IceWallソフトウェア認証連携(フェデレーション)ソリューションIceWallFederationのご紹介

Similar documents
IceWall FederationによるOffice 365導入のための乱立AD対応ソリューション(オンプレミス型)

認証連携(フェデレーション)ソリューションIceWall Federationのご紹介

IceWall Remote Configuration Managerのご紹介

CA Federation ご紹介資料

How to Use the PowerPoint Template

SeciossLink クイックスタートガイド(Office365編)

統合 ID 管理システム SECUREMASTER/EnterpriseIdentityManager(EIM) 連携先システム : AD 1, 業務サーバ 3 監査オプション : あり ユーザ ID 情報を一元管理し 業務システム (CSV インポートが可能なシステム ) や AD などの ID

IWF30SupportMatrix_v3.8.xlsx

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

Active Directory フェデレーションサービスとの認証連携

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

FUJITSU Cloud Service K5 認証サービス サービス仕様書

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

SinfonexIDaaS機能概要書

PowerPoint プレゼンテーション

学認とOffice 365 の 認証連携

SeciossLink クイックスタートガイド Office365 とのシングルサインオン設定編 2014 年 10 月株式会社セシオス 1

PowerPoint プレゼンテーション

OpenAMトレーニング

KS_SSO_guide

OpenAM(OpenSSO) のご紹介

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

IceWallとarubaが切り開く新たな統合認証基盤

4. 本オプションで提供する機能 基本機能 Microsoft Office 365 マイクロソフト社 Microsoft Office 365 の機能をそのまま利用できます アクティブディレクトリ連携サービス (Active Directory Federation Service: 以下 ADF

Title slide with picture

SeciossLink クイックスタートガイド

PowerPoint プレゼンテーション

シングルサインオンしてますか? 2014/11/21 第 6 回 OpenAM コンソーシアムセミナー 1

PowerPoint プレゼンテーション

クラウド&モビリティ時代に求められる統合認証基盤

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

IM-SecureSignOn

POWER EGG 3.0 Office365連携

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

OSSTechプレゼンテーション

目次 1. はじめに 当ドキュメントについて 環境設計 フロー モデルの設計 ログイン タイプの決定 その他情報の決定 IBM Connections Cloud との

KDDI Smart Mobile Safety Manager Mac OS キッティングマニュアル 最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

SlinkPass ユーザマニュアル

Office 365 管理者マニュアル

4. 環境要件 WebWrapper および WebWrapper 管理サーバ <Windows 版 > Windows2000Server ( サービスパック 3 また 4 適用済 ), Windows Server 2003 <Solaris 版 > SPARC CPU を搭載する Sun 製ワ

OpenAM 9.5 インストールガイド オープンソース ソリューション テクノロジ ( 株 ) 更新日 : 2013 年 7 月 19 日 リビジョン : 1.8

(8) [ 全般 ] タブをクリックします (9) [ インターネット一時ファイル ] の [ 設定 ] ボタンをクリックします (10) [ 保存しているページの新しいバージョンの確認 ] から [ ページを表示するごとに確認する ] をクリックします (11) [OK] ボタンをクリックしていき

Microsoft PowerPoint - Skype for business の概要.pptx

Microsoft Word - Gmail-mailsoft設定2016_ docx

Microsoft Word - MyWebPortalOffice_Levelup.doc

Microsoft Word - Gmail-mailsoft_ docx

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

V-CUBE One

Microsoft PowerPoint _セミナー資料(オージス).pptx

OneDrive for Businessのご紹介

Notesアプリが iPadで動くDomino Mobile Apps ご紹介

Mobile Access IPSec VPN設定ガイド

PowerPoint Presentation

クラウド&モビリティ時代に求められる統合認証基盤

報道関係者各位 プレスリリース 2019 年 01 月 15 日 株式会社ネオジャパン グループウェア desknet's NEO バージョン 5.2 を 1 月 15 日に提供開始 ~ 業務アプリ作成ツール AppSuite との連携を強化 他にも AppSuite 連携 API 公開など多数の機

スライド 1

Workspace Gate ~ Workspace ONE(AirWatch) 連携 Cloud ホワイトペーパー ~ 1. Workspace Gate とは Workspace ONE(AirWatch) と社内サーバーやクラウドとの連携に必要なゲートウェイサーバーを Azure/AWS など

KDDI Smart Mobile Safety Manager Apple Business Manager(ABM) 運用マニュアル 最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

2012年 全体会議

今後の認証基盤で必要となる 関連技術の動向 株式会社オージス総研テミストラクトソリューション部八幡孝 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved.

