ハイブリッド クラウド 時 代 における Webアプリの 認 証 セキュリティ 対 策 ~シングルサインオンでセキュリティと 利 便 性 を 両 立 させる~ オープンソース ソリューション テクノロジ 株 式 会 社 代 表 取 締 役 チーフアーキテクト 小 田 切 耕 司 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 1 -
Part 1 講 師 紹 介 オープンソース ソリューション テクノロジ 会 社 紹 介 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 2 -
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 3 - 講 師 紹 介 役 職 : 代 表 取 締 役 チーフアーキテクト 氏 名 : 小 田 切 耕 司 (おだぎり こうじ) 所 属 団 体 等 OpenSSO&OpenAMコンソーシアム 副 会 長 OSSコンソーシアム 副 会 長 日 本 LDAPユーザ 会 設 立 発 起 人 日 本 Sambaユーザ 会 初 代 代 表 幹 事 執 筆 関 係 日 経 Linux 2011 年 9 月 号 ~2012 年 2 月 号 連 載 中 Linux 認 証 のすべて ( 第 1 回 ~ 第 6 回 ) http://itpro.nikkeibp.co.jp/linux/ ASCII.technologies 2011 年 2 月 号 キホンから 学 ぶLDAP http://tech.ascii.jp/elem/000/000/569/569412/ 技 術 評 論 社 Software Design 2010 年 9 月 号 第 1 特 集 クラウド 対 策 もこれでOK! 統 合 認 証 システム 構 築 術 OpenAM/SAML/OpenLDAP/Active Directory http://gihyo.jp/magazine/sd/archive/2010/201009 @IT やってはいけないSambaサーバ 構 築 :2008 年 版 2006 年 5 月 技 術 評 論 社 LDAP Super Expert 巻 頭 企 画 [ 新 規 / 移 行 ]LDAPディレクトリサービス 導 入 計 画
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 4 - オープンソース ソリューション テクノロジ 株 式 会 社 OSに に 依 存 しないOSS OSSのソリューションを を 中 心 に 提 供 Linuxだけでなく Windows/Solaris/AIXへも 対 応 Windows/UNIX から Linux への 移 行 も 支 援! OSSを を 利 用 した 認 証 基 盤 構 築 が 得 意 分 野 LDAP 認 証 Windowsドメイン 認 証 Webアプリケーショ ン 認 証 クラウド 認 証 Samba,OpenLDAP,OpenAM,IDMなどによる 認 証 統 合 /シ ングルサインオン ID 管 理 ソリューションを 提 供 OSSの 製 品 パッケージ 製 品 サポートを 提 供 OSSの 改 良 バグ 修 正 などコンサルティングにも 対 応
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 5 - 会 社 概 要 会 社 名 英 語 表 記 社 名 略 称 オープンソース ソリューション テクノロジ 株 式 会 社 Open Source Solution Technology Corporation OSSTech(オーエスエステック)または OSSテクノロジ 所 属 団 体 等 OpenSSO&OpenAMコンソーシアム 理 事 副 会 長 OSSコンソーシアム 理 事 副 会 長 OSCA(Open Standard Cloud Association) 理 事 LPI-Japanビジネスパートナー デルISVアリーナ パートナー NEC CLUSTERPRO WORKSパートナー レッドハット レディ ビジネス パートナー 業 務 内 容 役 員 オフィス Web 設 立 資 本 金 OSS(オープンソース)を 中 心 とするソフトウエアの 企 画 開 発 販 売 およびサポート システムの 導 入 に 関 するコンサルティング ソフトウエアに 関 する 教 育 研 修 代 表 取 締 役 技 術 取 締 役 小 田 切 耕 司 武 田 保 真 東 京 都 品 川 区 西 五 反 田 1-29-1 コイズミビル 8F Tel.03-6417-0753 Fax.03-6417-0754 http://www.osstech.co.jp/ 2006 年 9 月 1500 万 円 取 引 先 および ハ ートナー 様 株 式 会 社 野 村 総 合 研 究 所 デル 株 式 会 社 株 式 会 社 バッファロー 日 本 電 気 株 式 会 社 株 式 会 社 大 塚 商 会 キヤノンITソリューションズ 株 式 会 社 伊 藤 忠 テクノソリューションズ 株 式 会 社 新 日 鉄 ソリューションズ 株 式 会 社 株 式 会 社 PFU 株 式 会 社 日 立 ソリューションズ 三 菱 電 機 インフォメーションシステムズ 株 式 会 社 ソフトバンク テクノロジー 株 式 会 社 ニフティ 株 式 会 社 三 井 情 報 株 式 会 社 ダイワボウ 情 報 システム 株 式 会 社 NTTデータ 先 端 技 術 株 式 会 社
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 6 - 認 証 基 盤 システム 管 理 ID 管 ID 管 ID 管 Active Directory Google Apps Salesforce ファイル サーバー バ LDAP Web アプリ クラウド Windows ドメインログオ ログイ ログイ ユーザ
