WisePoint Shibboleth 導 入 のメリット SAML2.0に 対 応 したサービスと 認 証 連 携 可 能 本 人 認 証 と 端 末 認 証 の 二 要 素 認 証 装 備 固 定 ID PW 認 証 とワンタイムパスワード 認 証 による 強 固 な 認 証 機 能 の 利

1.WisePoint Shibbolethについて Shibboleth 認 証 にワンタイムパスワード 機 能 を 提 供 セキュリティ 強 度 の 高 いワンタイムパスワード 認 証 機 能 学 術 認 証 フェデレーションへのシングルサインオン GoogleApps 等 SAML2.0 対 応 クラウドサービスへのシングルサインオン 学 内 Webシステムへのシングルサインオン(リバースプロキシ 対 応 ) ID 統 合 認 証 基 盤 との 連 携 IdP SP 機 能 (シングルサインオンと 認 証 強 化 ) IdP 機 能 ( 学 内 システムがShibboleth 対 応 済 み 認 証 機 能 のみ 提 供 ) SP 機 能 ( 固 定 ID PWでシングルサインオンを 行 う 場 合 ) 1

WisePoint Shibboleth 導 入 のメリット SAML2.0に 対 応 したサービスと 認 証 連 携 可 能 本 人 認 証 と 端 末 認 証 の 二 要 素 認 証 装 備 固 定 ID PW 認 証 とワンタイムパスワード 認 証 による 強 固 な 認 証 機 能 の 利 用 (イメージングマトリクス 認 証 マトリクスコード 認 証 Jパスワード 認 証 など 多 彩 な 認 証 方 式 ) SAML2.0に 対 応 していない 環 境 にも 考 慮 (Basic 認 証 やForm 認 証 に 対 して 代 行 認 証 エージェ ントや 権 限 によるアクセスコントロールが 可 能 ) 様 々なサービスの 認 証 を 一 元 管 理 (どこにいても どのサービスを 利 用 しても 同 じID パスワード で 認 証 できる GoogleAppsや 学 認 にも 対 応 可 能 ) uapproveの 対 応 ( 個 人 情 報 の 保 護 にも 対 応 ) Shibboleth( 認 証 基 盤 OSS)に 連 携 して 開 発 Shibboleth(シボレス) 認 証 とは 国 立 情 報 学 研 究 所 (NII)が 導 入 を 推 進 する 全 国 の 大 学 や 研 究 機 関 の 共 通 認 証 基 盤 NIIと 全 国 の 大 学 などが 連 携 して 学 術 認 証 フェデレーション( 学 認 ) を 構 成 し 大 学 などの 各 機 関 は 学 認 に 加 盟 することで 相 互 に 認 証 連 携 が 可 能 になる さらに 情 報 セキュリティ 基 準 の 遵 守 による 個 人 情 報 保 護 の 負 担 軽 減 や 集 中 管 理 による 運 用 管 理 業 務 やユーザーサポート 業 務 の 軽 減 も 実 現 ユーザは 加 盟 機 関 が 提 供 する 各 種 サービスを 相 互 にシングルサインオンで 利 用 可 能 になる 2

WisePoint Shibbolethと 外 部 フェデレーション 連 携 WisePoint Shibboleth(SP) 教 職 員 非 常 勤 講 師 学 生 システム 管 理 者 ゲストユーザー シングルサインオン シングルログアウト アクセスコントロール リバースプロキシ WisePoint Shibboleth(IdP) ID PW 認 証 イメージマトリックス 認 証 マトリックスコード 認 証 Jパスワード 認 証 SAML 学 内 システム 図 書 館 システム 電 子 ジャーナル クラウドサービス 学 術 認 証 フェデレーション グループウェア 教 務 システム 成 績 登 録 システム Web 履 修 システム 図 書 館 システム 等 Shibboleth SPにワンタイムパスワード 機 能 を 提 供 外 部 フェデレーションと 学 内 Webシステムへのシングルサインオンが 可 能 ワンタイムパスワードによる 多 要 素 認 証 機 能 も 提 供 CLOUDサービスと 学 内 システムへのシングルサインオン 学 内 の 認 証 VLANとShibboleth SP Webアプリケーションとのシングルサインオン 連 携 を 実 現 3

WisePoint Shibboleth ご 利 用 イメージ 学 内 の 認 証 基 盤 で 外 部 SP 学 内 Webシステムへシングルサ インオン 学 内 のWisePoint 認 証 サーバ (リバースプロキシ)で 認 証 シングルサインオン WisePoint Shibboleth IdP による 多 要 素 認 証 学 内 各 種 サブシステムへのア クセス 制 御 冗 長 化 対 応 仮 想 化 対 応 4