スライド 1

目次 はじめに 1サーバ作成 2 初期設定 3 利用スタート 付録 Page.2

metis ami サービス仕様書

本書はクラウド型 Dynamics CRM Online に基づいておりますが 設置型の Dynamics CRM 2013 についてもほぼすべての内容が適用できます 本書は 2013 年 10 月執筆時点での Dynamics CRM Online 製品リリース版に基づ いており 機能強化などによ

The Microsoft Conference 2014 MN-212 ROOM D

PowerPoint Presentation

LDAP Manager SupportList

_EMS概要_クラウドを使う上で考慮すべきこと(セキュリティ視点で60分語るv4)_E5まで

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

AXIOLE V Release Letter

2. バージョンアップ内容 intra-mart WebPlatform/AppFramework Ver.7.1 および Ver.7.2 に対応いたしました SAP JCo 3.0.x に対応いたしました 3. 製品概要 IM-ERP リアルコネクトは SAP システム内のデータをリアルタイムに取

スライド 1

ご利用ガイドについて 1: サービス概要編 2: 導入編 本書 フレッツ あずけ ~ る PRO サービスの概要 ご利用開始するまでの手順についての説明フレッツ あずけ ~ る PRO ご契約後にご覧ください 3 : 運用編基本機能 4: 運用編各機能 ファイル操作や自動バックアップの基本的な機能の

スライド 1

スライド 1

2. 製品概要 IM-ERP リアルコネクトは SAP システム内のデータをリアルタイムに取得 更新するための API SAP リアルタイム連携 API を提供いたします またこれらの API を利用した業務テンプレートが同梱されています 各機能の詳細や設定方法に関しては 各マニュアルまたはセットア

スライド 1

サービス内容 サービス内容 ここでは サービス内容についてご案内します このたびは 本サービスをお申し込みいただきまして 誠にありがとうございます この手引きは サービスをご利用いただく方 ( 一般利用者 ) 向けの内容で構成されております お客様のご利用環境によってはご紹介した画面や操作とは異なる

BACREX-R クライアント利用者用ドキュメント

Shibboleth Office365 Education , Office365, 8 26 Office365 Shibboleth., Shibboleth, Office365,. 1.,,,,., LMS.,,, ICT,, Google App

目次 1 章はじめに 本書の利用について Web ブラウザーについて 章 kintone でタイムスタンプに対応したアプリを作成する kintone にログインする kintone でアプリを作成する

ek-Bridge Ver.2.0 リリースについて

ROBOTID_LINEWORKS_guide

OSSTechプレゼンテーション

1. はじめに 1.1. Office365 ProPlus ライセンスについて 九州産業大学に在籍中の学生 教職員の方は Office365 ProPlus のライセンスを 1 つ保持しています 1 つの Office365 ライセンスで Office365 ProPlus( 最新版の Offic

HDC-EDI Base Web/deTradeII送受信機能起動時におけるJava8のセキュリティ警告とその回避策について

メール利用マニュアル (Web ブラウザ編 ) 1

Windows ストアを介さないアプリの配布 企業内への Windows 8 アプリの展開 Windows 8 サイドローディング

はじめに このマニュアルは BACREX-R を実際に使用する前に知っておいて頂きたい内容として 使用する前の設定や 動作に関する注意事項を記述したものです 最初に必ずお読み頂き 各設定を行ってください 実際に表示される画面と マニュアルの画面とが異なる場合があります BACREX-R は お客様の

Windows Server 2016 Active Directory環境へのドメイン移行の考え方

KDDI Smart Mobile Safety Manager ios キッティングマニュアル 最終更新日 2018 年 12 月 13 日 Document ver1.0 (Web サイト ver.9.5.0)

多要素認証が求められる背景と IceWall MFA概要

製品概要

GXS-I WebIEAS オペレーション ガイド 版 : 第 1 版 2007 年 01 月 22 日 第 2 版 2011 年 12 月 02 日 第 3 版 2012 年 04 月 27 日 第 4 版 2013 年 06 月 17 日 ( 本書 ) GXS 株式会社 (c) 20

