HP Security Week Google Appsと 企 業 システムの 連 携 および 導 入 のポイント 2009/10/21
会 社 案 内 社 名 :サイオステクノロジー 株 式 会 社 (2006 年 11 月 6 日 より 社 名 を 変 更 : 旧 株 式 会 社 テンアートニ) 設 立 :1997 年 5 月 23 日 本 社 所 在 地 : 東 京 都 港 区 虎 ノ 門 4-1-28 虎 ノ 門 タワーズ 株 式 : 東 証 マザーズ 上 場 (2004 年 8 月 5 日 ) 代 表 者 : 代 表 取 締 役 社 長 喜 多 伸 夫 資 本 金 :1,481 百 万 円 (2008 年 6 月 30 日 ) 従 業 員 数 : 連 結 199 名 主 要 株 主 : 株 式 会 社 大 塚 商 会 日 商 エレクトロニクス 株 式 会 社 他 子 会 社 : 米 国 SteelEye Technology, Inc. 株 式 会 社 グルージェント URL :http://www.sios.com/
Software for Innovative Open Solutions 私 たちは 夢 溢 れるソフトウェアテクノロジーで 価 値 を 創 造 し 社 会 の 発 展 に 貢 献 します 私 たちは オープンソースソフトウェアの 開 発 と 利 用 を 軸 に OSからWebアプリケーションソフトウェアにかかわる 事 業 を 推 進 し 常 に 次 世 代 を 担 う 企 業 として 社 会 から 信 頼 される 存 在 になります お 客 様 の 喜 びを 何 よりも 尊 ぶプロの 集 団 に サイオステクノロジーは 信 頼 されるプロの 集 団 を 目 指 します 革 新 的 なソフトウェアテクノロジーによって 情 報 システムとインターネットをより 身 近 なものとし お 客 様 に 今 までにない 快 適 を 提 供 します 私 たちは 夢 溢 れるソフトウェアテクノロジーを 開 発 し 駆 使 することによって 社 会 の 発 展 に 貢 献 します
SIOSの 事 業 領 域 SIOS Applications ProjectKeeper Professional ProjectKeeper Lite Sales Force Automation+ extream Meeting 事 業 継 続 ソリューション SteelEye Lifekeeper SteelEye Datakeeper オープンソースソフトウェア OSSよろず 相 談 室 Red Hat Enterprise Linux JBoss Enterprise Middleware Webコンサルティング for JBoss Enteprise Middleware SUSE Linux Enterprise Plus Oracle Unbreakable Linux Plus クラウドインテグレーション SIOS Integration for Google Apps Google App Engine Solution
導 入 事 例 日 本 大 学 (2007/04~) 京 都 府 立 医 科 大 学 (2008/04~) 東 京 家 政 大 学 (2007/04~) 立 教 大 学 (2008/04~) 岡 山 大 学 (2008/12~) 大 阪 電 気 通 信 大 学 (2009/4~) 導 入 実 績 大 学 :15 校 16 事 例
Google Appsの 自 社 導 入 にあたっての 方 針 Google Apps 全 般 アカウント 管 理 はActive Directoryを 使 用 する 個 人 PCからのGoogle Appsへのアクセスは 禁 止 会 社 支 給 のPCからのみアクセスを 許 可 する Gmail Gmail 移 行 後 もメールクライアントの 利 用 は 継 続 pop/imapアクセス 制 御 が 必 要 メーリングリストシステムはGoogle Appsには 移 行 せず これまでどお りMailmanを 使 用 する(GmailのメールドメインとMLのメールドメインは 同 じ) メールの 送 受 信 ログは 取 得 する 階 層 構 造 をもった 共 有 アドレス 帳 が 必 要 ADと 連 携 する 必 要 あり Googleカレンダー グループカレンダー 機 能 が 必 要
Google AppsのSAML 認 証 のハンドシェーク Google ユーザー SAML 認 証 サーバ 2 GoogleはSAML 認 証 要 求 を 生 成 します ユーザーはGoogle Appsの アクセスします 1 スタート Webブラウザー 7 ACS URL GoogleのACS は SAML 応 答 について 確 認 を 行 います 3 GoogleはWebブラウザーに SSO 用 のURLを 渡 します ブラウザーはSAML 応 答 を ACS URLに 送 ります ACSは 目 的 地 URLにユーザを 向 け 直 します 8 ACS: Access Control System ユーザーは 目 的 地 URLに 向 け 直 されて Google Appsに ログインされます WebブラウザーはSSO 用 の URLにアクセスします 4 ユーザー 認 証 を 行 います SAML 応 答 をブラウザー に 返 します 5 6 認 証 されたユー ザーのユーザー 名 を 含 むSAML 応 答 を 発 生 させます 既 存 認 証 システム LDAP or ActiveDirectory
SAML 認 証 を 導 入 するメリット 法 人 内 の 認 証 システムを 使 ってGoogle Appsにログインすることが できる Googleに 法 人 内 で 使 用 しているパスワードを 渡 さなくてもよい アクセス 制 御 が 可 能 パスワード 以 外 の 高 度 な 認 証 が 利 用 可 能 社 内 と 社 外 とで 異 なる 認 証 を 使 用 できる 社 内 はパスワード 認 証 社 外 はPKI 認 証 など
SAML 認 証 サーバ (GHeimdall2) 様 々な 認 証 モジュールを 組 み 込 むことが 可 能 GHeimdall2 PKI 認 証 モジュール AD 認 証 モジュール 複 数 のモジュールを 組 み 合 わせることも 可 能 HP IceWall 認 証 モジュール SyncLock 認 証 モジュール 富 士 通 キャンパスメイト 認 証 モジュール ガルーンオープン 統 合 認 証 モジュール LDAP 認 証 モジュール ワンタイムパスワード 認 証 モジュール
