IceWall と Aruba が切り開く新たな統合認証基盤 IceWall SSO クラウド & モバイル最新ソリューションのご紹介 日本ヒューレット パッカード株式会社 2016 年 3 月 Hewlett Packard Enterprise Day 2016
シングルサインオン (SSO) とは 複数の異なるアプリケーションを使用する際 1 回のログイン ( ユーザー認証 ) だけでアクセスを可能にするソリューション LOG IN SSO 未導入 異なるアプリを使う度に ID/ パスワードの入力が必要 LOG IN SSO 導入済み アプリケーション使用時 ID/ パスワードの入力は 1 回だけ!! ID PW LOG IN ID PW 統合認証基盤 LOG IN ID PW ID PW Web アプリ A Web アプリ C Web アプリ B Web アプリ A Web アプリ B Web アプリ C 2
IceWall SSO とは シングルサインオン と アクセスコントロールの 4A を実現するソリューションです エージェントレスで OS や Web アプリケーションに制限の少ないリバースプロキシ方式を主体としています IceWall SSO の基本構成 モバイル SSO ソリューション POINT 1 リバースプロキシすべてのトランザクションが IceWallサーバーを通過 認証認可チェックし アタックを防御 アクセスコントロール 4A 認証 認可 管理 監査証跡 IceWall SSO POINT Webアプリケーション 3 エージェントの配布が不要 OSやWebアプリに制約が少ない エージェント方式にも対応 ユーザー クラウドサービス Network IceWall サーバー Web アプリ Web アプリ パブリッククラウド / プライベートクラウドとの認証連携も可能 POINT 2 認証モジュール IceWall サーバーからの要求を受け 認証 DB 上の認証認可情報と照合し アクセスログを記録 認証サーバー認証 DB Web アプリ 3
安心 安全 高品質な IceWall SSO 国内市場シェア No.1 のシングルサインオンソリューションです 2013 年 SSO 国内市場シェア比較 3.5% 3.9% 6.2% 17.9% 8.8% 12.7% 46.9% IceWall SSO SSO 市場シェア NO.1(*1) 日本ヒューレット パッカード日本 HP A 社 B 社 C 社 D 社 E 社その他 安心 安全 市場シェア No.1 日本国内で開発 保守 長期サポートによる投資の保護 完全二重化 ミッションクリティカル環境での実績多数 強固なセキュリティ *1 売上金額ベース SSO 市場 No1 日本ヒューレット パッカード :46.9% 出典 : ITR ITR Market View: アイデンティティ / アクセス管理市場 2015 ( 平成 27 年 5 月刊 ) を基に日本ヒューレット パッカードが作成 高品質 国際セキュリティ標準 ISO15408 取得 お客様ニーズに柔軟対応 高い処理性能 4
IceWall SSO 導入実績 ( 一部 ) BtoC / GtoC システム お客様名 ユーザー数 備考 柏の葉スマートシティ プロジェクト様 - - ( 株 ) エヌ ティ ティ ドコモ様 数百万 Federation 導入あり ( 株 ) 三菱東京 UFJ 銀行様 数百万 - 全国労働者共済生活イントラネットシステムへの導数十万協同組合連合会様入もあり 証券会社 10 万 ~ - BtoB システム お客様名 ユーザー数 備考 イーヒルズ ( 株 ) 様 ( 森ビルグループ ) 5 万 ビジネスポータル エヌ ティ ティ コミュニケーションズ ( 株 ) 様 数十万 クラウドサービス ( 株 ) エヌ ティ ティ データ様無制限保険共同ゲートウェイ ( 株 ) 損害保険ジャパン様数万代理店システム ( 株 ) 東京証券取引所様 6 万情報提供サービス KDDI ( 株 ) 様 - ファイル交換サービス 三菱 UFJ インフォメーションテクノロジー ( 株 ) 様 3 万マーケットプレイス 大手損保 10 万 ~ 代理店システム 金融会社数万 - 流通会社 3000 - BtoB/ BtoCシステムからイントラネットまで 様々な業種のリーディングカンパニーおよびプロジェクトの認証基盤として数多く採用されています イントラネットシステム お客様名ユーザー数備考 ( 株 ) アット東京様数百 - 佐賀県庁様 4000 - JFE スチール ( 株 ) 様 6 万 BtoB システムへの導入もあり Federation 導入あり 住友商事 ( 株 ) 様 1.3 万 - ソネット ( 株 ) 様数千 - トヨタ自動車 ( 株 ) 様 伊藤忠テクノソリューションズ様 十数万 数万 エクストラネットへの導入もあり Federation 導入あり 新聞社 5000 - 製造業 数万 - 製造業 数千 - 大学 1000~ Federation 導入あり 保険会社 10 万 - ユーティリティ会社 数万 - 総務省が進める ICT 街づくり推進事業 の一環として実施する実証事業 - 5
Session 維持 + 完全二重化 以下のすべての機器が同時に障害が発生したとしてもユーザセッションを維持します クライアント PC Load Balancer IceWall サーバー 認証サーバー Active/Standby 認証 DB サーバー 認証 DB 認証 DB IceWall SSO には再起動などによる長時間の切替もありません N 台構成による冗長化 1 台がダウンしてもセッションは維持 レプリケーションによる冗長化 レプリケーションによる冗長化 1 台がダウンしてもセッションは維持 認証サーバー分散化オプションによる分散化 認証 DB が完全停止中でもログイン中のユーザーは処理の維持が可能
マイナンバー事例 7