OneDrive for Businessのご紹介

サイボウズ Office「社外からアクセス」

サービス内容 サービス内容 ドメインサービス Web サービスのサービス内容についてご案内します このたびは ドメイン /Web サービスをお申し込みいただきまして 誠にありがとうございます 本冊子は ドメイン /Web サービスの運用を管理される方向けの内容で構成されております お客様のご利用環境

自己紹介 八幡孝 ( やはたたかし ) 株式会社オージス総研 ThemiStruct ソリューション開発リードアーキテクト ThemiStruct 関連サービスの東日本エリア責任者 OpenAM コンソーシアム活動メンバー OpenID ファウンデーション ジャパン Enterprise Ident

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

目次 1. はじめに 証明書ダウンロード方法 ブラウザの設定 アドオンの設定 証明書のダウンロード サインアップ サービスへのログイン

Transcription:

2016 年 12 月更新 ver.4.4 ソフトウェア認証連携 ( フェデレーション ) ソリューション Federation のご紹介日本ヒューレット パッカード株式会社テクノロジーコンサルティング事業統括 ソフトウェア本部

目次 1. 統合認証基盤に求められる新たなニーズ 2. Federation / Federation Agent のご紹介 3. Federation クラウドプロビジョニングツールのご紹介 4. Federation OIDC ソーシャルログインのご紹介 5. Office 365 導入のための乱立 AD 対応ソリューション ( オンプレミス型 ) 6. お問い合わせ 2

統合認証基盤に求められる新たなニーズ - クラウド利用時のシングルサインオン 3

クラウド普及に伴う新たな課題急速なクラウド普及により セキュリティ対策および利便性向上の両面において 改めてシングルサインオンの需要が急増しています オンプレミス / プライベートクラウド ( 企業内 ) パブリッククラウド ( 企業外 ) + ユーザ個別に ID/ パスワードを作成 更新されたら把握しきれない管理工数的にもセキュリティ的にも心配 認証基盤 管理者 ログの入手や管理はプロバイダーに依存 いざという時は迅速な対応が必要なのに ユーザー 社内の Web アプリも外部の Web サービスも同じように利用したい ( シングルサインオンしたい ) んだけど 4

認証連携 ( フェデレーション ) による解決認証連携 ( フェデレーション ) を利用することで パブリッククラウドへもセキュアなアクセス / シングルサインオンが実現できます オンプレミス / プライベートクラウド ( 企業内 ) + 社内システムからのアクセス ( ログイン ) のみとすることで 管理工数およびセキュリティリスクを軽減 パブリッククラウド ( 企業外 ) 統合認証基盤 ( SSO) 管理者 ユーザー 社内システムからパブリッククラウドへシングルサインオン 5

パブリッククラウドを利用する際の課題と認証連携による解決 パブリッククラウドを利用する際の課題 認証連携による解決 パブリッククラウドに対し 企業でのセキュリティポリシー整備及びルール化が未対応 パブリッククラウドへのアクセスに統合認証基盤を使用することによって 認証におけるセキュリティポリシーを全社に適用可能に スモールスタートが可能なため 部門単位での契約となりセキュリティポリシー適用が困難 社内イントラネットからパブリッククラウドへの SSO を実現し ユーザーの利便性 生産性の向上が可能に パブリッククラウドの ID パスワードは別管理となり クラウド側の ID 消し忘れ等のリスクや運用工数が増加 ユーザーの利便性も低下 パブリッククラウドへのアクセスを統合認証基盤 ( 社内イントラネット ) 経由にする * ことにより ログの集中管理が可能に ブラウザがあればログインできるため どのような PC からもアクセス可能となってしまう また ログの集中管理も困難 パブリッククラウドにダイレクトにアクセスを許可しない運用 * によって社内に認証可能な PC からのみパブリッククラウドを使用させることも可能に * パブリッククラウドへのダイレクトなアクセスを許可しない運用には クラウドサービス側での設定が必要です 認証基盤 認証連携にその機能はありません 6

