アジェンダ 1. はじめに 2. TRMにおける認証基盤 3. 統合ディレクトリとしてのActive Directory 4. ディレクトリ連携としてのForefront Identity Manager



Similar documents
How to Use the PowerPoint Template

Microsoft Active Directory用およびMicrosoft Exchange用Oracle Identity Connector

Oracle Access ManagerとOracle Identity Managerの同時配置

CA Federation ご紹介資料

PowerPoint プレゼンテーション

Microsoft PowerPoint - 3_PI System最新セキュリティについて

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

統合 ID 管理システム SECUREMASTER/EnterpriseIdentityManager(EIM) 連携先システム : AD 1, 業務サーバ 3 監査オプション : あり ユーザ ID 情報を一元管理し 業務システム (CSV インポートが可能なシステム ) や AD などの ID

Oracle SQL Developer Data Modeler

アカウント情報連携システム 操作マニュアル(一般ユーザー編)

Sendmail AD連携モジュールキャンペーン

Active Directory フェデレーションサービスとの認証連携

IceWall FederationによるOffice 365導入のための乱立AD対応ソリューション(オンプレミス型)

Windows Server 2016 Active Directory環境へのドメイン移行の考え方

Password Manager Pro スタートアップガイド

OSSTechプレゼンテーション

untitled

ALogシリーズ 監査レポート集

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

Oracle SQL Developerの移行機能を使用したOracle Databaseへの移行

電源管理機能を活用する 管理機から端末機の電源管理をします 複数の端末機の電源を一斉管理することで 管理者の負担を軽減できます 端末機の電源を入れるためには 次の条件が必要です コンピュータが Wake on LAN または vpro に対応している リモートで電源が入るように設定されている ネット

学認とOffice 365 の 認証連携

CA IdentityMinder ご紹介資料

Oracle Un お問合せ : Oracle Data Integrator 11g: データ統合設定と管理 期間 ( 標準日数 ):5 コースの概要 Oracle Data Integratorは すべてのデータ統合要件 ( 大量の高パフォーマンス バッチ ローブンの統合プロセスおよ

PowerPoint Presentation

<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>

FUJITSU Cloud Service K5 認証サービス サービス仕様書

( 目次 ) 1. はじめに 開発環境の準備 仮想ディレクトリーの作成 ASP.NET のWeb アプリケーション開発環境準備 データベースの作成 データベースの追加 テーブルの作成

WSMGR for Web External V7.2 L50 ご紹介

ハイブリッド デバイス管理 ~Microsoft Intune~

LDAP サーバと統合するための ISE の設定

POWER EGG 3.0 Office365連携

目次 1. はじめに 当ドキュメントについて 環境設計 フロー モデルの設計 ログイン タイプの決定 その他情報の決定 IBM Connections Cloud との

SinfonexIDaaS機能概要書

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

Office 365監査ログ連携機能アクティブ化手順書

LDAP Manager SupportList

V-CUBE One

Oracle Secure Enterprise Search 10gを使用したセキュアな検索

ActiveDirectory\(AD\)とSAP R/3によるシングルサインオン\(SSO\)環境の構築

Microsoft PowerPoint Toho.ppt

PowerPoint Presentation

統合運用管理ソフトウェア Systemwalker 総合カタログ

UsageGuidewithAD_

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

2. メンバー管理 2.1 管理者権限 2.2 組織の登録 2.3 役職の登録 2.4 メンバーの登録 2.5 共有アドレス帳 2.6 グループの管理

業務サーバパック for 奉行シリーズスタートアップガイド

ログを活用したActive Directoryに対する攻撃の検知と対策

Net'Attest EPS設定例

Microsoft Word - PCOMM V6.0_FAQ.doc

Shibboleth Office365 Education , Office365, 8 26 Office365 Shibboleth., Shibboleth, Office365,. 1.,,,,., LMS.,,, ICT,, Google App

1 Microsoft Windows Server 2012 Windows Server Windows Azure Hyper-V Windows Server 2012 Datacenter/Standard Hyper-V Windows Server Windo