サービス業 A 社様の事例 マイナンバー関連アプリケーションへのアクセス管理を強化するために IceWall を導入 細かなアクセス権限の設定 アクセス証跡の管理を集中して行う さらに他のアプリケーションにも拡張 Phase1 マイナンバー情報へのアクセスコントロールアクセス権現を持つ経理担当者は IceWall を経由してマイナンバー情報にアクセス その他の必要なアプリにもシングルサインオン 追加認証 ( 生体認証 ) その他の Web アプリ マイナンバー情報 経理担当者マイナンバー情報へのアクセス権現あり VDI IceWall 給与計算アプリ 人事マスター 8
サービス業 A 社様の事例 Phase2 統合認証基盤として全社横断的に拡大 シングルサインオン & アクセスコントロールの範囲をその他の部門へも拡大 全社の統合認証基盤 その他の Web アプリ マイナンバー情報 VDI IceWall 給与計算アプリ 人事マスター その他の Web アプリ 別部門担当者 その他の Web アプリ 9
Federation 10
クラウド & モバイル時代こそ必要とされる統合認証基盤 認証連携 Federation モバイル SSO Public Cloud 統合認証基盤 社外ユーザー (Remote) On Premise/ Private Cloud 高いユーザービリティとセキュリティを兼ね備えた統合認証ソリューションが必要な時代に 社内ユーザー 11
IceWall Federation / IceWall Federation Agent IceWall Federation/ IceWall Federation Agent は パブリッククラウドやプライベートクラウド環境と認証連携 ( フェデレーション ) により シングルサインオンを実現します パブリッククラウド IdP(Identity Provider) : ID を管理して認証を行うサイト SP (Service Provider) : 実際のサービスを提供するサイト SP Google Apps SP SP salesforce.com Office 365 ユーザーは IdP にログインすれば SP も利用可能に IdP は SP にユーザー属性や認証済であることなど認証連携に必要な情報を譲渡 IdP IceWall Federation IceWall SSO 基本構成 Login UserID Passwd プライベートクラウド 認証連携 SP Active Directory Federation Service に対応したサービス IceWall Federation Agent SP IceWall Federation Agent を使用して SAML SP 化したアプリケーション クライアント PC IceWall SSO 10.0 のご購入で IceWall Federation も追加費用無しでご使用いただけます IceWall Federation Agent は別途ご購入が必要です 12
IceWall Federation とは IceWall Federation は 認証連携における IdP(Id Provider) 機能を提供するものです SaaS サービス等 SP(Service Provider) とのシングルサインオンを実現します 2015 年 11 月現在 SP として接続が確認できているサービス / ソフトウェア Google Apps Salesforce Platform Office 365 クリプト便 cybozu.com KDDI Knowledge Suite(GRIDY) 出張なび Bulas Fileforce 福利厚生倶楽部 Box HPE Service Anywhere Shibboleth の SP Windows Azure SharePoint ADFS 2.0 他 多数 接続確認ができているサービスの最新状況は弊社 Webページをご確認ください またWebページに記載されている以外でも 接続を希望されるクラウドサービスがある際はお気軽にお問い合わせ下さい また OAuth2.0 対応モジュールを開発中です Office 365 との連携機能でマイクロソフトの認定を取得 IceWall はマイクロソフトの Works with Office 365 - Identity program の認証連携 サードパーティー ID プロバイダー として 国産製品としては初の認定製品です 13
IceWall New Solutions 14
IceWall New Solutions 1. Aruba ClearPass 連携モデル 2. Fintech 3. リアルタイム Web 利用分析ソリューション 15
1. IceWall SSO Aruba ClearPass 認証連携ユースケース デパートの店舗内 Wireless Access を会員向 Web サイトに誘導 4 会員サイトで認証 Internet Identity Provider (IdP) デパート会員サイト 認証 DB IceWall SSO IceWall Federation Customers 3 会員サイトに Redirect 5 認証済情報 1 店舗内で Wireless アクセス 6 お得情報 アクセスポイント 2 認証 ClearPass Policy Manager Service Provider (SP) 16
2. FinTech = 金融 (Finance) + 技術 (Technology) Fintech( フィンテック FinTech Financial technology) とは テクノロジーを駆使して金融サービスを生み出したり 見直したりする動きのことである 外部に公開した形で開発されることもあるため オープンイノベーションの一環であるともされる (https://ja.wikipedia.org/wiki/fintech より ) 決済 1. 技術環境の変化 投資 保険 家計 残高 ビットコイン FinTech 融資 2. 従来金融機関が行ってきた分野への新規の参入 金融情報 会計 3. 既存金融機関の参入 17