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 7 - OSSTechの 製 品 群 Unicorn IDM ID 連 ID 管 システム 管 理 Active Directory Google Apps Salesforce ファイル サーバー バ LDAP Web アプリ SSO クラウド Windows ドメインログオ 認 証 基 盤 をすべ OSS 製 品 で 提 供 ユーザ ログイ
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 8 - OSSTechの 製 品 群 (すべてOSSで 提 供 ) 原 則 Linux/Solaris/AIX 共 にRPMで 提 供 1 Samba for Linux/Solaris/AIX ADの 代 替 高 性 能 NASの 代 替 2 OpenLDAP for Linux/Solaris/AIX 認 証 統 合 ディレクトリサービス シングルサインオンのインフラ 3 OpenAM for Linux/Windows/Solaris Tomcat,OpenLDAP 対 応 で 高 機 能 なシングルサインオン 機 能 を 提 供 4 Unicorn ID Manager for Linux/Solaris Google Apps,ActiveDirectory,LDAP, Yahoo!メール Academic Editionに 対 応 した 統 合 ID 管 理
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 9 - OSSTechの 製 品 群 (すべてOSSで 提 供 ) 原 則 Linux/Solaris/AIX 共 にRPMで 提 供 5 Chimera Search for Linux アクセス 権 の 無 いファイルは 表 示 されない 全 文 検 索 システム 6 LDAP Account Manager for Linux/Solaris 管 理 機 能 の 弱 いOSSのLDAP/SambaにWebベースのGUIを 提 供 7 ThothLink for Linux リモートからのWindowsファイルサーバアクセス 機 能 を 提 供 8 Mailman for Linux/Solaris Google Appsのメーリングリスト 機 能 を 補 完 9 Netatalk for Linux/Solaris UTF-8に 対 応 したMac OS 対 応 のAFPファイルサーバー
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 10 - 現 在 開 発 中 Nginxのポリシーエージェント 開 発 中 開 発 が 終 了 した 従 来 のSun Web Proxy Serverの 代 替 用 途 として Apacheよりも 軽 量 で 高 速 高 セキュリティ Windows 版 の 製 品 化 も 検 討
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 11 - エンジニア 募 集 中 です! 特 にOpenAM(Java)のエンジニア 募 集 中 http://www.osstech.co.jp/company/recruit recruit@osstech.co.jp OpenAM(OpenSSO)を 使 ったシングルサインオンもしく はSamba OpenLDAPを 使 った 統 合 認 証 に 関 する 開 発 エンジニア コンサルタント アーキテクト シングルサインオン 統 合 認 証 Linux / UNIX / OSS 経 験 Java,Cの 知 識 があり 前 向 きに 自 分 でスキル 向 上 を 目 指 せる 方 紹 介 会 社 などを 通 さず 直 接 弊 社 へ 募 集 エントリされた 方 には 入 社 後 現 金 20 万 円 を 差 し 上 げます
Part 2 シングルサインオンとは Copyright 2011 Open Source Solution Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. Technology, Corp. - 12 -
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 13 - サービスを 利 用 するには 必 ず 必 要 な 認 証 Active Directory 企 業 組 織 内 クラウド Google Apps Salesforce ファイル サーバー バ LDAP メールサーバー Client/Server Webアプリ Windowsログオン/ LDAP 認 証 ログイン ログイン ログイン ユーザー システムの 数 だ 認 証 が 必 要
SSO:シングルサインオンとは 一 度 のログイン 操 作 さえ 完 了 すれば 複 数 のアプリケーションに 認 証 操 作 することなくアクセスすることが 可 能 になる Active Directory Google Apps ファイル サーバー バ LDAP Windowsログオン LDAP 認 証 メールサーバー/ クラサバ ログイン Webアプリ ログイン SSO Salesforce クラウド 今 日 は この 部 分 のお 話 ユーザ Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 14 -