シングルサインオンしてますか? 2014/11/21 第 6 回 OpenAM コンソーシアムセミナー 1

目次 1. はじめに... 3 本システムご利用の前提について... 3 アカウント申請について... 3 本システムの機能について 基本の操作方法... 4 本システムにログイン / ログアウトする... 4 ファイルをダウンロードする 機能ごとの操作方法... 6

OpenAM(OpenSSO) のご紹介

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

ESET Internet Security V10 モニター版プログラム インストール / アンインストール手順

製品概要

4. 本オプションで提供する機能 基本機能 Microsoft Office 365 マイクロソフト社 Microsoft Office 365 の機能をそのまま利用できます アクティブディレクトリ連携サービス (Active Directory Federation Service: 以下 ADF

IceWall SSO 10.0 Enterprise Edition 動作環境

新製品 Arcserve Backup r17.5 のご紹介 (SP1 対応版 ) Arcserve Japan Rev. 1.4

ek-Bridge Ver.2.0 リリースについて

SeciossLink クイックスタートガイド Office365 とのシングルサインオン設定編 2014 年 10 月株式会社セシオス 1

Global Portal製品概要説明

概要 稟議システムを即日稼動できるExcelワークフローシステム 使いやすいExcelと 導入1200社の実績のあるワークフローエンジンで構築する電子決裁システム 承認履歴が残らない 履歴 実績の管理が大変 稟議書や申請書 部署ごとの 申請書番号管理ができない 回送/回覧も手間が掛かる 使い慣れたE

MS SQL の Point-in-Time リストア A - - v6.5 Update4 以降サポート Active Directory 詳細レベルリストア A A A v5 Update2 以降サポート 小さいパーティションへのBMR A A A v5 Update2 以降サポート リモートレ

Microsoft Word - Outlook Web Access _IE7_ Scenario.doc

ROBOTID_LINEWORKS_guide

PowerPoint プレゼンテーション

自己紹介 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 2

1 はじめに 本資料は SmartOn NEO から SmartOn ID に移行する際に 事前に知っておくべき要点をまとめたものです SmartOn NEOからSmartOn IDへの移行手順書は別途ございます 詳細は移行手順書をご確認ください また 本資料において記載されている 移行手順書 とは

PowerPoint プレゼンテーション

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

Slide 1

Arcserve UDP バージョン比較 (Rev: 4.0) 2019 年 5 月作成 凡例 ( A : Advanced 以上 P : Premium 以上 PP : Premium Plus SS : 専用サブスクリプション -: 機能なし ) Release Version 機能 7.0 v

Windows Server 2008/2008 R2 Active Directory環境へのドメイン移行の考え方

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

Transcription:

技術参照モデル (TRM) に準拠した認証基盤 5.12. 統合アカウント管理 認証 認可 マイクロソフト株式会社パブリックセクター

アジェンダ 1. はじめに 2. TRMにおける認証基盤 3. 統合ディレクトリとしてのActive Directory 4. ディレクトリ連携としてのForefront Identity Manager 2010 2

本資料がカバーする範囲 本資料はTRMの以下の章について準拠することを目的としたものです 5.12. 統合アカウント管理 認証 認可 章番号 機能 サービス 5.12.2 統合アカウント管理 5.12.3 ディレクトリ連携 5.12.4 OS アクセス制御 5.12.5 Web シングルサインオン 5.12.6 デスクトップシングルサインオン 5.13. 統合ディレクトリ 章番号 機能 サービス 5.13.2 統合ディレクトリ 3

はじめに 認証基盤で抱える課題 認証基盤に対する職員のデータの登録が自動化されておらず 特に大量に人事異動が発生する時期のメンテナンスが大変である また メンテナンスに時間がかかるために 職員が異動後すぐにシステムを利用できない 業務システム毎に個別で ID の登録 変更 削除等のメンテナンスを行う必要があり 同じような作業が重複して発生している GIMA をはじめとした外部との連携を視野に入れる必要が出てきたが 認証基盤では拡張性がなく改修するとなると多くのコストが必要になる TRM ではこれらの課題を想定し 検討を行った上で 最適な機能を有した認証基盤を定義しています TRM に準拠した認証基盤を構築することでこれらの課題を解決することが出来ます 4