2. API ビジネスを取り巻く状況 なぜ API が必要なのか? 外部サービス事業者との協業 既存サービスの販売加速 新サービスの早期実現 Web サービスの API 利用 モバイルアプリの API 利用 24% 15% 2018 年には 68% に増加と予測 Source: Mind Commerce, Telecom Network API Marketplace, June 2013 インターネット上では 既に多数の API サービスが存在 サービス事業者はインターネット上の API を組み合わせた新サービスを模索 魅力的な新サービスを生み出す = API の開発と提供が必要 API : 様々な機能をアプリケーションの中から利用しやすい形でまとめたもの (Application Programming Interface) ここでは HTTP ベースのリクエスト / レスポンスで 外部から簡単に機能を呼び出すための SOAP/REST インタフェースを指す 18
2. Web API サービス全体像 Public API と Protect API は サービス提供方法やシステム化要件が異なる Public API アプリ開発者 ( 個人 企業 ) API API ホームページ 一般公開情報 一般的に公開可能な情報 サービスを提供する API API 利用業者 API Access Managem ent API API API API その他サービス Settlements Payments Financial Data 特定サービスをご契約して頂いているお客様に対し 各種情報やサービスを提供する API を各システムで構築 ( 各システムに密接に関わるため Cloud 化はハードル高 ) Protect API API 認証認可が必須! 19
2. Web API の認証認可 Web ブラウザの認証認可は Cookie,Redirect が前提 ブラウザー (1) ログイン画面よりID/ パスワードを入力して送信 (POST) LOG IN (2) HTTP Redirect による AP 画面への遷移 IceWall SSO フォワーダー (IceWall SSO 基本構成 ) (3) Cookie によるログインセッションの維持 Set-Cookie: IW_INFO=ABCD.. Cookie: IW_INFO=ABCD.. AP サーバー WebAPI の認証認可は WebAPI の方式と異なる アプリケーション (WebAPI 通信には存在しない ) X Redirect X Cookie API アクセスマネージメント Web API サーバー..... リクエストヘッダー 20
2. WebAPI アクセスマネージメントソリューション IceWall SSO スマートデバイスオプション各種スマートデバイス ( アプリケーション ) から送られる ID 情報 による認証を可能 にする IceWall SSO のオプション製品 スマートフォン NFC タブレット PC ID 情報 IceWall SSO RP サーバー IceWall SSO スマートデバイスオプション ( ) Subject: C=JP, O=Any Corporation, OU=.. OU=EDI Service Project, OU=ABC00000012, CN=HP TAROU アプリケーション ID No1user PWD efg!1 フィーチャーフォン証明書 ヘッダー情報 BASIC 認証ヘッダー 証明書情報など WebAPI 用のアプリケーションだけでなく 多様なクライアントに対応 認証サーバー認証 DB IceWall SSO スマートデバイスオプションは サーバーライセンスとして提供されます ( ユーザー数には依存しません ) Web API サーバー 21
2. IceWall Federation OIDC-OP モジュール 2016 年 8 月リリース予定 ID PWD LOGIN OP certd1 dfw (SSO 用 ) 認証 TBL OIDC 規定 OIDC 規定外 code RP#1 (Relying Party) RP#2 1 code 2 ID-token R-token A-token 3 dfw- RP dfw + mod OIDC-OP certd2 code A-token OIDC TBL R-token A-token (code アクセストークン用 ) ( 利用者の同意 トークン保存用 ) Resource Server#1(UserInfo) Resource Server#2( リソース #2) *OIDC Open ID Connect Openid Provider Resource Server#3( リソース #3) 22
3. IceWall SSO + HPE Vertica Analytics Platform によるリアルタイム Web 利用分析ソリューション 高度な分析用データソース データ整形高速データロード リアルタイム解析データウエアハウス 選択自由な分析ツール a アクション ブラウザー フォワーダー 認証サーバー 各種 DB ( プロファイル ) 収集 収集 画像ログ削除正規化 ホスト名抽出 IP アドレス => 地域 URL 整形統合 Profile グループ化 販売データ処理 ソート 順序付け IceWall ETL Tool ( 提供予定 ) IceWall SSO ロード システム分析用プロジェクション B A C B A C ビジネス分析用プロジェクション HPE Vertica Analytics Platform 可視化 BI ツール 分析 レポート 展開 ロード プロモーション 営業 Salesforce CRM キャンペーンとして反映 23
3. 可視化ツール Tableau によるダッシュボード例 情報は動的に更新可能 24
ありがとうございました Accelerating next 未来を加速する 25