Webアクセスのアクセスポリシー 社 内 ネットワークからのアクセス パスワード 認 証 (Active Directory) 社 外 からのアクセス PKI 認 証 +パスワード 認 証 会 社 から 支 給 されているノートPCにはSSLクライアント 証 明 書 をインス トール PKI 認 証 +パスワード 認 証 GHeimdall2 インターネット パスワード 認 証 社 内 ネットワーク
POP/IMAPのアクセス 制 御 Webメールだけ 利 用 させるのでは 業 務 効 率 が 落 ちる 可 能 性 がある POP/IMAPアクセスを 許 可 してしまうと 家 のパソコンからでもアクセスで きてしまう 社 内 ネットワークからは POP/IMAPアクセスを 許 可 する 社 外 からは SSLクライアント 証 明 書 のインストールされたPCから のみPOP/IMAP 接 続 を 許 可 する POP/IMAP Proxy インターネット 社 内 ネットワーク
メーリングリストの 運 用 Google Apps 導 入 以 前 から メーリングリスト(Mailman)を 運 用 サポートメーリングリスト 等 で200 程 度 運 用 しており Google Apps 導 入 後 も 継 続 運 用 する 必 要 あり Google Appsのメーリングリスト 機 能 では 不 十 分 個 人 のメールアドレスのメールドメインとメーリングリストのメールドメ インは 同 じである メール 中 継 サーバ メーリングリスト システム
組 織 階 層 を 持 つ 共 有 アドレス 帳 Active Directoryのグループと 連 携 可 能 な 共 有 アドレス 帳
グループカレンダー on Google App Engine
まとめ(SIOS Integration for Google Apps) アカウント 連 携 Active Directory Google Apps アカウント 連 携 LDAP Google Apps アカウント 連 携 ガルーン2 Google Apps アカウント 連 携 LDAP ManagerによるID 統 合 管 理 認 証 Active Directory (Winbind) 認 証 LDAP 認 証 Windows 統 合 認 証 PKI 認 証 SyncLock 認 証 ガルーン2オープン 統 合 認 証 ワンタイムパスワード 認 証 HP IceWallによる 統 合 認 証 アクセス 制 御 IPソースによるアクセス 制 御 ユーザ 毎 のアクセス 制 御 PKI(デバイス 証 明 書 )によるアクセス 制 御
某 国 立 大 学 様 導 入 事 例 エンドユーザー 数 7,000 名 ( 留 学 生 :1060 名 ) メタディレクトリ OpenLDAP 連 携 対 象 システム Active Directory Open LDAP 図 書 館 情 報 システム Googole Apps SIOS Access Manager 手 順 1 学 籍 情 報 DBよりLDAPメンテ 用 CSVファイルが 出 力 される 手 順 2 LDAPManagerを 使 用 し CSVデータを メタLDAPサーバに 反 映 する 学 籍 情 報 DB 抽 出 差 分 学 籍 CSV CSV LDAP LDAP サーバ 手 順 3 LDAP LDAP サーバ サーバ 手 順 4 LDAPManagerを 使 用 し 学 部 毎 のUNIXサーバにHomeディレクトリ 作 成 LDAP LDAP LDAPManagerを 使 用 し Active Directoryにアカウントを 同 期 する 手 順 6 手 順 5 管 理 者 は 利 用 者 の 情 報 をメンテナンスする 管 理 者 ユーサ メンテ 利 用 者 は 自 分 の ハ スワート をメンテナンスする LDAP GApps Eラーニング 図 書 館 システム SAML シングルサインオン SIOS Access Manager Windows ADサーバ LDAP AD 利 用 者 ハ スワート メンテ エンドユーザー
SyncLock 認 証 3 携 帯 電 話 にシンクロ 番 号 を 入 力 送 信 認 証 情 報 のやりとり 1258 ACCESS ソフトバンクBB SyncLock (ユーザ 認 証 ) SIOS Technology GHeimdall (SAML IDプロバイダ) Web 認 証 基 盤 1258 2シンクロ 番 号 表 示 4 認 証 OK 後 各 アプリケーションへアクセス 1URLを 入 力 インターネット SAML(Security Assertion Markup Language)とは 標 準 化 団 体 OASISによって 策 定 された IDやパスワードなどの 認 証 情 報 を 安 全 に 交 換 するためのXML 仕 様
HP IceWallによる 統 合 認 証 企 業 内 学 内 といった 内 部 環 境 日 本 HP HP IceWall SSO サイオス Google Apps 用 シングルサインオンシステム アカウント 連 携 システム クライアント SSO, アクセスコントロール, アクセスログ 集 約 ID 統 合 SAMLでの 認 証 連 携 エクスジェン LDAP Manager ID 統 合 管 理 Internet アプリケーションA アプリケーションC IDマスタDB アプリケーションB
IPソースによるアクセス 制 御 ユーザー 毎 のアクセス 制 御 社 外 からのアクセスを 許 可 されたユーザ GHeimdall2 社 外 からのアクセスを 許 可 されていないユーザ B 支 店 本 社 A 支 店
最 後 に サイオステクノロジー 株 式 会 社 は Google Apps Enterprise Partner として これからもGoogle Appsをより 便 利 により 安 全 に 使 用 できる システム 構 築 を 手 がけていきます ご 清 聴 ありがとうございました お 問 い 合 わせ 先 サイオステクノロジー 株 式 会 社 システムソリューション 営 業 部 URL:https://www.sios.com/contact/form-integration_g_ssl.html Tel: 03-6860-5121 Email: g-apps@sios.com