認 証 方 式 によるシングルサインオンを 実 現 Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 30
おわりに ご 清 聴 ありがとうございました Copyright 2013 2014 OGIS-RI Co., Co., Ltd. Ltd. All rights All rights reserved. reserved. 31