プレゼンテーションタイトル

HP Security DAY 2010 1-A: パブリックインターナルクラウドを連携する統合認証基盤のトレンドと今後の活用のご紹介日本ヒューレットパッカード株式会社テクノロジーサービス事業統括テクノロジーコンサルティング統括本部セキュリティソリューション本部小早川直樹

目次認証基盤とは? 統合認証基盤統合認証 ( ユースケース ) HP IceWall SSOのご紹介 HP IceWall SSOにおける統合認証 HP IceWall SSOにおけるWindows 環境との連携 HP IceWall SSOロードマップ 2

認証基盤とは? 3

認証基盤とは何か認証基盤とはアプリケーションに代わってアクセスコントロールの 4A を実現するものですアクセス管理製品あるいは Single Sign On 機能に注目して SSO 製品などと呼ばれています認証基盤導入後コンプライアンスオフィサー認証基盤がアクセスコントロール 4A を担当 Single Sign On を実現認証アプリケーションが一体アプリケーション毎に個別にアクセスコントロールの 4A を実施アプリケーションごとに個別に認証が必要アクセスコントロール 4A 認証認可管理監査証跡認証機能 LOG IN ID PASS 認証 IT 管理者認証認証認証アプリケーション Web アプリ Web アプリ Web アプリアプリケーション管理者アプリ別監査証跡の管理アプリケーション管理者アプリ別認証認可アプリケーション管理者アプリ別認証アクセス制御 4

認証基盤導入のメリット ( ユーザの視点 ) 権限に応じた画面やメニューを表示しユーザ自身がアクセス可能なサービスが一目でわかる HP IceWall SSO Dynamic Menu Portalでの例営業部ユーザ Enterprise Page Group Page My Page 人事部ユーザコンテンツローテーション / 時間表示切替営業用人事用 5 アクセス権限を有するアプリケーションの一覧を表示認証無しでアクセス可能他のアプリケーションと連携しセルフサービスを実現 ( 構築例 )

認証基盤導入のメリット ( 開発者の視点 ) 認証認可セキュリティ部分の共通化により開発コスト改修コスト開発期間が大幅に削減可能認証基盤が認証アクセス制御セキュリティ対策をサポート認証システム担当部分 ~ セキュリティ機能を提供 ~ ID/ パスワード入力照合パスワード変更パスワードポリシーチェック長さ / 有効期間 / 履歴 / 英数字混在 /ID と同一不許可アプリケーション開発部分 ~ 業務ロジックに集中 ~ ユーザインターフェイス開発 AP ロジック開発 DB アクセス情報継承認証基盤導入前 Web アプリ A 認証システム A 認証基盤導入後認証システム Web アプリ A Web アプリ B セキュリティ対策 Web アプリ B セキュリティ対策 Web アプリ C Web アプリ C Web アプリ N Web アプリ N 認証システム B 認証システム C 認証システム N ユーザ登録変更削除アクセス制御タイムアウトセッション管理サーバセキュリティクライアント証明書 SSL 認証基盤がサポートする領域認証部分とアプリ部分を分けて開発可能認証システムとアプリケーションを分離するメリットサービス拡充が容易維持管理改修コストの削減新サービスのスピード化パッケージ ASP の追加が容易各サービスへのセキュリティ対策も統一が可能二要素認証等も認証アクセス基盤への対応のみ 6

認証基盤のその他のメリット N 対 N を N 対 1 に変えることにより変化に柔軟に対応 6 認証認可情報ユーザ属性情報の一元管理ビジネスロジックビジネスロジック 7 ビジネスロジック各アプリケーションへの属性の配布 UI UI UI 統合認証 DB 5 証跡ログ証跡ログの一元管理 4 シングルサインオン認証基盤 Security 1 2 認証認可の統合 Security SQL Injection クロスサイトスクリプティングなど 7 3 多様なデバイスのサポート

認証基盤の本質企業内の IT システムの全体最適化を支援する全体最適化された IT システムサイロ化したアプリケーション DB DB DB DB DB ビジネスロジック UI ビジネスロジック UI ビジネスロジック UI 認証認証認証ビジネスロジックビジネスロジック防御セキュリティ防御セキュリティ防御セキュリティビジネスロジックビジネスロジックビジネスロジック人事 AP 営業 AP サービス AP UI UI UI ポータル認証認可証跡ログ防御セキュリティ WebSSO 人事 AP 営業 AP サービス AP 全体最適化が優れている理由サイロ化のITシステム : 用サイロ型の ITシステム間と費アプリケーションや部門の数時アプリケーションや部門が増えるほど時間と費用がかかってしまう水平型の IT システム : アプリケーションや部門が増えても時間と費用があまり増えない水平型の IT システム 8

認証基盤導入効果 ( まとめ ) セキュリティ製品と分類されるが上手に活用することによりコストを削減させ利便性を向上させるコストセキュリティアジリティ利便性課題各アプリケーションでのアカウント管理コストヘルプデスクコスト ( パスワード忘れ ) アプリケーション開発コスト多数のパスワード管理による漏えい各アプリケーション上の不正確なユーザ属性情報古いアカウントが放置ログの点在フォーマットの不統一による証跡情報不足各アプリケーションのセキュリティぜい弱性への対処アプリケーション開発期間新たなセキュリティ脅威やポリシーへの追随ログ分散による問題の解析時間何度も ID 入力権限のあるアプリケーションの識別認証基盤導入後認証基盤で集中管理問い合わせの削減開発コストの削減単一パスワード最新のユーザ属性を認証基盤から各アプリケーションに配布古いアカウントの使用不可一元ログ出力リバースプロキシによるセキュリティぜい弱性対策開発期間の短縮改修期間の短縮ログの集中管理シングルサインオンダイナミックメニュー 9

認証基盤導入が企業を次のステージに導く STEP1 STEP2 STEP3 統合 ID 作成統合認証 DB の構築通常はホストからデータをそのままもってくるケースが多い統合 ID 普及 ( 誰でも容易に利用できるようにする ) 認証基盤の構築セキュリティ脅威ポリシーの変更変化への迅速な対応二要素認証生体認証など新たなクライアントアプリを変更することなく対応結果がそのまま反映統合認証へ Windows 環境との統合クラウド接続に利用サイト間認証連携で利用認証が 1 つになれば他サイトとの認証連携が容易 10

統合認証基盤 11

統合認証基盤認証基盤を自社外に拡張しさらなく全体最適化を実現する認証基盤が提供するもの統合認証基盤に求められているもの Web アプリケーション Web アプリケーション Web アプリケーションサイト間認証連携 Cloud 連携 Windows UI 開発 UI 開発 UI 開発 SAML Google AD AP ロジック開発 AP ロジック開発 AP ロジック開発 OpenID SalesForce 統合認証 DB アクセス DB アクセス DB アクセス Shibbolleth Azure MOSS 情報継承情報継承情報継承認証認可証跡ログ防御セキュリティ認証基盤連携モジュール仕様の実装統合認証基盤認証認可証跡ログ防御セキュリティ認証基盤 12

統合認証における認証連携方式統合認証を実現するための方式には標準と独自の方式が存在する Form 認証独自方式クラウド認証連携サイト間認証連携独自認証方式認証連携標準方式 OpenID SAML 等 Windows 統合認証 Basic 認証 Windows 認証連携 13

認証連携標準方式標準方式主な用途実装サイト実装製品 SAML OpenID WS-Federation クラウドコンピューティングとの連携企業間連携 BtoCサイト間連携 Windows 環境連携 Google(SP) SFDC(SP) gooid(idp/sp) MyDoCoMo Google, ヤフー, Mixi(IDP) Smart.fm(RP) Azure ADFS, Tivoli, IceWall, SIOS 他 Uni-ID, Tivoli, NEC, シックスアパート,IceWall 他 ADFS IIS MOSS Shibboleth 大学間連携大学 IceWall 14

認証連携標準方式 (SAML) 認証連携とはそれぞれ個別に認証機能を持つサイト間でのシングルサインオンのことサイト間で認証情報を交換し信用することにより連携した別サイトにアクセスする際にも認証を有効にするこれによって一度認証を受ければ再度認証を受けずに ( ユーザ ID/ パスワードの入力等なしに ) 連携した他サイトの Web システムにアクセスできるようになる認証の連携はサイトの中身に中立な標準仕様によって行われるサイト A サイト B IDP 信頼関係 SP 認証します信用します Login UserID 認証済です A さん登録済 Passwd アカウント登録不要 ID を 1 回入力するだけでログイン操作無しでアクセスできます 15 許可した属性のみ引き渡しセキュリティに配慮

OpenID 当初は URL で Identity を表現 OpenID2.0 で一般的なサイト間の認証連携の仕様として発展 1 ユーザは OpenID に対応したサービス提供サイト (Relying Party) で ID となる URL(OpenID URL) を入力するかまたはプルダウン等で自分がいつも使っているプロバイダー (OpenID Provider) を選択する 2 3 ユーザは自分がいつも使っているプロバイダーに誘導されますプロバイダーのユーザ ID とパスワードで認証 4 5 ユーザは認証後に元のサイトに誘導されて目的のサービスにアクセスサービス提供サイト (Relying Party) 情報提供サイト B 情報提供サイト C ユーザがいつも使っているプロバイダー (OpenID Provider) プロバイダー XYZ 4 情報提供サイト A 2 Login UserID Passwd user01 **** ログイン 3OP で認証プロバイダー XYZ 5 サービスを提供 OpenID でログイン 1OP を選択ユーザ 16

Open ID Relying Party(Smart.fm) での例 17

WS-Federation WS-Federation WS-* フレームワークの認証連携のための仕様です Windows Server 2003R2 Windows Server 2008 の Active Directory Federation Service(ADFS) で実装されています主な使われ方サイト間での Active Directory ユーザの相互認証 ADFS 2.0(Geniva) では SAML2.0 への対応と Share Point2007 Active Directory Rights Management Services (AD RMS) への連携を強化. ADSF で連携 Active Directory 2 Active Directory Windows ログイン 1 3 企業 B 企業 A 他企業の業務アプリにアクセス * 企業 A,B 間でフェデレーション信頼を結びます Active Directory のフォレスト信頼は不要です 18

Shibboleth Shibboleth はサイト間の認証連携の仕様で SAML をベースにして拡張したものです Shibboleth を使うことでユーザはさまざまなサイトで別々のユーザー名でログインする必要がなくなります ( アカウント登録は IDP だけ ) コンテンツ SP: 認証依存サイト IDP: 認証提供サイト海外の大学など情報の提供者日本の大学など ID の管理者 Browser Shibboleth は教育機関における認証連携方法として普及しつつあります日本では学術認証フェデレーション ( 愛称 :UPKI-Fed) として推進されています Shibboleth のモジュールを Internet2 がオープンソースとして公開していますこのモジュールを使用すれば個別に Shibboleth の仕様部分を実装する必要はありません 19

統合認証の課題標準やプロファイルが多数ある対応製品サービスが少ない PC 用ブラウザ以外に未対応仕様の範囲が広い必ず接続検証が必要認証基盤の普及が十分でないクラウドの SAML2.0 対応 ADFS2.0 OpenID の普及によりブレークする可能性あり 20

SAML 方式の採用例採用されているバージョン (SAML1.1 と 2.0) 及びプロファイル (Browser-Artifact と Browser-POST) は様々 SP/IDP SAML バージョンプロファイル備考 1.1 2.0 Browser -Artifact Browser -POST Google Apps SP SaaS SP 起動のみ Salesforce.com SP SaaS gooid/ マスター ID IDP/SP ネット TV2.0 IDP/SP 家電 Juniper Secure Access IDP 起動のみ (Liberty Day 2007 事例 ) プロバイダー間の連携 IDP/SP SSL-VPN 機器 My docomo IDS/SP (Liberty DAY2008 事例 ) サービス間の連携 LotusLive SP SaaS IDP 起動のみ Windows Azure SP SaaS (WS-Federation もサポート ) 21

認証連携方式で必要な仕様は? 実際にニーズが高い仕様は限られます仕様 SAML 1.1 Libert y ID-FF SAML 2.0 OpenID IceWall SSO SAML2.0 オプションシングルサインオン (SSO) SSO アサーションによるユーザ属性引渡しシングルログアウトユーザ操作による ID マッピング SSO 後のユーザ属性取得 22

統合認証 ( ユースケース ) 23

統合認証におけるユースケース統合認証による多様なユースケースが考えられているグループ企業が提供する複数のインターネットサービスの統合認証 ( ポータルモデル ) Public Cloud との統合認証 ( クラウドモデル ) 保持しているIDを活用した他サイトへのログイン (BtoCモデル) グループ企業間で共有するサービスの統合認証 BtoBモデル ) アウトソーシング先との統合認証 (BtoEモデル) 24

証ニュース認証ユーザカード認証交通認ポータルモデルでの利用イメージ統合認証によりサービス間の連携を強め自グループへのユーザの囲い込みブランディングイメージを高める統合認証の実現によりそれぞれのサイトごとの個別のアカウント作成や住所などのデータ入力が不要となる 1 度の認証ですべてのサービスにログイン可能となる統合認証 Portal Circle of Trust 証ショッピング認標準仕様 25

認証クラウドモデルでの利用イメージ社員人事統認総務合社内の認証基盤を拡張してクラウドコンピューティングとの接続証Enterprise Portal 住宅ローンユーサ認社内証Cloud Service Provider Cloud Service Provider 26

IDP にとっては保持している ID を活用するメリット SP にとっては IDP のユーザからアクセスしてもらえるメリット相互認証を結んでいるサイト間での認証連携 A さんが登録している会員サイト自宅住所決済情報を保持 3ID/ パスワード入力 BtoCモデルでの利用イメージ 1アクセス 2 同意画面認証連携合3 認証結果送付先与信枠などを送付認証統SP 証券サイトニューヨーク IDP XYZ 会員サイト SP 4 決済依頼 ( パッチ ) ショッピングサイト A さんはログイン ID を保持していないが XYZ の ID を利用して買い物ができる 27

BtoC モデルでの利用イメージ OpenID や SAML を実装することにより単一 ID を利用した複数サイトへのログインが可能となるしたがって BtoC においては大手 ID プロバイダとなることが戦略的に重要 28 IDP SP IDP SP IDP と SP が一体独立 IDP SP IDP SP IDP SP IDP SP IDP SP IDP SP OpenID/SAML により統合 SP SP 選ばれた IDP のみ生き残る IDP SP IDP SP SP SP SP

BtoB モデルでの利用イメージ本社のアプリケーションを関連会社に開放するモデル Case 本社の業務システムを関連会社間で共有業務システムを使用する関連会社のユーザのアカウントを本社側に登録して対応関連会社のアカウントが増え管理が煩雑化しアカウントの消し忘れなどのセキュリティの問題も発生本社サイトと関連会社サイト間での認証連携に実現によりユーザが関連会社サイトで認証済みであれば本社サイトへのアクセスを可能とする本社側に関連会社のアカウントを追加する必要がない本社 Internal Cloud Service 製品情報出荷情報価格情報関連会社 A 関連会社 B 29

30 BtoB モデル社外者にアカウントを発行する際の問題を解決課題 GSSO 導入前 GSSO 導入後アカウント発行業務のコスト社外者にアカウントを発行するには非常に手間がかかるユーザ属性の鮮度ユーザの属性情報 ( 連絡先等 ) がタイムリーに更新されているかどうかわからず管理が難しいアカウントの不正利用不要アカウントの放置アカウントが適切に管理されているかどうかわからず管理が難しい担当者間で使いまわしされていてもわからず管理が難しい異動等によって不要になったアカウントは放置されていてもわからず管理が難しい解決ユーザは自社で日常使っているアカウントのみを使用するため社外者のアカウントを管理する業務はなくなる日常的に使用しているアカウントに紐付いたユーザ情報 ( 連絡先等 ) はタイムリーに更新されることが期待できる日常的に使用している自分のアカウントは各自が適切に管理することが期待できる ( パスワードの管理等 ) 自社のアカウントは通常人事情報に結びついているため異動退職等によって使われなくなったアカウントは適切に処理されることが期待できる

BtoE モデルでの利用イメージ職域 ( 企業従業員 ) 向けサービスを利用する際のイメージ Case C 社は契約企業の福利厚生サービスを提供各契約企業別の特典を掲載した福利厚生専用 Web サイトを各契約企業のイントラネットのポータルからリンクしてもらっている各契約企業の社員は自社向けの福利厚生専用 Web サイトに共通のアカウント (1 種類の ID/ パスワード ) を共有してログイン C 社はアカウントの共有はセキュリティ上問題ではないかと考えているしかし各契約企業のアカウントの入手や管理は考えていない C 社の福利厚生専用 Web サイトと各契約企業のポータルサイト間での認証連携の実現により契約企業の社員としてポータルサイトで認証済みであれば自社向けの福利厚生専用 Web サイトへのアクセスを可能とできる C 社が各契約企業のアカウントを管理する必要なし契約会社 X X 社ポータルサイト X 社向け福利厚生ページユーザ DB 人事総務福利厚生宿泊施設旅行補助金申請財形貯蓄契約会社 Y Y 社ポータルサイト Y 社向け福利厚生ページユーザ DB 人事総務福利厚生補助金申請スポーツクラブ財形貯蓄サービス会社 C 社 31

HP IceWall SSO のご紹介 32

HP IceWall SSO とは HP IceWall SSO は日本 HP が国内で開発し製品として提供している NO.1* Web シングルサインオンソリューション (Single Sign On=SSO) です HP IceWall SSO は 1997 年の発売以来日本国内においてイントラネットサービスや BtoC BtoB サービス等の多くのシステムへの導入実績があり現在までに合計 4,000 万以上のユーザライセンスが販売されています * 出荷金額ベース国内 Web シングルサインオンパッケージ市場 No1 日本 HP:35.2%( 出典 : ミック経済研究所情報セキュリティソリューション市場の現状と将来展望内部統制型情報漏洩防止型ソリューション編 2009 2009 年 6 月刊 ) 33

HP IceWall SSO とは ~ シェアについて ver.8.0 R3 までに 4000 万超ユーザライセンスを販売 3 つの市場調査において業界市場シェア NO.1 に輝くシングルサインオンソリューションです富士キメラ総研 2009 ネットワークセキュリティビジネス調査総覧シングルサインオン市場シェア 2008 年 ( 実績 ) 35.6% Web シングルサインオンパッケージ 2007 年 2008 年の競合製品とのシェア比較図 HP IceWall SSO ミック経済研究所情報セキュリティソリューション市場の現状と将来展望内部統制型情報漏えい防止型ソリューション編 2009 Web シングルサインオンパッケージ市場シェア 2008 年 ( 実績 ) 35.2% ITR ITR Market View: アイデンティティ管理 / 内部統制市場 2008 SSO 製品市場シェア 32.8% 2007 年 2008 年 Web シングルサインオンパッケージ市場シェア NO.1* * 出荷金額ベース国内 Web シングルサインオンパッケージ市場 No1 日本 HP:35.2%( 出典 : ミック経済研究所情報セキュリティソリューション市場の現状と将来展望内部統制型情報漏洩防止型ソリューション編 2009 2009 年 6 月刊 ) 34

HP IceWall SSO とは ~ 導入実績多くのリーディングカンパニーに HP IceWall SSO を認証基盤としてご採用頂いています ver.8.0 R3 までに 4000 万超ユーザライセンスを販売 Web シングルサインオンパッケージ市場シェア NO.1* * 出荷金額ベース国内 Web シングルサインオンパッケージ市場 No.1 日本 HP:35.2% ( 出典 : ミック経済研究所個人認証型セキュリティソリューション市場の現状と将来展望 2009 ) お客様名製品エディションシステム内容ユーザ数イーヒルズ ( 株 ) 様 ( 森ビルグループ ) EE ビジネスポータル (EIP) 5 万 NTT コミュニケーションズ ( 株 ) 様 EE+PKI BtoB(ASP) 数万 ( 株 )NTT データ様 EE+PKI 保険共同ゲートウェイ無制限 ( 株 )NTT ドコモ様 EE BtoC 数百万 KDDI ( 株 ) 様 EE ASP( ファイル交換サービス - 住友商事 ( 株 ) 様 EE イントラネット 1.3 万 ( 株 ) 損害保険ジャパン様 EE 代理店システム数万トヨタ自動車 ( 株 ) 様 EE イントラネットエクストラネット GSSO(SAML) ( 株 ) 三菱東京 UFJ 銀行 ( 旧 UFJ 銀行 ) 様 EE+PKI インターネットバンキング数百万 ( 株 ) ユーフィット (UFJ グループ ) 様 EE マーケットプレイス 3 万十数万建設会社 EE イントラネット 1000~ 大手損保 EE+PKI 代理店システム 10 万 ~ 公共機関 RP BtoC - 証券会社 EE イントラネット 4000 証券会社 EE BtoC 10 万 ~ 新聞社 EE イントラネット 5000 保険会社 EE イントラネット 10 万ユーティリティ会社 EE イントラネット 5 万通信会社 SE BtoB 1000~ 大学 SE イントラネット 1000~ サービス会社 EE BtoC 100 万 EE=Enterprise Edition, SE=Standard Edition 35

HP IceWall SSO とは ~ 基本構成 HP IceWall SSO はエージェントレスで OS や Web アプリケーションに制限の少ないリバースプロキシ方式を主体とした Web シングルサインオン製品です HP IceWall SSO 基本構成図 POINT 1 リバースプロキシ方式すべてのトランザクションが IceWall サーバを通過認証認可チェックしアタックを防御する働きをします HP IceWall SSO POINT 2 エージェントの配布不要 OS Web アプリに制約が少ないネットワーク Web アプリケーションクライアント PC IceWall サーバ Web アプリケーション POINT 3 認証モジュール IceWallサーバからの要求を受け認証 DB 上の認証認可情報と照合し, アクセスログを出力認証サーバ Web アプリケーション 36

HP IceWall SSO が提供する 5 つのメリット HP IceWall SSO は利便性のみを追求する単なるポイントソリューションにはとどまらず複数の課題を解決し企業あるいは対外サービス全体で IT の最適化に貢献します Reliability 信頼セキュリティ強化で企業の信頼性を向上させます企業が取り扱う個人情報機密情報などの情報資産をセキュリティを強化することで守りお客様や社会から信頼される企業になるためのサポートをします Care 安心日本開発の製品で日本企業への細かいケアを行いますグローバル IT 企業である HP の技術と経験をベースに日本国内で開発をしています機能サポートの両面から日本の企業文化や組織構造に合わせたきめ細やかなケアを行いこれによって常に安心してお使いいただくことが可能です Comfort 快適クオリティの高い製品で快適なワークスタイルを実現しますきわめて高品質で使いやすい製品です運用者の負担とエンドユーザがアプリケーションを使用する際のストレスを軽減し一歩進んだ快適な仕事環境を実現します Flexibility 柔軟幅広いビジネス規模ニーズに柔軟に応え未来の可能性を支えます幅広い価格体系で企業の規模ニーズに合った適切な導入ができその高い拡張性と他のソリューションとの連携で長く付き合える製品を提供し企業の未来の可能性を支えます Professional 確実専門的な知識と確実なサポートで企業のビジネスを止めません HP が培ってきた豊富な導入経験と知見に基づき短期間での確実な導入が可能ですまたビジネスニーズに対応した信頼性の高いサポートで導入後のご相談やご要望にもスピーディーに対応し企業のビジネスを止めません 37

Comfort 快適 HP IceWall SSOの処理性能リバースプロキシ型はプロキシ部分に負荷が集中するためボトルネックになると考えられがちですが HP IceWall SSO は処理性能が高いためボトルネックにはなりませんまた認証サーバ部分と認証 DB についても非常に高速です現状では極めて大規模なサイトでも数千ヒット / 秒数百ログイン / 秒程度と考えられます HP IceWall SSO は十分それに耐えうる製品構造をもっています高速処理性能の仕組みプロキシ専用 1,000hit/sec/ 台以上 dfw->mcrp により一層の高速化を実現 HP IceWall SSO IceWall サーバ Web アプリ Network MCRP クライアント PC マルチスレッドコネクションプール B*Tree などにより高速処理可能 10,000hit/sec 以上認証モジュール認証 DB 認証サーバ書き込みが早い DB タイプを使用可能ログインログアウト時に各 1 度のみアクセス 1,000 ログイン /sec 以上 38

Flexibility 柔軟リバースプロキシによる代理認証 HP IceWall SSO はリバースプロキシ型接続においても現在導入済のシステムを選ばず一部の特殊環境を除きどんな環境にでも適応させることができます HP IceWall SSO IceWall サーバ HTTP ヘッダでの属性情報引き渡し例 : Suzuki Ichiro 自動 Form 認証代行認証例 : user01 ***** 自動 Form 認証代行認証例 : AAAA *** 認証なし例 ) 新規既存の Web アプリ認証あり Form Basic 例 ) パッケージ Web アプリ等 Webアプリケーション Type A 属性情報でのアプリケーションのコントロール Web アプリケーション Type B HP IceWall SSO の ID/ パスワードを利用した認証認証 DB サーバ HP IceWall SSO の ID/ パスワード USERID PASSWD Name 属性情報アプリケーションの ID/ パスワード USERID PASSWD 認証あり Form Basic 例 ) パッケージ Web アプリ等 Webアプリケーション Type C アプリケーション管理のID/ パスワードを利用した認証 user01 ***** Suzuki Ichiro AAAA *** 39

その他他認証システムとの連携一覧 HP IceWall SSO は多様な認証製品と連携することができますベンダー製品名種類 IW との連携 RSA セキュリティ ( 株 ) RSA Adaptive Authentication for Web RSAセキュリティ ( 株 ) RSA Secure ID ハードウェアトークン ( ワンタイムパスワード ) リスクベース認証連携ソフトウェア提供 ( 有償オプション ) 設定で対応ソニー株式会社 Felica IC カード設定で対応ソフトバンクBB 株式会社 SyncLock 携帯電話を使用した認証 ( ワンタイムパスワード ) ( 株 ) ソリトンシステムズ SmartOn IC カード設定で対応連携ソフトウェア提供 ( 有償オプション ) 日本ベリサイン株式会社 VeriSign ManagedPKI 電子証明書連携ソフトウェア提供 ( 有償オプション ) パスロジ株式会社 PassLogic マトリクス認証 ( ワンタイムパスワード ) ベンダーより接続用モジュール提供日立ソフトウェアエンジニアリング株式会社静紋生体認証 ( 指静脈認証 ) ベンダーより接続モジュール提供マイクロソフト株式会社 Microsoft Windows Windows 統合認証連携ソフトウェア提供 ( 有償オプション ) 株式会社ディーディーエス ID Manager for HP IceWall クライアントサーバーアプリケーションID パスワード自動代行入力設定で対応株式会社ディーディーエス EVE MA 多要素認証プラットフォーム設定で対応大日本印刷株式会社 TranC ert Enterprise IC カード ( クライアント証明書 ) 設定で対応 40 株式会社 VASCO Data Security Japan 株式会社 VASCO Data Security Japan VASCO DIGIPASS ハードウェア / ソフトウェアトークン ( ワンタイムパスワード ) 設定で対応 Vacman ハードウェア ( ワンタイムパスワード ) 設定で対応

Flexibility 柔軟 HP IceWall SSOが提供する2つの方式 HP IceWall SSO では代表的な 2 つの型を使ったリバースプロキシ型とエージェントモジュール型を提供していますエージェントモジュール型 Network クライアント PC エージェントモジュール型のポイントブラウザからアクセスする際にボトルネックになる箇所が少なくパフォーマンスに優れている Web サーバごとにエージェントを埋め込む必要があるエージェントモジュールが Web サーバのプラットフォームに対応していない場合がある Web アプリリバースプロキシ型エージェントエージェントエージェント http://www.backend1.com/ http://www.backend3.com/ http://www.backend2.com/ 認証サーバリバースプロキシサーバ http://www.rproxy.com/ 認証サーバ Web アプリ 41

Care 安心モバイル対応 HP IceWall SSO はモバイルに完全対応国内携帯電話の動作検証を随時実施していますモバイルに完全対応しています四半期ごとに国内の携帯電話での検証を実施新機種仕様変更に柔軟に対応しています URL にセッション ID を埋め込む機能でクッキーに対応していないモバイル端末にも利用可能例 :http://www.xx.xx.xx/?xxxx モバイル用テンプレート (HTML) 対応キャリア 42

HP IceWall SSO による統合認証 43

HP IceWall SSO における標準認証方式シングルサインオンソリューションの HP IceWall SSO では統合認証を実現するための標準方式を 3 種類ご提供しています HP IceWall SSO の標準統合認証方式 SAML による統合認証の実現 HP IceWall SSO は SAML2.0 仕様を実装したオプション製品を提供しています SAML2 SSO-Profile オプション SAML2 エージェントオプション OpenID による統合認証の実現 HP IceWall SSO では HP IceWall SSO を導入したサイトに OpenID Provider の機能を実装させるモジュールを提供しています OpenID 連携プロバイダモジュール Shibboleth による統合認証の実現 HP IceWall SSO では Shibboleth との連携情報についての情報を設定ガイドとして提供しています HP IceWall SSO と Shibboleth との連携方法設定ガイド 44

OpenIDソリューション OpenID for Java オープンソースのライブラリであるOpenID for Javaを利用してIceWall SSOを OpenID プロバイダーにすることができます 8 1 9 2 OpenID Relying Party OpenID Provider OpenID サーバ 1OpenIDに対応したサービス提携サイト (OpenID Relying Party) へアクセス 2OpenID Providerへリダイレクト ( 未認証の場合 :3へ認証済みの場合 :7へ) 3OpenID 連携プロバイダモジュールがユーザをフォワーダへ誘導 4フォワーダがユーザに認証を要求ユーザがID/PWD 入力 5 認証モジュールがユーザを認証しCookieを渡す 6 認証 CookieをOpenID 連携プロバイダモジュールに渡す 7OpenID 連携プロバイダモジュール (Servletエージェント) と認証モジュール間で認証 Cookieを照合 8OpenID 連携プロバイダモジュール (OpenID4JAVAライブラリ) が認証結果をOpenIDのフォーマットで送信 9OpenIDに対応したサービス提携サイト (OpenID Relying Party) へのアクセスが可能に 6 Servlet エージェント OpenID 連携プロバイダモジュール OpenID4JAVA ライブラリ 7 Login UserID Passwd 4 3 フォワーダ (dfw) IceWall サーバ 5 認証モジュール (certd) 認証サーバ認証 DB 45

IceWall SSO Shibboleth ソリューション大学 / 研究機関の認証連携で利用されている SAML をベースとしたプロトコル (UPKI プロジェクト ) SP: 認証依存サイト Tomcat SAML-Login module dfw(rp) Apache 4 IDP: 認証提供サイト Servlet Agent Tomcat IDP Auth module certd dfw 3 dfw certd 1 要 JAVA Agent Library for Extend Protocol Option 2 46 IceWall の接続のために用意する IDP Auth moduleと SAML-Login moduleはサンプル提供 Browser IDP Auth module : 10(step) のサーブレット SAML-Login module : 200(step) のサーブレット

サイト間認証連携 (GSSO) 導入ソリューション Google Apps との連携社内の ID 管理システムと GoogleApps の ID の一元管理が行えますさらに社内の各アプリケーションや Google Apps に対しシングルサインオンできます 47

本ソリューション導入のメリット本ソリューション連携のメリットを以下に記載しますシステム利用ユーザ管理するID パスワードは1つだけとなります GmailをはじめとしたGoogle AppsサービスにログインするためにID パスワードを入力する必要がありませんシステム管理者社内システムにおけるユーザ管理( 追加変更削除 ) がシームレスにGoogle Appsと連携されるため運用負荷が大幅に軽減します認証基盤によりセキュリティが強化されます追加のソリューション連携 ( 他のソリューションとの追加連携やHP IceWall SSO のMacアドレス認証オプションの導入など ) 今後も追加されるSaaSサービスへの連携など拡張性の高いシステムとなります 48

HP IceWall SSO における Windows 環境との連携 49

Flexibility 柔軟 Windows 環境との統合 HP IceWall SSO はマイクロソフト社と連携し社内の Windows 環境との融合をすすめています LOG IN Windows 統合認証 ID PASS dfw DGO MOSS/OWA 接続 AD LDAP AD/LDS 認証 DB Certd 50 Active Directoryを中心とした環境セキュリティ属性によるアクセス制御 Identity Manager LDAP/Oracle を中心とした環境

AD RMS と SharePoint テクノロジとの連携 AD RMS と SharePoint テクノロジとの連携 1 ファイルをそのままアップロード指定された文書管理エリアに保存されると自動的にセキュリティ設定が適用される作成者は編集可能作成者側利用者側セキュリティ自動設定作成者定2 権限が設定されたドキュメントをダウンロード印刷不可閲覧者ファイルが漏えいしても閲覧できない主なセキュリティ設定項目印刷許可 / 不許可スクリーンショット禁止 / コピー禁止閲覧の有効期限 MOSS Microsoft Office SharePoint Server 2007 の略情報共有ポータル検索などの機能を持つ MOSS 連携 MOSS と連携すれば自動的に権限が設定される MOSS 上で全文検索できる 51

IceWall SSO を利用したインターネット経由での AD RMS と SharePoint テクノロジとの連携 RMS+MOSS IRM+ IceWall の推奨するシステム構成を以下に示します FB 認証 (SSL) DMZ クライアントインターネット IW 用 UID/IW 用 PWD 認証 DB Icewall 基本認証イントラネット MSRPC RMS MOSS Active Directory クライアント ( ドメイン参加 ) FB 認証 ( 非 SSL) 認証 DB 基本認証 AD 用 UID/ AD 用 PWD IRM ライブラリ (docx,pptx etc) 52 IW 用 UID/IW 用 PWD Icewall 内部ネットワーク (Windowsドメイン)

HP IceWall SSO ロードマップ 53

HP IceWall SSO 製品リリース状況プロジェクトとしてスタート ver.1.x ver.5.0i ver.5.1i ver.6.0 ver.7.0 ver.8.0 ver.8.0r2 ver.8.0r3 1997 2001/06 2002/02 2002/11 2003/10 2006/01 2007/04 2009/1 リバースプロキシシングルサインオン LDAP 対応 i モード対応外部 I/F による多様な認証に対応 Source IP による認可の対応パスワード強化超大規模トランザクション対応ノンバッファリング対応フォワーダ Linux 対応 AD 対応 Liberty Alliance ver.1.0 対応 Linux 完全対応 Identity Manager クロスサイトスクリプティング対応 Windows 統合認証エージェント型認証 Dynamic Menu Portal 自動フォーム認証機能 API 機能拡張ログ拡張 GSSO 対応 64bit 対応 (HP-UX) Configuration Manager Agent モジュールの拡大オリジナル URL 利用 OSS 対応自由度の高い構成を実現 UserExit にて動的にグループを作成する API の追加 MCRP2.0 SAML2 Agent Certd 分散化 (ICP2.0) 未ログイン時の P OST 文継承 HEADER の編集強化 MCRP2.1SP1 Agent 2007 UR2 Agent Option 代理店システム BtoC Broad Band Liberty Alliance イントラネット EIP GSSO Virtual Company 前バージョン最新バージョン 54

HP IceWall ファミリー HP IceWall は認証アクセス管理を中心とした以下のようなソリューション展開を行っています監査 Web サイトデータ File 認証データ HP Compliance Log Warehouse ID 管理アクセス管理 HP IceWall Identity Manager ビジネスロジック /UI HP IceWall DMP HP IceWall File Manager 認証 HP IceWall SSO SAML2 エージェントオプショングローバルシングルサインオン企業が守るべき情報資産 WebサイトデータFile 認証データ 55

HP IceWall ファミリーのご紹介要件シングルサインオン認証認可セキュリティ強化製品 HP IceWall SSO 機能拡張用オプション ( 抜粋 ) HP IceWall SSO Dynamic Menu Portal( 無償 ) HP IceWall SSO Configuration Manager( 無償 ) HP IceWall SSO Performance Monitor( 無償 ) HP IceWall SSO エージェントオプション HP IceWall SSO JAVA Agent Library HP IceWall SSO Domain Gatewayオプション HP IceWall SSO SSLオプション HP IceWall SSO クライアント証明書オプション HP IceWall SSO SAML 対応各オプション (IdP 用 SP 用 ) HP IceWall SSO OpenID 連携プロバイダモジュール HP IceWall SSO MACアドレス認証オプション HP IceWall MCRP HP IceWall MCRP SSL オプション ID 管理 HP IceWall Identity Manager ファイルサーバ HP IceWall File Manager 56

HP IceWall SSO 周辺サービスとお問い合わせお問い合わせ HP カスタマーインフォメーションセンター http://www.hp.com/jp/iw_contact 03-6416-6660 (HPカスタマーインフォメーションセンター) 受付時間 : 月曜日 ~ 金曜日 9:00-19:00 土曜日 10:00-17:00 ( 日祝祭日年末年始および5 月 1 日を除く ) お見積り資料のご請求 http://www.hp.com/jp/sso_est 最新詳細情報 HP IceWall SSO 公式サイト http://www.hp.com/jp/icewall オンラインデモ http://h50146.www5.hp.com/products/soft ware/security/icewall/family/demo/index.ht ml HP IceWall SSO 評価版ダウンロードサイト http://www.hp.com/jp/icewall_download 各種サービス導入サービスエクスプレスサービス ( 短期間低料金の定型構築パッケージサービス ) コンサルティングサービス ( お客様のあらゆるニーズに応じる個別サービス ) 定期技術トレーニングサービス海外への導入サポートサービス低価格なStandard Edition, 定型パッケージもございます 57

HP IceWall SSO 教育コースのご紹介 HP 教育サービスでは HP IceWall SSO 関連の研修をご提供していますこれらの研修を通して Web アプリケーションの基礎技術や HP IceWall SSO の概念 / 機能 / 利用方法を習得できます Web アプリケーションテクノロジ概要 YS60908 1 日間 ( 税込 42,000) HP IceWall SSO トレーニングの内容をより確実に理解していただくためのお勧め前提コースです HP IceWall SSO トレーニング HP IceWall SSO トレーニング II YS61043 1 日間 ( 税込 57,750) HP IceWall SSO の導入を行う際に必要な知識を習得するためのコースです他の Web サーバとの連携情報継承機能 (Web サーバに認証データを引き渡す機能 ) なども実習を通し体験することができます YS60917 1 日間 ( 税込 57,750) パフォーマンス調整項目フェイルオーバの機能やシステム管理者アプリケーション開発者から要望の多い web サーバとの高度な接続方法について実習を交えて説明いたしますその他の情報についてHP 教育サービスの詳細については http://www.hp.com/jp/educationをご参照くださいお問い合わせお申込はHP 教育サービス受付へ 0120-130190 月 ~ 金 9:00~12:00/13:00~17:00( 土日祝祭日年末年始および5/1を除く ) 0120-802357 (FAX24 時間受付 ) dl1.cec@hp.com (e-mail) 58

プレゼンテーション タイトル