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 15 - SSO(シングルサインオン)とは 1 回 のパスワード 入 力 で 複 数 のシステムやサービスを 同 時 利 用 ID 統 合 を 使 った 統 合 認 証 ではIDとパスワードの 管 理 を1カ 所 でで きるためユーザの 追 加 も 楽 社 員 が 退 社 した 場 合 に1カ 所 IDを 削 除 すれば すべてのシステムが 利 用 不 可 となる 近 年 クラウドサービス(SaaS, PaaS, IaaS, HaaSなど)の 普 及 により ( 社 外 にある)サービス 毎 にID/パスワードを 登 録 しなければならな いケースが 増 えており ID 連 携 による 統 合 認 証 を 使 わざるを 得 ないケースが 増 えている ところがこのID 連 携 が 費 用 の 問 題 や 技 術 的 な 問 題 で 完 全 に 実 現 されていない 場 合 例 えば 社 員 が 退 社 した 時 に 社 内 システムのID を 削 除 しても SaaS 側 のIDが 残 っているとクラウド 側 のシステムは 社 外 から 使 えてしまう といった 問 題 が 起 きてしまう
クラウドで 統 合 認 証 ができていないと... インターネッ ログイ ログイ クラウド サービス Google Apps SalesForceなど プライベートクラウド /ASP B2B,B2C SP SP 認 証 認 証 IdP IdP ユーザー 情 報 ユーザー 情 報 ユーザー 情 報 ユーザー 情 報 ログイ イントラネット 社 内 向 けシステム システム 毎 にログイン 操 作 が 必 要 クラウドにID/パスワードとパスワードを 置 く 必 要 がある (パスワードを 社 外 に 置 くと 不 正 ログインされる 危 険 性 が 高 い) ユーザー 情 報 ユーザー 情 報 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 16 - SP 認 証 IdP
クラウドで 統 合 認 証 とSSOを 実 現 する DMZ (1) インターネッ 認 証 はすべて 社 内 で 行 う IdP 認 証 チケッ (2) SAML 認 証 アクセ アクセ 認 証 チケット/ リバースプロク SP クラウド サービス Google Apps SalesForceなど プライベートクラウド /ASP B2B,B2C SP LDAP/AD ID/Pass ログイ パスワードは 社 内 で 管 理 (3) 認 証 チケット/ リバースプロク アクセス ユーザー イントラネット 社 内 向 けシステム SP Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 17 -
Part 3 今 こそシングルサインオン! なぜ 今 シングルサインオンが 必 要 なのか Copyright 2011 Open Source Solution Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. Technology, Corp. - 18 -
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 19 - SSO(ID 管 理 )の 需 要 推 移 さらなる 需 要 見 込 まれる 需 要 J-SOX 法 対 応 ( 内 部 統 制 ) クラウドの 普 2008 年 2009 年 2010 年 2011 年 時 期
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 20 - SSO(OpenAM) 導 入 動 向 クラウドの 普 及 により SSO(シングルサインオン)が 急 速 に 普 及 中 IaaSやPaaSも 増 えつつあるが やはりSaaSのGoogle Apps( 大 学 / 企 業 )とSalesforce( 企 業 )をまず 導 入 する ケースが 多 い 企 業 ではSalesforceのセキュリティ 強 化 を 目 的 にOpenAM 導 入 するケースが 多 い 大 学 ではGoogle AppsとイントラネットやShibbolethを 連 携 させるケースが 多 い 企 業 ではM&Aや 会 社 合 併 のために 増 えすぎたアプリやID を 統 合 するためにSSOを 導 入 今 後 は IaaSやPaaSがさらに 普 及 し これらの 上 で 構 築 された 社 内 向 け 個 別 アプリのSSOが 普 及 しそう
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 21 - Part 4 OpenAM( ( 旧 OpenSSO) の 紹 介
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 22 - OpenAMとは Webアプリケーションにおけるシングルサインオンを 実 現 するためのプラットフォームとなるオープンソー スソフトウェア SAML OpenID OpenID OAuth ID-WSFなどの 認 証 認 可 に 関 連 した 複 数 のプロトコルをサポート ユーザー 情 報 を 格 納 するためのユーザーリポジトリ (ユーザーデータストア)として 様 々な LDAP サーバ ー RDBに 対 応 充 実 した 管 理 GUI
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 23 - OpenAMの 歴 史 - その1 AOLによる 買 収 AOLからの 分 離 認 証 連 携 機 能 の 強 化 オープン ソース 開 発 主 体 Netscape iplanet Sun Microsystems 製 品 名 dsame Identity Server Access Manager OpenSSO
OpenAMの 歴 史 - その2 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 24 - Oracle による 買 収 OpenSSO は 非 戦 略 的 な 製 品 という 位 置 づけ Sun Oracle OpenSSO Oracle OpenSSO Oracleから 分 離 新 プロジェク の 開 始! ForgeRock 社 OpenAM OSSTech との 協 業
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 25 - OpenAMのこれから( 技 術 面 ) OpenAM は OpenSSO の 正 常 進 化 形 OpenSSO を 担 当 していたエンジニアが 中 心 になりForgerock 社 を 設 立 OpenSSOと 完 全 互 換 (ベースにするソースコードが 同 じ) クラウド 対 応 強 化 Google Apps, Salesforce とのシングルサインオン(SAML) 連 携 機 能 を 強 化 GUI による 操 作 でシングルサインオン 設 定 が 可 能 機 能 拡 充 ワンタイムパスワード 機 能 の 追 加 ユーザーリポジトリしてRDBをサポート 次 期 バージョン(OpenAM 10)では 更 なる 認 証 機 能 の 強 化 を 検 討 中 リスクベース 認 証 :ID/PW 認 証 に 加 え ユーザーのアクセス 元 IPアドレス ブラ ウザ(デバイス) 情 報 などから 不 正 アクセスのリスクを 判 定 し 必 要 に 応 じて 多 要 素 認 証 などをユーザーに 要 求 する
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 26 - OpenAMのこれから(ビジネス 面 ) ベンダ 独 自 のパッケージングも 可 能 生 体 認 証 などの 独 自 認 証 方 式 を 組 み 合 わせる ID 管 理 システムと 組 み 合 わせる OSSTech 版 OpenAM の 特 徴 OpenLDAP 用 拡 張 スキーマを 提 供 ID 管 理 製 品 (Unicorn IDM)との 組 合 わせ Google Apps/Salesforce/ 学 認 などと 連 携 するシングルサインオンソリ ューションを 提 供 需 要 日 本 では 多 くが 新 規 ユーザー 企 業 大 学 などの 認 証 基 盤 として OpenAM を 利 用 クラウドにおける 認 証 基 盤 認 証 強 化 ツールとして OpenAM を 利 用 既 存 ユーザー(Sun Access Manager OpenSSO)からの 移 行 ( 米 国 ヨーロッパ) 複 数 のシングルサインオン 環 境 を 統 合 する ハブ システムとして 利 用
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 27 - Part 5 シングルサインオン 方 式
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 28 - 何 が 違 う? 認 証 と 認 可 認 証 (Authentication) 本 人 性 を 確 認 する ID/パスワード 認 証 生 体 認 証 ワンタイムパスワード 認 証 など 認 可 (Authorization) あるリソースへアクセスするための 権 限 を 与 える( 認 証 後 のアクセス 制 御 )
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 29 - Part 6 OpenAMが 提 供 する シングルサインオン 方 式
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 30 - シングルサインオン 方 式 の 詳 細 (1) SAMLによるシングルサインオン Secure Assertion Markup Lauguage 認 証 認 可 ユーザ 属 性 情 報 などをXMLで 送 受 信 す るためのフレームワーク 標 準 化 団 体 OASISにより 策 定 GoogleApps Salesforceなどが 採 用 エージェント 方 式 SSO 対 象 のWebアプリが 動 作 するサーバー 上 にアクセ ス 制 御 用 のモジュールを 配 置 する 方 式 サーバーのバージョンに 影 響 を 受 ける
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 31 - シングルサインオン 方 式 の 詳 細 (2) リバースプロキシ 方 式 リバースプロキシを 使 用 してアクセス 制 御 を 行 う ユーザーデータの 受 け 渡 しはHTTPヘッダーを 利 用 SSO 対 象 Webアプリのバージョンや 設 定 変 更 の 影 響 が 少 ない リバースプロキシが 性 能 上 のボトルネックになる 可 能 性 がある 代 理 認 証 方 式 SSO 対 象 Webアプリの 既 存 ログイン 画 面 に 対 して OpenAMがユ ーザーの 代 理 でログインID/パスワードを 送 信 する SSO 対 象 Webアプリの 改 修 が 不 要 細 かなアクセス 制 御 はできない(ログイン 処 理 の 代 理 実 行 のみ)
SAMLによるシングルサインオン Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 32 -
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 33 - SAMLによるシングルサインオン (HTTP Redirect/POST Bindingの 場 合 ) User Agent (ブラウザ) (1)SPへアクセス SP (Webアプリ) HTTP Redirect IdP (OpenAM) (2)SAML 認 証 要 求 メッセージ(AuthnRequest) (3)ユーザ 認 証 (4)SAML 認 証 応 答 メッセージ(Response 認 証 情 報 (アサーション)を 含 む) アサーション 生 成 (5)コンテンツ HTTP POST
エージェント 型 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 34 -
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 35 - エージェント 方 式 によるシングルサインオン User Agent Policy Agent (ブラウザ) (Webアプリケーション) (1)Webアプリケーションへアクセス 認 証 サーバ (OpenAM) (2)OpenAMへリダイレクト (3)ユーザ 認 証 (4)Cookieを 発 行 Cookie 発 行 (5) 認 証 後 のアクセス (6)Cookieの 正 当 性 確 認 (7)Webアプリケーションのコンテンツ HTTPヘッダなどから 認 証 情 報 を 入 手
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 36 - リバースプロキシ 型 後 方 のサーバを 仮 想 的 に1 台 に 見 せることも 可 能 認 証 とサーバへのアクセス 制 御 はプロキシサーバで 行 う 後 方 のサーバは 認 証 なしもしくはBasic 認 証 でアクセス 可 能
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 37 - リバースプロキシ 方 式 によるシングルサインオン User Agent (ブラウザ) リバースプロキシ 認 証 サーバ (OpenAM) Webアプリケ ーション (1)Webアプリケーションへアクセス (2)OpenAMへリダイレクト (3)ユーザ 認 証 (4)Cookieを 発 行 Cookie 発 行 (5) 認 証 後 のアクセス (8)コンテンツ (6)Cookieの 正 当 性 の 確 認 (7)リクエストのフォワード ヘッダ 情 報 を 確 認
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 38 - 代 理 認 証 方 式 プロキシ または 代 理 認 証 ポータル 認 証 情 報 をPOST 認 証 サーバで 認 証 したら 後 方 のサーバへ 認 証 情 報 をPOSTして 認 証 する 後 方 のサーバが 独 自 の 認 証 画 面 を 持 っていてもSSO 可 能
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 39 - 代 理 認 証 方 式 によるシングルサインオン User Agent (ブラウザ) 代 理 認 証 サーバー 認 証 サーバ (OpenAM) Webアプリケ ーション (1)Webアプリケーションへアクセス (2)OpenAMへリダイレクト (3)ユーザ 認 証 (4)Cookieを 発 行 Cookie 発 行 (5) 認 証 後 のアクセス (6) IDとパスワードの 代 理 送 信 (7)コンテンツ Cookie 発 行
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 40 - シングルサインオン 方 式 Webアプリケーションの 改 修 方 式 の 比 較 長 所 短 所 SAML エージェント SAMLに 対 応 していれば 不 要 必 要 標 準 的 な 仕 様 に 準 拠 したSSOシステムを 構 築 可 能 他 製 品 との 互 換 性 が 高 い 認 証 サーバー(IdP)を 社 内 に 設 置 し クラウドサービスで あっても アクセスを 社 内 のみからに 制 限 することも 可 能 ( サービスのSAML 実 装 に 依 る) WebアプリケーションがSAMLに 対 応 している 必 要 があ る Webアプリケーションへの 全 ての 通 信 をエージェントがフ ックするため 細 かなアクセス 制 御 が 可 能 サーバーに 対 応 したエージェントが 必 要 リバース プロキシ 必 要 Webアプリケーションへの 全 ての 通 信 をリバースプロキシ がフックするため 細 かなアクセス 制 御 が 可 能 リバースプロキシがボトルネックになる 可 能 性 もある 代 理 認 証 不 要 既 存 Webアプリケーションの 改 修 が 不 要 代 理 認 証 不 可 能 な 場 合 もある
シングルサイオン 方 式 の 採 用 基 準 Webアプリケーションが SAMLに 対 応 しているか No No Webアプリケーションの 改 修 が 可 能 か Yes WebアプリケーションをSAMLに 対 応 させることができるか No No ポリシーエージェントが Webサーバ/APサーバ に 対 応 しているか No Yes Yes Yes SAMLを 採 用 代 理 認 証 方 式 を 採 用 SAMLを 実 装 エージェント 方 式 を 採 用 リバースプロキシ 方 式 を 採 用 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 41 - No
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 42 - 本 当 はやってはいけない 代 理 認 証 既 存 アプリに 手 を 入 れられない という 理 由 で 代 理 認 証 を 採 用 するユーザーは 多 いが 本 当 はやってはいけない! IDとパスワードを(HTTPSでも)ネットワークに 何 度 も 流 すの は 良 くない (SSO 入 り 口 の1カ 所 に 限 定 すべき) 代 理 認 証 はイントラネットのみに 限 るべき クラウドへの 代 理 認 証 は 危 険 SAMLに 対 応 しているGoogle AppsやSalesforceに 対 して 代 理 認 証 は 絶 対 にやってはいけない! (SAMLを 使 ってIdPを 社 内 に 置 けばパスワードはクラウドに 流 れない)
Part 7 Google Appとの 連 携 設 定 手 順 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 43 -
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 44 - Google AppsへのSSO OpenAM (SAML IdP) ログイン ユーザ SAML アサーション Google Apps (SAML SP)
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 45 - 設 定 手 順 OpenAMのメニューに 従 い 設 定 を 行 う OpenAMをIdPとして 設 定 する 新 規 にトラスト サークルを 作 成 する Google AppsをSPとして 設 定 する OpenAM 側 での 設 定 Google Apps 側 での 設 定 OpenAMが 表 示 する 値 をGoogle Appsに 反 映
手 順 1: IdPの 作 成 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 46 -
手 順 2: Google AppsをSPとして 登 録 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 47 -
手 順 3: Google Appsで 設 定 するSAMLパラメータ Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 48 -
手 順 4: Google AppsのSSOを 有 効 化 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 49 -
手 順 5: Google Appsのシングルサイン 設 定 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 50 -
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 51 - Part 8 OpenAMの 機 能 (その2) 認 証 方 式 ( 多 様 素 認 証 )
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 52 - 認 証 方 式 ワンタイムパスワード 指 静 脈 認 証 Windows Desktop SSO クライアント 証 明 書 外 部 DB 認 証 連 鎖 OpenAMの 機 能 データストアと 認 証 方 式 OpenAM Web Application ユーザー ログイン ログイン ID PW SSO Web Application User Data Store Web Application ユーザーデータスト (ユーザー 情 報 DB) Active Directory OpenLDAP RDB
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 53 - OpenAMの 機 能 - 認 証 方 式 基 本 的 には OpenAM のユーザーデータストアに 保 存 さ れた ID/パスワードにより 認 証 を 行 なう ユーザー 認 証 時 に 外 部 のデータベースを 参 照 することも 可 能 ( 更 新 できない 参 照 のみのものでも 可 能 ) LDAP Active Directory RADIUS RDB(JDBC) よりセキュアな 認 証 方 式 も 使 用 可 能 ワンタイムパスワード( 電 子 メールを 利 用 ) クライアント 証 明 書 による 認 証 Windows Desktop SSO( 統 合 Windows 認 証 ) 複 数 の 認 証 方 式 を 組 み 合 わせて 使 用 可 能 : 認 証 連 鎖
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 54 - OpenAMの 機 能 - ユーザー 情 報 DB ユーザーデータストア OpenAMのユーザー 情 報 を 格 納 するLDAPサーバー/デ ータベースサーバー( 更 新 権 限 が 必 須 ) Active Directory Open LDAP Sun Directory Server OpenDS(Sun Directory Server のオープンソース 版 OpenAMに 標 準 で 組 み 込 まれている) RDB(OpenAMから 対 応 )
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 55 - OpenAMの 機 能 - 認 証 連 鎖 多 様 素 認 証 の 必 要 性 複 数 の 認 証 方 式 を 組 合 わせて 認 証 を 行 うことにより 個 々の 認 証 方 式 の 欠 点 を 補 完 認 証 連 鎖 複 数 の 認 証 方 式 を 組 み 合 わせて 利 用 可 能 認 証 方 式 にはそれぞれ 適 用 条 件 を 指 定 する 必 須 : 失 敗 したらそこで 終 了 十 分 : 成 功 したらそこで 終 了 必 要 : 成 功 しても 失 敗 しても 次 に 継 続 任 意 : 認 証 結 果 には 関 係 しない 付 随 的 な 処 理 認 証 方 式 1( 必 須 ) ID/PW 認 証 認 証 方 式 2( 必 須 ) ワンタイムパスワード ログイン 完 了
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 56 - 多 要 素 認 証 複 数 の 認 証 方 式 を 組 合 わせて 認 証 を 行 うことにより 個 々の 認 証 方 式 の 欠 点 を 補 完 厳 密 なユーザ 認 証 異 なるタイプの 認 証 方 式 を 組 合 わせることが 重 要 使 い 勝 手 の 向 上 いつも 同 じ 認 証 方 式 が 使 えるとは 限 らない 状 況 により 要 求 される 認 証 の 精 度 が 異 なる 認 証 方 式 間 での 連 携 組 合 わせて 使 うことを 前 提 にしている 認 証 方 式 もある
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 57 - 認 証 連 鎖 認 証 方 式 を 組 合 わせる 方 法 を 指 定 する 認 証 方 式 にはそれぞれ 適 用 条 件 を 指 定 する 十 分 : 成 功 したらそこで 終 了 必 要 : 成 功 しても 失 敗 しても 次 に 継 続 必 須 : 失 敗 したらそこで 終 了 任 意 : 認 証 結 果 には 関 係 しない 付 随 的 な 処 理 認 証 成 功 時 には 認 証 方 式 に 応 じて 認 証 レベルが 設 定 され る 認 証 方 式 1( 十 分 ) 認 証 方 式 2( 必 要 ) 認 証 方 式 3( 任 意 ) 評 価 評 価
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 58 - 例 1.Windows Desktop SSO Windows Server 2000/2003/2008 1 ド メ イ ン ロ グ オ ン Active Directory チ ケ ッ ト 発 行 2 自 動 チケット 送 付 3 OpenAM 認 証 認 可 属 性 情 報 利 用 4
例 1.Windwos Desktop SSO WindowsドメインログオンするだけでWebアプリケーシ ョンにもSSOが 可 能 になる 便 利 な 方 式 いつも 全 てのユーザがドメインログオン 可 能 であるとは 限 らない リモート アクセスの 場 合 非 常 勤 社 員 の 場 合 通 常 のユーザID パスワードによる 認 証 と 組 み 合 わせて 以 下 のように 認 証 連 鎖 構 成 する Windows Desktop SSO: 十 分 ユーザID パスワードによる 認 証 : 必 須 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 59 -
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 60 - 例 2. 携 帯 電 話 を 使 ったワンタイム パスワード ユーザID パスワード 認 証 成 功 通 常 のユーザID パスワード による 認 証 ユーザの 携 帯 電 話 ワンタイム パスワード 要 求 ワンタイム パスワードの 入 力 画 面 +HMAC ワンタイム パスワード +HMAC 返 送 OpenAM 同 時 に 携 帯 電 話 へ ワンタイム パスワードを 送 付 認 証 成 功 ワンタイム パスワード 認 証
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 61 - 例 2. 携 帯 電 話 を 使 ったワンタイム パスワード 所 持 物 認 証 と 知 識 認 証 の 組 合 わせによる 厳 密 なユーザ 認 証 が 可 能 携 帯 電 話 を 使 うことによる 利 点 導 入 コストの 低 減 所 持 品 の 軽 減 フィッシングへの 対 応 HMAC(RFC2104:Keyed-Hashing for Message Authentication)を 利 用 両 方 のパスワードが 盗 まれた 場 合 は 問 題 参 考 :RSAセキュリティ( 株 )による 月 例 記 者 会 見 http://internet.watch.impress.co.jp/docs/news/20100728_383861.html
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 62 - 応 用 例 Windows Desktop SSOによる 認 証 は 便 利 なのでぜひ 使 いた いが 全 てのユーザがドメインログオン 可 能 とは 限 らない ワンタイム パスワードは 厳 密 な 認 証 が 出 来 る 点 は 良 いが いつも 携 帯 電 話 を 開 いてパスワードを 確 認 するのは 面 倒 だ 2つを 組 合 わせることにより 便 利 かつ 厳 密 な 認 証 を 行 うこ とが 可 能 Windows Desktop SSO: 十 分 ユーザID パスワードによる 認 証 : 必 須 ワンタイム パスワードによる 認 証 : 必 須
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 63 - アダプティブ リスク 認 証 モジュール リスク 評 価 に 基 づく 認 証 強 度 の 選 択
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 64 - アダプティブ リスクの 考 え 方 認 証 時 にリスクを 評 価 することによりリスクに 見 合 った 認 証 方 式 を 動 的 に 追 加 Risk Based 認 証 とも 呼 ばれる リスクの 評 価 予 め 各 リスクについて 重 み 付 けを 行 う 認 証 時 にすべてのリスクについてそれらを 合 算 する 既 定 の 閾 値 を 超 えた 場 合 は 認 証 失 敗 とする
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 65 - リスクの 例 リスクが 高 いと 評 価 される 例 パスワードを 間 違 えたユーザからのアクセス 最 終 的 に 正 しいパスワードを 入 力 したとしてもリスクは 高 い アカウント ロックとの 併 用 / 代 用 長 期 間 アクセスがなかったユーザからのアクセス 特 定 のIPアドレスの 範 囲 からのアクセス 例 : 社 外 からのアクセス 特 定 の 地 域 からのアクセス 例 : 日 本 国 外 いつもとは 異 なる 端 末 からのアクセス( 複 数 可 ) いつもとは 異 なるIPアドレスからのアクセス( 複 数 可 ) 特 定 の 属 性 を 持 つユーザからのアクセス 例 : 正 社 員 でない
アダプティブ リスク 認 証 モジュールの 設 定 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 66 -
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 67 - 認 証 連 鎖 と 組 み 合 わせたソリューション 例 認 証 連 鎖 複 数 の 認 証 方 式 を 組 み 合 わせ 高 いセキュリティを 実 現 でも 毎 回 だ 少 し 面 倒! 通 常 の 認 証 方 式 閾 値 を 超 えた ためリスクが 高 いと 判 定 さ れた 強 固 だが 少 し 面 倒 な 認 証 方 式 認 証 方 式 1( 必 ID/PW 認 証 OK 認 証 方 式 2( 十 分 ) アダプティブ リスク 認 証 NG 認 証 方 式 3( 必 要 ) ワンタイム パスワード 認 証 OK OK 閾 値 を 超 えず リスクが 低 い と 判 定 された ログイン 完
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 68 - Oauth 2.0を を 使 った Facebookとの 連 携 連 携 に 基 づく 様 々なシナリオ
Oauth 2.0を 使 ったやりとり Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 69 - ユーザ (ブラウザ) 未 認 証 ユーザのアクセス OpenAM Facebook Facebookのログインページへのリダイレクト 認 証 とユーザ 承 認 の 取 得 OpenAMへのリダイレクト 認 可 コード 認 可 コード この 先 が 重 要 アクセストークン アクセストークン ユーザ 情 報 ( 許 可 されたもの)
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 70 - 取 得 したユーザ 情 報 の 取 り 扱 い セッション 情 報 としてメモリ 上 にのみ 保 存 必 要 に 応 じてセッションオブジェクトからユーザ 情 報 を 取 得 一 時 的 な 利 用 に 限 られ Facebook 経 由 でのアクセス 時 のみ 有 効 DB 等 に 永 続 的 に 保 存 取 得 したユーザ 情 報 をLDAPやRDBに 保 存 必 要 に 応 じてユーザIDやパスワードを 追 加 登 録 されたメールアドレスに 確 認 コードを 送 ることも 可 能 次 回 からは 直 接 アクセスすることも 可 能 ユーザ 情 報 を 元 にDB 上 の 既 存 ユーザにマップ メールアドレス 等 をキーにして 対 応 付 けを 行 う 勝 手 に 対 応 付 けると 問 題 になるかも? 上 記 を 組 み 合 わせることにより 様 々なシナリオが 考 えられる
Oauth 2.0 認 証 モジュールの 設 定 (その1) Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 71 -
Oauth 2.0 認 証 モジュールの 設 定 (その2) Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 72 -
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 73 - Part 2. OpenAM 導 入 事 例 国 立 大 学 法 人 北 見 工 業 大 学 様 http://www.kitami-it.ac.jp/
Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 74 - 北 見 工 業 大 学 様 システムの 特 徴 ユーザー( 学 生 や 教 職 員 )はOpenAMに 一 度 ログインする と 複 数 のWebアプリケーションをログイン 操 作 なしで 利 用 できます ログインするとポータルメニューが 表 示 されますが ユーザ ー 権 限 やログイン 場 所 ( 学 内 / 学 外 )によって 表 示 されるメ ニューが 変 化 します ログインしたユーザーが 利 用 できないアプリケーションは 表 示 されず インターネットからログインするとイントラネット 専 用 アプリケーションも 表 示 されません システム 全 体 設 計 やプロジェクトとりまとめは 兼 松 エレクトロニクス 株 式 会 社 が 行 いました シングルサインオン システム 構 築 は オープンソース ソリューション テクノロ ジ 株 式 会 社 が 行 いました
北 見 工 業 大 学 様 Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 75 -