ユーザポータル 機 能 ユーザ 毎 のパーソナライズ 画 面 各 ユーザがアクセス 可 能 な サービス 一 覧 を 表 示 学 内 連 絡 情 報 も 表 示 可 能 様 々なWebアプリケーションとシン グルサインオン 連 携 が 可 能 グループウェア 等 5

Web シングルサインオン 複 数 のシステムへ 毎 回 認 証 情 報 を 入 力 する 手 間 を 省 略 様 々なWebアプリケーションとの 連 携 実 績 基 本 認 証 フォーム 認 証 に 対 応 ユーザ 独 自 開 発 Webアプリケーションにも 柔 軟 に 対 応 教 職 員 A ユーザはWisePointで 1 度 認 証 をするだけ suzuki ******** WisePoint SPサーバ バックエンドのアプリの 認 証 情 報 をキャッシュ ユーザの 代 理 認 証 を 実 施 グループウェア 学 内 情 報 システム 教 務 情 報 システム 教 職 員 認 証 情 報 A: ID syaina PW **** 個 別 入 力 の 必 要 なし 学 生 認 証 情 報 A: ID ****A PW **** 教 員 認 証 情 報 A: ID A**** PW **** 6

アクセスコントロール ユーザをロールに 割 り 当 て 各 ロール 毎 にアクセス 可 能 なWebサービスをコントロール 各 サービスの 重 要 度 に 応 じて 認 証 方 式 の 設 定 も 可 能 (2 段 階 認 証 が 可 能 ) ユーザA WisePointサーバ 教 員 グループウェア ユーザB 学 生 教 務 システム ユーザC それぞれポータル 経 由 でアク セス(ユーザ 毎 に 利 用 可 能 な サービスが 表 示 ) ゲストユーザー 学 内 システム 7

システム 構 成 パターン: WisePoint Shibboleth-IdP/-SP 利 用 スマートデバイス クライアントPC DMZ WisePoint Shibboleth-SPサーバ WisePoint Shibboleth-IdPサーバ LAN Web アプリケーション データベース サーバ WisePoint 管 理 サーバ LDAP 8 データベースサーバとWisePoint 管 理 サーバは1 台 のマシンに 搭 載 可

2. 多 要 素 認 証 について イメージングマトリクス 認 証 マトリクスコード 認 証 Jパスワード 認 証 憶 えやすく 忘 れにくい 図 形 絵 柄 で 認 証 ログイン 毎 にイメージの 位 置 情 報 が 変 化 すること で ワンタイムパスワード 認 証 を 実 現 ユーザ 毎 にユニークな 乱 数 表 を 用 いた 認 証 ログイン 毎 にチャレンジコードが 変 化 することで ワンタイムパスワード 認 証 を 実 現 日 本 語 ( 全 角 文 字 : 漢 字 やひらがな 等 利 用 できます ユーザだけにしかわからない 覚 えやすく 忘 れにくい 既 知 情 報 をパスワードとして 登 録 利 用 できます パスワードに 利 用 可 能 な 文 字 数 が 半 角 文 字 に 比 べ 増 加 するため 総 当 り 攻 撃 に 強 い 耐 性 を 発 揮 します Q: 初 恋 の 人 の 名 前 は? ********* スマートデバイスID 認 証 ( 個 体 識 別 認 証 端 末 認 証 ) スマートデバイス 端 末 ごとに 固 有 に 持 たせたID で 端 末 を 特 定 ios 一 部 Android 対 応 入 力 の 手 間 を 省 略 化 携 帯 電 話 ID 認 証 携 帯 電 話 固 有 の 製 造 番 号 をキー にした 端 末 認 証 マルチキャリア 対 応 (docomo au SoftBank) 入 力 の 手 間 を 省 略 化 ( )WisePointShibbolet h は 対 応 しておりません VASCO DIGIPASS 認 証 40 秒 でパスワードが 変 わる( ) ハードウェアトークンを 使 ったワンタ イムパスワード 認 証 インターネットバンキングレベルの 高 いセキュリティ 強 度 ( )8 秒 単 位 で 設 定 を 変 えることが 可 能 オプションライセンスです オプションライセンスです オプションライセンスです

イメージングマトリクス 認 証 事 前 に 覚 えた 図 形 をキーにワンタイムパスワード 認 証 を 実 現 ログイン 毎 に 絵 柄 の 位 置 がランダム に 移 動 + 不 規 則 な 縦 横 二 桁 の 数 字 をログイン 毎 にランダム 表 示 (イメージ 図 ) ワンタイムパスワードにて 認 証 特 許 取 得 済 10

特 徴 1 多 彩 な 認 証 方 式 (2) Ready! マトリクスコード 認 証 個 人 毎 にユニークな 乱 数 表 を 用 いて 認 証 WisePoint サーバ チャンレジコードを 送 信 1315 Q. E1 D4 レスポンス(パスワード)を 送 信 認 証 完 了 ゲストユーザー 用 に 一 時 貸 し 出 しなどの 対 応 も 可 能