Tips 認証連携の仕組み (SAML の場合 ) ユーザーは IdP に ID,PWD などを入力して認証を受ける 認証を受けた後は SP に直接アクセスしてサービスを利用する 1 IdP サイト A にログイン ユーザー 3 SP サイト B に ID/ パスワードの入力なしでアクセス可能に IdP(Identity Provider): ID を管理して認証を行うサイト SP(Service Provider): 実際のサービスを提供するサイト 2 ユーザーが認証済みであることを IdP から SP へ伝達 IdP(Identity Provider) サイト A SSO ソリューション リバースプロキシサーバー 信頼関係 SP(Service Provider) サイトB あらかじめ IdP と SP 間で信頼関係を結ぶ IdP はユーザーを認証し SP に認証情報 (ID や属性情報 ) を送る 認証サーバー / 認証 DB Federation サーバー ユーザーの ID/ パスワードが登録済み SP は IdP から送られた認証情報を受けて ユーザーにアクセスを許可する IdP と SP 間の送受信は SAML, Shibboleth, OpenID などの標準仕様が使用される 7

Tips 認証連携の仕組み (OpenID の場合 ) OP はユーザー情報 (ID,PWD など ) を管理する ユーザーは OP に ID,PWD などを入力して認証を受ける 3 OP にログイン OP(OpenID Provider) サイト A SSO ソリューション リバースプロキシサーバー Federation サーバー ユーザー 1RPにアクセス ユーザーが RP にアクセスする 認証を受ける OP を RP の画面上で選択する OP(OpenID Provider) : ID を管理して認証を行うサイト RP (Relying Party) : 実際のサービスを提供するサイト 2RP から OP へ認証を要求 4 認証結果の検証を要求 RP(Relying Party) サイト B 認証サーバー / 認証 DB RP が OP に認証を依頼し 認証結果を受け取る サイト間の通信には OpenID 2.0 を使用する ユーザーの ID/ パスワードが登録済み 8

Federation/ Federation Agent のご紹介 9

Federation / Federation Agent Federation/ Federation Agent は パブリッククラウドやプライベートクラウド環境と 認証連携 ( フェデレーション ) により シングルサインオンを実現します パブリッククラウド IdP(Identity Provider) : ID を管理して認証を行うサイト SP (Service Provider) : 実際のサービスを提供するサイト SP Google Apps SP salesforce.com SP Office 365 ユーザーは IdP にログインすれば SP も利用可能に IdP は SP にユーザー属性や認証済であることなど認証連携に必要な情報を譲渡 IdP 認証連携 Federation SSO 基本構成 プライベートクラウド SP ADFSに対応したサービス Federation Agent SP Federation Agent を使用して SAML SP 化したアプリケーション ユーザー SSO 10.0のご購入で Federationも追加費用無しでご使用いただけます Federation Agentは別途ご購入が必要です 10

Federation とは Federation は 認証連携における IdP(Id Provider) 機能を提供するものです SaaS サービス等 SP(Service Provider) とのシングルサインオンを実現します 2016 年 12 月現在 SP として接続が確認できているサービス / ソフトウェア Google Apps Salesforce Platform Office 365 クリプト便 cybozu.com KDDI Knowledge Suite(GRIDY) 出張なび Bulas Fileforce 福利厚生倶楽部 Box SECURE DELIVER GigaCC e- 革新サービス HPE Service Anywhere Aruba ClearPass Shibboleth の SP Windows Azure SharePoint ADFS 2.0 接続確認ができているサービスの最新状況は弊社 Web ページをご確認ください 他 多数 Federation は SSO 10.0 購入で標準提供されます 11

Federation の強み安心 迅速な環境構築を担保する 接続保証 認証連携 ( フェデレーション ) 機能を提供する製品の多くは SAML 等の 標準仕様に対応 していますが 各サービスとの接続確認 / 検証はユーザー任せという製品も少なくありません Federation は各仕様ではなく 実際の各サービスとの接続検証を行っているため 安心 迅速な環境構築が可能です 一般的な認証連携 ( フェデレーション ) 機能提供製品 Federation 導入時特定の対象サービス (SP) のインタフェースに合わせ SAML 等 適用する標準仕様の詳細を理解し 自身で設定 接続検証をする必要があります 導入時日本ヒューレット パッカードにて適切な標準仕様を用い 各サービス (SP) 単位での接続検証をしているため 安心かつ迅速に環境構築を行うことができます 運用時万が一 本番運用において障害が発生した場合 個々の標準仕様におけるエラーは 自身で解析してから各社製品窓口に問い合わせる必要があります 運用時接続検証された対象サービス (SP) との接続において障害が発生した場合 日本ヒューレット パッカードから問題解決のためのサポートを受けることができます 12