2. TRM における認証基盤 5

認証基盤を構成する要素 TRM に準拠した認証基盤は下記のコンポーネントで構成されています 府省共通のコンポーネント GIMA( 職員等利用者用共通認基盤証 ):P5 参照 全ての国家公務員を個人で識別するユニバーサル ID の発行および管理を実施します 府省共通業務アプリケーションに対する認証およびシングルサインオンを提供します 各府省で構築する要素 統合ディレクトリ :P5 P6 参照 府省内の職員に関する情報 ( 氏名 職位等 ) を一元的に管理します 格納された情報に応じて 各種業務アプリケーションからに認証の要求に応答します ディレクトリ連携 :P5(GIMA と統合ディレクトリの連携 ) P6 参照 統合ディレクトリに格納された情報を各種業務アプリケーションのデータベースに配信します これにより 職員の情報を個別で登録をする必要がなくなり 業務効率の改善を実現します 6

ご参考 : 認証基盤の将来像 GIMA の最適化計画においては 将来像として統合ディレクトリ およびディレクトリ連携の機能も全て GIMA と府省共通人事給与システムが連携して 中央で実現することになっています しかし 人事給与システムのスケジュール 各府省における移行の問題 システムの更改時期を考慮すると TRM で示されているような各府省の基盤と連携した中間の姿が必要となります 職員等利用者認証業務の業務 システム最適化計画 ( 案 ) 概要 より 7

技術参照モデルより引用 1 8

技術参照モデルより引用 2 9

各府省で構築する基盤構築の概要 ディレクトリ連携により 府省内の人事給与システム等から職員の情報を取得 し統合ディレクトリで管理 ディレクトリ連携により 統合ディレクトリの情報を府省内の業務アプリケー ションへ配信 ディレクトリ連携により統合ディレクトリの情報をGIMAと連携 統合ディレクトリとディレクトリ連携で 省庁内のID管理をすべて一元化 GIMA ディレクトリ連携 対GIMA ディレクトリ連携 対府省内 ディレクトリ連携 グループウェア 文書管理 その他の業務システム 庁内の人事 給与システム 統合ディレクトリ 10

Microsoftテクノロジーによる実現 TRMで必要とされる要素 実現するMicrosoftテクノロジー 統合ディレクトリ Active Directory ディレクトリ連携 ForeFront Identity Manager 2010 GIMA ディレクトリ連携 対GIMA ディレクトリ連携 対府省内 Forefront Identity Manager 2010 ディレクトリ連携 グループウェア 文書管理 その他の業務システム 庁内の人事 給与システム 統合ディレクトリ Active Directory 11

3. 統合ディレクトリとしての Active Directory 12

Active Directory による統合ディレクトリ Active Directory は ID 一元化を支援します 個人 ID の実現 個人 ID の実現は 職員個人に ID を採番することや各業務システムでその ID を採用することなど システム以外の要素により大きく左右されます また そのシステム以外の要素は組織によって大きく異なっています 従って 認証基盤のパッケージソフトウェアに求められる機能は あらゆる状況や技術要素に対応できることです Active Directory は業界標準として あらゆる機能を備え 多くのプロトコルに対応しているだけでなく 多くの他社製品が Active Directory を共通認証基盤として利用できるような対応を行っています 強固な認証基盤としての Active Directory Active Directory に個人 ID を作成し 職員の情報を格納することで その情報をあらゆる認証 認可に活用可能です パスワード以外の認証が必要な場合でも あらゆる製品が Active Directory に対応しているため Active Directory の基盤が確立さえしていれば 容易に拡張が可能です 13

Active Directory で様々な認証を統合 Active Directory はあらゆるプロトコルに対応しています Active Directory ドメインにログオン Exchange Office SharePoint Server 最初にドメインにログオンするだけで アプリケーションへ透過的にアクセス可能 柔軟な認証基盤 Kerberos v5/ LDAP X.509/Smartcard/PKI VPN/802.1x/RADIUS SSPI/SPNEGO Passport/ ダイジェスト / 基本 (Web) Windows に統合されたアプリケーション ファイルサーバ シングルサインオン環境 Windows ファイル & プリントサーバー Windows Server System 390/AS400 (Host Integration Server) データベース (SQL Server) Third-Party の Windows 認証アプリケーション IIS 認証機能を利用する Web アプリケーション Unix/J2EE (Services for Unix, LDAP) 14