Jパスワード 認 証 2IDが 送 信 される WisePoint 認 証 サーバ DB suzukiさん 登 録 Jパスワード チャレンジコード レスポンスコード 初 恋 の 人 の 名 前 は? 川 崎 子 商 店 街 の 名 前 は? 希 望 が 丘 商 店 街 学 生 時 代 のゼミは? 司 馬 研 究 室 177 3 受 け 取 ったIDを 見 て その ユーザ 用 のチャレンジを 送 信 5レスポンスが 送 信 され 登 録 されているレ スポンスと 照 合 OKorNGが 判 断 される 1IDを 入 力 suzuki Q: 初 恋 の 人 の 名 前 は? ********* 4チャレンジに 対 する レスポンスを 入 力 12

九 州 大 学 様 WisePoint Shibboleth IdP SP 導 入 事 例 教 職 員 9,000 名 学 生 19,000 名 が 利 用 重 要 情 報 を 扱 うシステム( 学 務 情 報 や 財 務 情 報 など)のセキュリティ 強 化 学 外 から 学 内 システムへのアクセス 許 可 非 常 勤 講 師 への 対 策 ( 成 績 登 録 等 ) 図 書 館 システム 等 Shibboleth 連 携 統 合 認 証 IDMとの 連 携 九 州 大 学 作 成 のマトリックスコード 認 証 学 内 システム 外 部 フェデレーションへのシングルサインオン クラウドサービス 連 携 13

九 州 大 学 様 Shibboleth 認 証 とシングルサインオンシステム 事 例 セキュリティを 重 視 するサービスに 対 する マトリクッスパスワード 認 証 の 提 供 マトリックスパスワード 認 証 の 対 象 となるサービス(QMAX) Shibboleth 対 応 の 図 書 館 システム (マトリックスパスワード 認 証 対 象 外 ) マトリックス パスワードの 照 会 DBサーバ 認 可 の 情 報 等 の 照 会 WisePoint Shibboleth IdP マトリクスコード 認 証 サーバ 学 務 情 報 システム シングルサインオン 教 職 員 事 務 用 ポータル 教 職 員 用 WisePoint Shibboleth SP リバースプロキシサーバ CloudStack CLOUD (Shibboleth 対 応 ) 電 子 ジャーナル ユーザ パスワード 情 報 の 照 会 全 学 共 通 ID 管 理 システム LDAPサーバ パスワード 変 更 システム ユーザID 情 報 等 を 登 録 ICカード 発 行 Webシステムと 外 部 フェデレーション へのシングルサインオン マトリックス 認 証 学 生 用 WisePoint Shibboleth SP リバースプロキシサーバ ID PW 認 証 ( 裏 面 にマトリックス 表 ) 全 学 共 通 ID マトリックスコード 生 成 ロール 生 成 パスワード 変 更 の 場 合 IdPでマトリクスコード 認 証 し SP 経 由 で 学 内 学 外 サービスに シングルサインオン 学 生 は ID/PW 認 証 で 電 子 ジャーナルのSPと 学 内 ポータ ルにシングルサインオン

4. 補 足 :その 他 ご 利 用 シーン SSL-VPNシステムを 使 用 する 際 の 本 人 認 証 キャンパス 内 無 線 LANシステムへのアクセス 時 におけるユーザ 認 証 ( 本 学 の 学 生 のみWi-Fiから 学 内 システムへのアクセスを 許 可 ) 認 証 VLANアクセス 時 におけるユーザ 認 証 学 内 からの 不 正 アクセス 対 策 ( 多 要 素 認 証 でセキュリティ 確 保 ) スマートデバイスからの 利 用 15

WisePoint Authenticator 連 携 製 品 SSL-VPN 連 携 製 品 Juniper MAGシリーズ JunosPulseゲートウェ イ(Juniper Networks) FirePass(F5 Networks) Cisco ASA 5500シリーズ (Cisco Systems) Forefront Unified Access Gateway (UAG) (マイクロソフト) FortiGateシリーズ(フォーティネットジャパン) IPーVPN 連 携 製 品 Cisco ASA 5500シリーズ (Cisco Systems) Software Blade (CheckPoint SOFTWARE TECHNOLOGIES) 認 証 VLAN 連 携 製 品 Apresia( 日 立 電 線 ) OmniSwitch( 日 本 アルカテル ルーセント) AXシリーズ(ALAXALA Networks) Cisco Catalystシリーズ(Cisco Systems) 無 線 LAN 連 携 製 品 Mobility Controllers(Aruba Networks) Cisco Aironet(Cisco Systems) FireWall FireWall-1(CheckPoint SOFTWARE TECHNOLOGIES) 端 末 認 証 サーバ 連 携 製 品 (PC) ROUD( 丸 紅 OKIネットソリューションズ) Regstgate(エヌ エス アイ) 16