Office 365 との認証連携 SSO の認証 ( ログイン ) で Office 365 にアクセスできます 3 サービスには直接アクセス アプリ ユーザー デスクトップアプリ Outlook クライアント Lync クライアント その他クライアント Web ブラウザー Office 365 2Office365 と SSO が認証連携 (WS-Federation) LOG IN ID PW 1 認証は SSO で行う Office 365 のサービス Outlook Lync SharePoint Word/Excel/ PowerPoint Online など SSO ソリューション リバースプロキシサーバー Federation サーバー 認証サーバー / 認証 DB Web ブラウザーからのアクセスでは 他の Web アプリケーションともシングルサインオンができます 他の Web AP ( ) 13

は Office 365 との認証連携にも強い Office 365 との連携機能でマイクロソフトの認定を取得 はマイクロソフトの Works with Office 365 - Identity program の認証連携 サードパーティー ID プロバイダー として 国産製品としては初の認定製品です なら 各サービス / アプリ単位で認証連携を検証済み Web ブラウザーによるアクセス Outlook Web App (OWA) Lync Web App Word/Excel/PowerPoint/OneNote Online SharePoint チームサイト OneDrive (Web ブラウザー ) * Federation 3.0 Patch 8 のインストールが必要です * 他のサービス / アプリについて検証の状況についてはお問い合わせ下さい PCデスクトップアプリによるアクセス Outlook Lync Word/Excel/PowerPoint/OneNote スマートフォンアプリケーションによるアクセスメールアプリスケジュールアプリアドレス帳アプリ Lync 14

Federation 基本構成 Federation を利用して IdP サイトを構築する際の基本的な構成です SP 各種クラウドサービス 認証連携 (SAML など ) SSO サーバー IdP Federation Federation サーバー ユーザー Web アプリ 認証サーバー Federation を SSO と同一サーバー上で稼働させることも可能です 15

Federation Agent とは Federation Agent は 認証連携における SP (Service Provider) 機能を提供するものです Web サーバーを容易に SP 化させるためのエージェント機能を提供します 本モジュールをインストールしたアプリケーションは SAML SP になります 連携可能な IdP で認証したユーザーに対してセッションを発行し Federation Agent を導入したアプリケーションへのアクセスを許可します 16

Federation Agent 基本構成例 SP でユーザー情報は保持せず IdP から送られる認証結果やユーザー情報をもとにアプリケーションを利用する場合の基本構成例です SP 認証連携 (SAML) Federation Agent Federation Agent を導入した Web サーバー SSO IdP サーバー Federation ユーザー Federation サーバー 認証サーバー Web アプリ 17

Federation Agent 応用構成例 SPでもユーザー情報を保持し IdPから受け取る認証結果とは別に SP 側で管理されたユーザー情報を使用してアプリケーションを利用する場合の応用構成例です 認証連携 (SAML) SP Federation Agent と MCRP を導入した Web サーバー Federation Agent + MCRP Web アプリ SP 側でユーザー情報を管理する認証 DB SSO IdP サーバー Federation ユーザー この応用構成例のケースでは SP 側に Federation Agent 以外に別途 MCRP 及び SSO ユーザーライセンス が必要です 認証サーバー Federation サーバー Web アプリ 18

Federation / Federation Agent 動作環境 Federation および Federation Agent の対応プラットフォームです 分類 Federation Federation Agent OS Red Hat Enterprise Linux Windows Server Red Hat Enterprise Linux Web サーバー Apache Tomcat Apache HTTP Server その他に必要なソフトウェア Federation の動作には 別途 SSO が必要です SSO の対応バージョンは以下のとおりです SSO 8.0 R3 以降 SSO 10.0 以降 基本構成の場合には SP 側にその他に必要なソフトウェアはありません 応用構成の場合に必要となるその他のソフトウェアに関しては 別途お問い合わせください 2016 年 12 月時点の情報です 更新される可能性があります 詳細は下記サポートマトリクスをご参照ください http://h50146.www5.hpe.com/products/software/security/icewall/federation/hardware_requirements.html 19