Active Directory にネットワーク認証も統合 ネットワーク機器の認証を統合 標準機能の IAS により Active Directory のユーザー グループ情報を用いた RADIUS 認証ができるので ワイヤレス 有線 LAN ダイヤルアップ インターネット VPN などのネットワーク認証を Active Directory に統合可能です パスワード 証明書 スマートカードなどの各種認証に対応 Active Directory ドメインサービス一元的なネットワーク認証証明書の発行も可能 Internet Authentication Service 統一的なポリシーによる認可 ワイヤレス RADIUS 通信 Routing And Remote Access Service 有線 LAN ダイヤルアップ インターネット VPN 15

4. ディレクトリ連携としての Forefront Identity Manager 2010 16

必要とされるディレクトリ連携を実現 FIM2010はTRMで求められているディレクトリ連携機能を提供 統合ディレクトリと個別業務システム間において IDおよびそれに属する 情報 氏名 職位 パスワードなど の同期を実現します ID管理の自動化 システムごとで個別で実施していたID管理業務の効率化を実現します セキュリティの強化 人事異動に伴うアクセス権管理 退職した職員のアカウントの削除等 ID 管理を確実に実施することでセキュリティレベルの向上を実現します SAP Notes システム間の ID 同期 Oracle ID 同期 統一された ID で システムを利用 その他の業務システム 人事マスタ エンドユーザー & 管理者 17

FIM の ID 同期機能のアーキテクチャ MA : Management Agent ( 管理エージェント ) 接続先毎に 接続情報 同期方法を設定 FIM 管理ツール コーディングで任意の同期方法を実装可能 Text File MA Active Directory MA (NT サービス ) SQL Server 各接続先のデータ ( コネクタスペース ) 単一のマスタデータ ( メタバース ) 証明書 スマートカード管理情報 FIM 構成情報 iplanet Directory MA Lotus Notes (Notes Client) MA XXXXXX MA コーディングで任意の同期方法を実装可能 接続先ディレクトリはエージェントの導入が不要 18

FIM によるアカウントの同期 システムごとに管理されているユーザー情報を FIM に集約し 各システムで必要なデータを反映します Active Directory グループウェア データベース ユーザー ID higuchi 職員番号 20001 氏名 ローマ字氏名 メールアドレス 役職 樋口竜太 Higuchi Ryota ryotahiguchi@ microsoft.com 係長 ユーザー ID higuchi_r 職員番号 20001 メールアドレス ryotahiguchi@ 役職 microsoft.com 係長 ユーザー ID ryota-h 職員番号 20001 メールアドレス ryotahiguchi@ 役職 microsoft.com 係長 FIM2010 ユーザー ID higuchi 職員番号 20001 氏名 樋口竜太 ローマ字氏名 Higuchi Ryota メールアドレス ryotahiguchi@ microsoft.com 役職 係長 19

大量の人事異動処理を自動化 例として 人事給与システムから定期的に出力される CSV ファイルに従ってアカウント管理の処理を自動化します CSV ファイル 1 登録処理 カスタムのコーディングで一意なユーザー ID の作成や初期パスワードの設定なども実施 データベース 2 人事異動処理 CSV ファイル CSV ファイル 3 退職処理 FIM2010 Active Directory グループウェア Active Directory グループウェア データベース 1 登録処理の内容 2 人事異動処理の内容 3 退職処理の内容 [Hire] OU にユーザーを作成 [Develop ] OUにユーザーを移動 [Fire] OU にユーザーを移動 [HR Group] のメンバーに登録 [Develop Group] のメンバーに登録 部署属性に HR を設定 部署属性に HR を設定 部署属性に Develop を設定 アカウントを無効化 [HR Group] のメンバーから削除 [Develop Group] のメンバーから削除 [ ユーザー ] にユーザーを作成 [Develop Group] のメンバーに登録 アカウントを削除 ( 物理削除 ) [HR Group] のメンバーに登録 所属名属性に Develop を設定 所属名属性に HR を設定 [HR Group] のメンバーから削除 テーブルにユーザー ( 行 ) を作成 属性 ( 列 ) に Develop を設定 アカウントを削除 ( 物理削除 ) 属性 ( 列 ) に HR を設定 20

連携可能システム一覧 ( 予定 )1 ディレクトリ Active Directory ドメインサービス / NT4 ドメイン AD LDS (ADAM) Sun Directory Server(Netscape / iplanet / SunONE) 4.12 / 4.13 / 5.0 / 5.1 / 5.2 / 6.x Netscape Directory Server 4.1 / 6.11 Novell e Directory 8.6.2 / 8.7 / 8.7.3 IBM Tivoli Directory Server 4.1 / 5.1 / 5.2 on Windows Server 2003 or Windows 2000 Server メインフレーム IBM Resource Access Control Facility Computer Associates etrust ACF2 Computer Associates etrust Top Secret グループウェア & ERP パッケージ Exchange 2000 / 2003 / 2007 GAL Exchange 5.5 Lotus Notes 5.0 / 6.x / 7.x SAP R/3 4.7 / mysap 2004 (ECC 5.0) 21

連携可能システム一覧 ( 予定 )2 データベース SQL Server 7.0 / 2000 / 2005 / 2008 Oracle 8i / 9i / 10g IBM DB2 7 / 8.1 on Windows Server 2003, 8.1 on Linux, 5.1.5 on OS /400 ファイル DSML (Directory Services Markup Language) 2.0 LDIF (LDAP Directory Interchange Format) CSV( カンマ区切りテキストファイル ) 固定長テキストファイル属性と値の組 (Attribute-Value Pair) のテキストファイル 補足 MA SDK で任意のシステムとの同期を実装可能 22

FIM2010 の管理ポリシーとは ID 管理作業における 様々な処理フローや条件をモデル化したものを FIM 2010 では管理ポリシーと呼びます 管理ポリシーの例 : 人事給与情報 DB に新しい職員が登録されたら AD にアカウントが作成され Exchange にメールボックスが作成される 職員が異動すると ホームディレクトリとメールボックスが IT 管理者の承認を得たのち移動される 職員が自分の電話番号を変更したら 変更情報が業務システムや AD に更新される前に 上長の承認を経由する システム管理者がセキュリティグループのメンバーを変更する際に スマートカードによる認証を必要とする セキュリティグループの有効期限切れ 2 週間前に 更新通知をそのセキュリティグループの所有者に送信する AD にアカウントが作成されたら そのユーザーの上長にアカウントが正常に作成された旨を通知する 職員が任意の DL( メーリングリスト ) に参加することができる ID 管理に関する様々なフローを FIM2010 で一元的に定義および管理し FIM 管理対象のシステムに対して一斉 / 個別に適用することにより 組織内の ID 管理を統制することが可能です 23

承認ワークフロー Windows Workflow Foundation(WF) ベースの柔軟なワークフローの実装 ユーザーやグループに関するオペレーション ( 追加 変更 削除 ) の際に 独自のワークフローを UI から定義可能です ( プログラミング不要 ) ワークフローの種類を選択し フローを定義していきます 24

セルフパスワードリセット OS に統合されたセルフサービスパスワード管理機能 秘密の質問と答え により パスワードを忘れても自分でリセットが可能です デスクトップログオン画面と統合されているため デスクトップログオン時にパスワードを忘れた場合も対応可能です 25

ご参考 : 認証 の定義 システムの世界における 認証 (=Authentication) とは アクセスしてきた職員が 誰 であるかを明確に識別する行為です よく 認証 と混同される単語 証明 (=Certification) 認証された職員に対して 電子証明書を使って証明を行う行為については 証明 となりますが これは 認証 の後の行為であり 正確には認証とは別のプロセスとなります 認可 (=Authorization) 認証された職員に対して 役職 権限等の属性情報や 証明 のプロセスで発行された電子証明書の情報に基づいて アクセスや操作の許認可を行う行為が 認可 となります これも 認証 を前提とした その後の行為であり 認証とは別のプロセスとなります ログイン 認証 ログインとは 認証 により アクセスしてきた職員が誰であるかを明確にし 必要に応じて 証明 を行い 電子証明書や属性情報に基づいて システムを利用できる職員であることを確認した上で 認可 する必要があります 一方で ログイン は 認証 と呼ばれてしまうこともあるため しばしば認証の議論において混乱を招きます 27