Federation クラウドプロビジョニングツールのご紹介 20

認証連携で必要となる ID プロビジョニング 認証連携には クラウドサービス側 (SP) と SSO 側 (IdP) の双方にユーザーの登録が必要です ユーザー A IdP SSO Federation ユーザー A 認証 DB クラウドサービスへのユーザ登録方法比較 方式 サービスが提供する管理画面を使用 サービスが提供する Web API を使用 認証連携 ユーザー A の情報を双方に登録 特徴 SP 各種クラウドサービス ユーザー情報 DB ユーザー A ブラウザーでの操作で 特別な SW が不要 少数のユーザーであれば簡単 大量ユーザーの操作やバッチ処理は不可 クラウドサービス側の Web API が公開されていることが前提 ツールやプログラムが必要 大量ユーザーの操作やバッチ処理 自動化が可能 21

Federation クラウドプロビジョニングツール Salesforce, Google Apps, Office365 などのパブリッククラウドサービス (SaaS) へのスムーズなユーザー登録および削除を支援する ID プロビジョニングツールです 標準規格である OAuth2.0 と各 SaaS の Web API に対応 複数の SaaS への対応が可能 複数ユーザーの一括登録 / 削除 / 更新が可能 ( SSO 一括登録ツールを併用 ) 認証 DB に対して一括登録 / 一括削除を行う際のユーザーデータを そのまま SaaS 側のプロビジョニング用ユーザーデータとして使用することが可能 ( SSO 一括登録ツールを併用 ) 1-1 コマンドで起動 > java CreateGAppsUser user1 1-2 バッチから起動 java CreateGAppsUser user1 Java CreateGAppsUser user2.. イントラネット SaaS のユーザーについて以下の操作が可能 登録 更新 削除 参照 Federation クラウドプロビジョニングツール 3 実行履歴ログ出力 インターネット 2プロビジョニング実行 (OAuth 2.0+Web API) LOG Salesforce Google Apps Office 365 SSO 10.0 および Federation 3.0 をご購入 / ご使用のお客様は無償でご使用いただけます リリース当初は Salesforce, Google Apps, Office 365 をサポートします その他の SaaS についてはお問い合わせ下さい 22

SaaS と SSO との同期イメージ SSO の一括登録ツール 1 を使用すると ユーザー操作 ( 登録 変更 削除 ) を一括して SaaS と SSO の認証 DB へ行うことができます イントラネット SP インターネット ユーザーデータ User1Pass1 User2 Pass2 SSO 一括登録ツール 1 スクリプトを生成 2 SSO 一括登録ツール 1 スクリプトを生成 SaaS 用テンプレート Federation クラウドプロビジョニングツール DB 用テンプレート DB アクセスプログラムまたはコマンド プロビジョニング実行 (OAuth 2.0+Web API) DB アクセス Office 365 Salesforce Google Apps IdP サーバー / 認証サーバー 認証 DB (RDB, LDAP など ) 1 SSO の実行環境を構築するために必要なユーザー情報を一括で登録することを支援するツール 2 SSO 一括登録ツールでクラウドプロビジョニングツールを起動するスクリプトを生成します 23

Identity Manager との連携イメージ Identity Manager とクラウドプロビジョニングツールを連携させて SSO の認証 DB への更新と SaaS へのプロビジョニングを行います イントラネット SP インターネット SSO 一括登録ツール SaaS 用テンプレート プロビジョニング実行 (OAuth 2.0+Web API) Salesforce ユーザーデータ User1Pass1 User2 Pass2 スクリプトを生成 Identity Manager 1 Federation クラウドプロビジョニングツール DB アクセス Office 365 Google Apps IdP サーバー / 認証サーバー 認証 DB (RDB, LDAP など ) 1 Identity Manager は認証 DB へ行った更新の履歴を CSV ファイルへ出力することができます これを使用して SaaS へのプロビジョニングを行います 24

Federation OIDC ソーシャルログインのご紹介 25

ソーシャルログインとは SNS などのソーシャルアカウントでの Web サービスへの会員登録やログインを実現します ソーシャルログイン使用イメージ XXオンラインショップ外部サイトの IDでログイン Yahoo! ID Facebook Google ソーシャルメディアへのリンクをクリック Yahoo! Japan Yahoo ID でログイン ID パスワード ソーシャルメディアのログイン ID パスワードを入力 送信 XX オンラインショップ MY PAGE 目的の Web サイトへのログイン完了 サービス利用者へのメリット 新しく ID パスワードを記憶する必要なし スマートフォン等でのログイン操作がより簡単 会員登録フォームへの入力がラク サービス運用者へのメリット 新規登録会員が大幅増 サイト離脱率 カート放棄率が改善し売上が UP ユーザー情報の管理負荷が軽減 ソーシャルログインの実装方法は各 Web サービスによって異なります ここでは実現例を挙げています 26

Federation OIDC ソーシャルログイン OAuth 2.0/OpenID Connect 1.0 1 によるソーシャルログインを実現 Google OP 2 Facebook LOG IN Yahoo! ID PW Yahoo!Japan LOG IN Yahoo! ID Facebook Google RP 3 Federation OIDC サーバー 3 SSO サーバー 1. SSO のログイン画面にアクセス OP のログインボタンを選択 2. OP にログイン 3. ログインセッションを生成 4. SSO 経由で Web アプリへアクセス ユーザー 4 SSO 認証サーバー Web アプリ 連携検証済みの OP (2016 年 12 月現在 ): Yahoo! ID Facebook Google LINE 1 OpenID Connect OAuth 2.0 をベースとする次世代認証アイデンティティシステムの最新標準規格 OpenID Foundation が仕様を策定 2 OP(OpenID Provider) トークンを発行する側 ユーザーはログインしてトークンを取得する (SAML の IdP に相当 ) 3 RP(Relying Party) アプリケーションを提供する側 ユーザーはトークンを提示してサービスを受ける (SAML の SP に相当 ) OP から取得したユーザー属性情報が Web アプリに渡されます 取得できるユーザー属性や属性名は OP 毎に異なります SSO の認証 DB にユーザーを登録する必要はありません 27

Office 365 導入のための乱立 AD 対応ソリューション ( オンプレミス型 ) 28

クラウド導入におけるシングルサインオンの課題 AD FS で Office 365 とのシングルサインオンを実現するには AD の統合が必須とされているが AD で認証したい 要望 Office 365 現実 でも社内に AD が乱立していて 統合は無理 Salesforce GoogleApps AD とクラウドサービスとのシングルサインオンを実現したい! 無理! 信頼関係無管理が別々 野良 AD も存在 AD 統合? ドメイン統合? ID 統合? AD を統合せずに Office 365 とのシングルサインオンを実現したい 29

Office 365 導入のための乱立 AD 対応ソリューション ( オンプレミス型 ) 社内の AD の構成に影響を受けずに クラウド環境との ID 統合 および AD とクラウド環境とのシングルサインオンを実現 クラウド ID のドメインを AA.COM に統一 Office 365 クラウド ID taro@aa.com jiro@aa.com saburo@aa.com Salesforce GoogleApps 社外 認証要求 認証要求 社内 Federation が認証要求を振り分け 中継 ( クラウドID) ( ローカルID) taro@aa.com taro@aa-corp.com jiro@aa.com y-jiro@aa.local saburo@aa.com saburo@aa.co.jp 認証要求 認証要求 ローカルドメイン AA-CORP.COM ローカルドメイン AA.LOCAL ローカルドメイン AA.CO.JP AD FS AD FS SSO LDAP など AD 以外のリポジトリは SSO で対応 ローカル ID taro@aa-corp.com ローカル ID y-jiro@aa.local ローカル ID saburo@aa.co.jp ユーザーはローカルのADにログインするだけでOffice 365にシングルサインオン AD 統合不要! 30

お問い合わせ 31

お問い合わせおよび周辺サービス お電話でのお問い合わせ ( 日本ヒューレット パッカードカスタマー インフォメーションセンター ) 0120-268-186 / 03-5749-8279 ( 携帯電話 PHS から ) 受付時間 : 月曜日 ~ 金曜日 9:00-19:00 土曜日 10:00-17:00 ( 日 祝祭日 年末年始および 5 月 1 日を除く ) Web フォームからのお問い合わせ http://www.hpe.com/jp/iw-contact 最新 / 詳細情報 Federation 公式サイト http://www.hpe.com/jp/icewall-federation SSO 公式サイト http://www.hpe.com/jp/icewall 技術レポート ( 新規レポート随時公開中!!) http://www.hpe.com/jp/iw-report カタログ http://www.hpe.com/jp/iw-catalog SSO 評価用マニュアルダウンロード http://www.hpe.com/jp/icewall-download 各種サービス 導入サービス コンサルティングサービス エンジニア様向け技術トレーニング 海外拠点への導入 コンサルティングサービス 32

Thank you

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック