2016 年 12 月更新 ver.4.4 ソフトウェア認証連携 ( フェデレーション ) ソリューション Federation のご紹介日本ヒューレット パッカード株式会社テクノロジーコンサルティング事業統括 ソフトウェア本部
目次 1. 統合認証基盤に求められる新たなニーズ 2. Federation / Federation Agent のご紹介 3. Federation クラウドプロビジョニングツールのご紹介 4. Federation OIDC ソーシャルログインのご紹介 5. Office 365 導入のための乱立 AD 対応ソリューション ( オンプレミス型 ) 6. お問い合わせ 2
統合認証基盤に求められる新たなニーズ - クラウド利用時のシングルサインオン 3
クラウド普及に伴う新たな課題急速なクラウド普及により セキュリティ対策および利便性向上の両面において 改めてシングルサインオンの需要が急増しています オンプレミス / プライベートクラウド ( 企業内 ) パブリッククラウド ( 企業外 ) + ユーザ個別に ID/ パスワードを作成 更新されたら把握しきれない管理工数的にもセキュリティ的にも心配 認証基盤 管理者 ログの入手や管理はプロバイダーに依存 いざという時は迅速な対応が必要なのに ユーザー 社内の Web アプリも外部の Web サービスも同じように利用したい ( シングルサインオンしたい ) んだけど 4
認証連携 ( フェデレーション ) による解決認証連携 ( フェデレーション ) を利用することで パブリッククラウドへもセキュアなアクセス / シングルサインオンが実現できます オンプレミス / プライベートクラウド ( 企業内 ) + 社内システムからのアクセス ( ログイン ) のみとすることで 管理工数およびセキュリティリスクを軽減 パブリッククラウド ( 企業外 ) 統合認証基盤 ( SSO) 管理者 ユーザー 社内システムからパブリッククラウドへシングルサインオン 5
パブリッククラウドを利用する際の課題と認証連携による解決 パブリッククラウドを利用する際の課題 認証連携による解決 パブリッククラウドに対し 企業でのセキュリティポリシー整備及びルール化が未対応 パブリッククラウドへのアクセスに統合認証基盤を使用することによって 認証におけるセキュリティポリシーを全社に適用可能に スモールスタートが可能なため 部門単位での契約となりセキュリティポリシー適用が困難 社内イントラネットからパブリッククラウドへの SSO を実現し ユーザーの利便性 生産性の向上が可能に パブリッククラウドの ID パスワードは別管理となり クラウド側の ID 消し忘れ等のリスクや運用工数が増加 ユーザーの利便性も低下 パブリッククラウドへのアクセスを統合認証基盤 ( 社内イントラネット ) 経由にする * ことにより ログの集中管理が可能に ブラウザがあればログインできるため どのような PC からもアクセス可能となってしまう また ログの集中管理も困難 パブリッククラウドにダイレクトにアクセスを許可しない運用 * によって社内に認証可能な PC からのみパブリッククラウドを使用させることも可能に * パブリッククラウドへのダイレクトなアクセスを許可しない運用には クラウドサービス側での設定が必要です 認証基盤 認証連携にその機能はありません 6
Tips 認証連携の仕組み (SAML の場合 ) ユーザーは IdP に ID,PWD などを入力して認証を受ける 認証を受けた後は SP に直接アクセスしてサービスを利用する 1 IdP サイト A にログイン ユーザー 3 SP サイト B に ID/ パスワードの入力なしでアクセス可能に IdP(Identity Provider): ID を管理して認証を行うサイト SP(Service Provider): 実際のサービスを提供するサイト 2 ユーザーが認証済みであることを IdP から SP へ伝達 IdP(Identity Provider) サイト A SSO ソリューション リバースプロキシサーバー 信頼関係 SP(Service Provider) サイトB あらかじめ IdP と SP 間で信頼関係を結ぶ IdP はユーザーを認証し SP に認証情報 (ID や属性情報 ) を送る 認証サーバー / 認証 DB Federation サーバー ユーザーの ID/ パスワードが登録済み SP は IdP から送られた認証情報を受けて ユーザーにアクセスを許可する IdP と SP 間の送受信は SAML, Shibboleth, OpenID などの標準仕様が使用される 7
Tips 認証連携の仕組み (OpenID の場合 ) OP はユーザー情報 (ID,PWD など ) を管理する ユーザーは OP に ID,PWD などを入力して認証を受ける 3 OP にログイン OP(OpenID Provider) サイト A SSO ソリューション リバースプロキシサーバー Federation サーバー ユーザー 1RPにアクセス ユーザーが RP にアクセスする 認証を受ける OP を RP の画面上で選択する OP(OpenID Provider) : ID を管理して認証を行うサイト RP (Relying Party) : 実際のサービスを提供するサイト 2RP から OP へ認証を要求 4 認証結果の検証を要求 RP(Relying Party) サイト B 認証サーバー / 認証 DB RP が OP に認証を依頼し 認証結果を受け取る サイト間の通信には OpenID 2.0 を使用する ユーザーの ID/ パスワードが登録済み 8
Federation/ Federation Agent のご紹介 9
Federation / Federation Agent Federation/ Federation Agent は パブリッククラウドやプライベートクラウド環境と 認証連携 ( フェデレーション ) により シングルサインオンを実現します パブリッククラウド IdP(Identity Provider) : ID を管理して認証を行うサイト SP (Service Provider) : 実際のサービスを提供するサイト SP Google Apps SP salesforce.com SP Office 365 ユーザーは IdP にログインすれば SP も利用可能に IdP は SP にユーザー属性や認証済であることなど認証連携に必要な情報を譲渡 IdP 認証連携 Federation SSO 基本構成 プライベートクラウド SP ADFSに対応したサービス Federation Agent SP Federation Agent を使用して SAML SP 化したアプリケーション ユーザー SSO 10.0のご購入で Federationも追加費用無しでご使用いただけます Federation Agentは別途ご購入が必要です 10
Federation とは Federation は 認証連携における IdP(Id Provider) 機能を提供するものです SaaS サービス等 SP(Service Provider) とのシングルサインオンを実現します 2016 年 12 月現在 SP として接続が確認できているサービス / ソフトウェア Google Apps Salesforce Platform Office 365 クリプト便 cybozu.com KDDI Knowledge Suite(GRIDY) 出張なび Bulas Fileforce 福利厚生倶楽部 Box SECURE DELIVER GigaCC e- 革新サービス HPE Service Anywhere Aruba ClearPass Shibboleth の SP Windows Azure SharePoint ADFS 2.0 接続確認ができているサービスの最新状況は弊社 Web ページをご確認ください 他 多数 Federation は SSO 10.0 購入で標準提供されます 11
Federation の強み安心 迅速な環境構築を担保する 接続保証 認証連携 ( フェデレーション ) 機能を提供する製品の多くは SAML 等の 標準仕様に対応 していますが 各サービスとの接続確認 / 検証はユーザー任せという製品も少なくありません Federation は各仕様ではなく 実際の各サービスとの接続検証を行っているため 安心 迅速な環境構築が可能です 一般的な認証連携 ( フェデレーション ) 機能提供製品 Federation 導入時特定の対象サービス (SP) のインタフェースに合わせ SAML 等 適用する標準仕様の詳細を理解し 自身で設定 接続検証をする必要があります 導入時日本ヒューレット パッカードにて適切な標準仕様を用い 各サービス (SP) 単位での接続検証をしているため 安心かつ迅速に環境構築を行うことができます 運用時万が一 本番運用において障害が発生した場合 個々の標準仕様におけるエラーは 自身で解析してから各社製品窓口に問い合わせる必要があります 運用時接続検証された対象サービス (SP) との接続において障害が発生した場合 日本ヒューレット パッカードから問題解決のためのサポートを受けることができます 12
Office 365 との認証連携 SSO の認証 ( ログイン ) で Office 365 にアクセスできます 3 サービスには直接アクセス アプリ ユーザー デスクトップアプリ Outlook クライアント Lync クライアント その他クライアント Web ブラウザー Office 365 2Office365 と SSO が認証連携 (WS-Federation) LOG IN ID PW 1 認証は SSO で行う Office 365 のサービス Outlook Lync SharePoint Word/Excel/ PowerPoint Online など SSO ソリューション リバースプロキシサーバー Federation サーバー 認証サーバー / 認証 DB Web ブラウザーからのアクセスでは 他の Web アプリケーションともシングルサインオンができます 他の Web AP ( ) 13
は Office 365 との認証連携にも強い Office 365 との連携機能でマイクロソフトの認定を取得 はマイクロソフトの Works with Office 365 - Identity program の認証連携 サードパーティー ID プロバイダー として 国産製品としては初の認定製品です なら 各サービス / アプリ単位で認証連携を検証済み Web ブラウザーによるアクセス Outlook Web App (OWA) Lync Web App Word/Excel/PowerPoint/OneNote Online SharePoint チームサイト OneDrive (Web ブラウザー ) * Federation 3.0 Patch 8 のインストールが必要です * 他のサービス / アプリについて検証の状況についてはお問い合わせ下さい PCデスクトップアプリによるアクセス Outlook Lync Word/Excel/PowerPoint/OneNote スマートフォンアプリケーションによるアクセスメールアプリスケジュールアプリアドレス帳アプリ Lync 14
Federation 基本構成 Federation を利用して IdP サイトを構築する際の基本的な構成です SP 各種クラウドサービス 認証連携 (SAML など ) SSO サーバー IdP Federation Federation サーバー ユーザー Web アプリ 認証サーバー Federation を SSO と同一サーバー上で稼働させることも可能です 15
Federation Agent とは Federation Agent は 認証連携における SP (Service Provider) 機能を提供するものです Web サーバーを容易に SP 化させるためのエージェント機能を提供します 本モジュールをインストールしたアプリケーションは SAML SP になります 連携可能な IdP で認証したユーザーに対してセッションを発行し Federation Agent を導入したアプリケーションへのアクセスを許可します 16
Federation Agent 基本構成例 SP でユーザー情報は保持せず IdP から送られる認証結果やユーザー情報をもとにアプリケーションを利用する場合の基本構成例です SP 認証連携 (SAML) Federation Agent Federation Agent を導入した Web サーバー SSO IdP サーバー Federation ユーザー Federation サーバー 認証サーバー Web アプリ 17
Federation Agent 応用構成例 SPでもユーザー情報を保持し IdPから受け取る認証結果とは別に SP 側で管理されたユーザー情報を使用してアプリケーションを利用する場合の応用構成例です 認証連携 (SAML) SP Federation Agent と MCRP を導入した Web サーバー Federation Agent + MCRP Web アプリ SP 側でユーザー情報を管理する認証 DB SSO IdP サーバー Federation ユーザー この応用構成例のケースでは SP 側に Federation Agent 以外に別途 MCRP 及び SSO ユーザーライセンス が必要です 認証サーバー Federation サーバー Web アプリ 18
Federation / Federation Agent 動作環境 Federation および Federation Agent の対応プラットフォームです 分類 Federation Federation Agent OS Red Hat Enterprise Linux Windows Server Red Hat Enterprise Linux Web サーバー Apache Tomcat Apache HTTP Server その他に必要なソフトウェア Federation の動作には 別途 SSO が必要です SSO の対応バージョンは以下のとおりです SSO 8.0 R3 以降 SSO 10.0 以降 基本構成の場合には SP 側にその他に必要なソフトウェアはありません 応用構成の場合に必要となるその他のソフトウェアに関しては 別途お問い合わせください 2016 年 12 月時点の情報です 更新される可能性があります 詳細は下記サポートマトリクスをご参照ください http://h50146.www5.hpe.com/products/software/security/icewall/federation/hardware_requirements.html 19
Federation クラウドプロビジョニングツールのご紹介 20
認証連携で必要となる ID プロビジョニング 認証連携には クラウドサービス側 (SP) と SSO 側 (IdP) の双方にユーザーの登録が必要です ユーザー A IdP SSO Federation ユーザー A 認証 DB クラウドサービスへのユーザ登録方法比較 方式 サービスが提供する管理画面を使用 サービスが提供する Web API を使用 認証連携 ユーザー A の情報を双方に登録 特徴 SP 各種クラウドサービス ユーザー情報 DB ユーザー A ブラウザーでの操作で 特別な SW が不要 少数のユーザーであれば簡単 大量ユーザーの操作やバッチ処理は不可 クラウドサービス側の Web API が公開されていることが前提 ツールやプログラムが必要 大量ユーザーの操作やバッチ処理 自動化が可能 21
Federation クラウドプロビジョニングツール Salesforce, Google Apps, Office365 などのパブリッククラウドサービス (SaaS) へのスムーズなユーザー登録および削除を支援する ID プロビジョニングツールです 標準規格である OAuth2.0 と各 SaaS の Web API に対応 複数の SaaS への対応が可能 複数ユーザーの一括登録 / 削除 / 更新が可能 ( SSO 一括登録ツールを併用 ) 認証 DB に対して一括登録 / 一括削除を行う際のユーザーデータを そのまま SaaS 側のプロビジョニング用ユーザーデータとして使用することが可能 ( SSO 一括登録ツールを併用 ) 1-1 コマンドで起動 > java CreateGAppsUser user1 1-2 バッチから起動 java CreateGAppsUser user1 Java CreateGAppsUser user2.. イントラネット SaaS のユーザーについて以下の操作が可能 登録 更新 削除 参照 Federation クラウドプロビジョニングツール 3 実行履歴ログ出力 インターネット 2プロビジョニング実行 (OAuth 2.0+Web API) LOG Salesforce Google Apps Office 365 SSO 10.0 および Federation 3.0 をご購入 / ご使用のお客様は無償でご使用いただけます リリース当初は Salesforce, Google Apps, Office 365 をサポートします その他の SaaS についてはお問い合わせ下さい 22
SaaS と SSO との同期イメージ SSO の一括登録ツール 1 を使用すると ユーザー操作 ( 登録 変更 削除 ) を一括して SaaS と SSO の認証 DB へ行うことができます イントラネット SP インターネット ユーザーデータ User1Pass1 User2 Pass2 SSO 一括登録ツール 1 スクリプトを生成 2 SSO 一括登録ツール 1 スクリプトを生成 SaaS 用テンプレート Federation クラウドプロビジョニングツール DB 用テンプレート DB アクセスプログラムまたはコマンド プロビジョニング実行 (OAuth 2.0+Web API) DB アクセス Office 365 Salesforce Google Apps IdP サーバー / 認証サーバー 認証 DB (RDB, LDAP など ) 1 SSO の実行環境を構築するために必要なユーザー情報を一括で登録することを支援するツール 2 SSO 一括登録ツールでクラウドプロビジョニングツールを起動するスクリプトを生成します 23
Identity Manager との連携イメージ Identity Manager とクラウドプロビジョニングツールを連携させて SSO の認証 DB への更新と SaaS へのプロビジョニングを行います イントラネット SP インターネット SSO 一括登録ツール SaaS 用テンプレート プロビジョニング実行 (OAuth 2.0+Web API) Salesforce ユーザーデータ User1Pass1 User2 Pass2 スクリプトを生成 Identity Manager 1 Federation クラウドプロビジョニングツール DB アクセス Office 365 Google Apps IdP サーバー / 認証サーバー 認証 DB (RDB, LDAP など ) 1 Identity Manager は認証 DB へ行った更新の履歴を CSV ファイルへ出力することができます これを使用して SaaS へのプロビジョニングを行います 24
Federation OIDC ソーシャルログインのご紹介 25
ソーシャルログインとは SNS などのソーシャルアカウントでの Web サービスへの会員登録やログインを実現します ソーシャルログイン使用イメージ XXオンラインショップ外部サイトの IDでログイン Yahoo! ID Facebook Google ソーシャルメディアへのリンクをクリック Yahoo! Japan Yahoo ID でログイン ID パスワード ソーシャルメディアのログイン ID パスワードを入力 送信 XX オンラインショップ MY PAGE 目的の Web サイトへのログイン完了 サービス利用者へのメリット 新しく ID パスワードを記憶する必要なし スマートフォン等でのログイン操作がより簡単 会員登録フォームへの入力がラク サービス運用者へのメリット 新規登録会員が大幅増 サイト離脱率 カート放棄率が改善し売上が UP ユーザー情報の管理負荷が軽減 ソーシャルログインの実装方法は各 Web サービスによって異なります ここでは実現例を挙げています 26
Federation OIDC ソーシャルログイン OAuth 2.0/OpenID Connect 1.0 1 によるソーシャルログインを実現 Google OP 2 Facebook LOG IN Yahoo! ID PW Yahoo!Japan LOG IN Yahoo! ID Facebook Google RP 3 Federation OIDC サーバー 3 SSO サーバー 1. SSO のログイン画面にアクセス OP のログインボタンを選択 2. OP にログイン 3. ログインセッションを生成 4. SSO 経由で Web アプリへアクセス ユーザー 4 SSO 認証サーバー Web アプリ 連携検証済みの OP (2016 年 12 月現在 ): Yahoo! ID Facebook Google LINE 1 OpenID Connect OAuth 2.0 をベースとする次世代認証アイデンティティシステムの最新標準規格 OpenID Foundation が仕様を策定 2 OP(OpenID Provider) トークンを発行する側 ユーザーはログインしてトークンを取得する (SAML の IdP に相当 ) 3 RP(Relying Party) アプリケーションを提供する側 ユーザーはトークンを提示してサービスを受ける (SAML の SP に相当 ) OP から取得したユーザー属性情報が Web アプリに渡されます 取得できるユーザー属性や属性名は OP 毎に異なります SSO の認証 DB にユーザーを登録する必要はありません 27
Office 365 導入のための乱立 AD 対応ソリューション ( オンプレミス型 ) 28
クラウド導入におけるシングルサインオンの課題 AD FS で Office 365 とのシングルサインオンを実現するには AD の統合が必須とされているが AD で認証したい 要望 Office 365 現実 でも社内に AD が乱立していて 統合は無理 Salesforce GoogleApps AD とクラウドサービスとのシングルサインオンを実現したい! 無理! 信頼関係無管理が別々 野良 AD も存在 AD 統合? ドメイン統合? ID 統合? AD を統合せずに Office 365 とのシングルサインオンを実現したい 29
Office 365 導入のための乱立 AD 対応ソリューション ( オンプレミス型 ) 社内の AD の構成に影響を受けずに クラウド環境との ID 統合 および AD とクラウド環境とのシングルサインオンを実現 クラウド ID のドメインを AA.COM に統一 Office 365 クラウド ID taro@aa.com jiro@aa.com saburo@aa.com Salesforce GoogleApps 社外 認証要求 認証要求 社内 Federation が認証要求を振り分け 中継 ( クラウドID) ( ローカルID) taro@aa.com taro@aa-corp.com jiro@aa.com y-jiro@aa.local saburo@aa.com saburo@aa.co.jp 認証要求 認証要求 ローカルドメイン AA-CORP.COM ローカルドメイン AA.LOCAL ローカルドメイン AA.CO.JP AD FS AD FS SSO LDAP など AD 以外のリポジトリは SSO で対応 ローカル ID taro@aa-corp.com ローカル ID y-jiro@aa.local ローカル ID saburo@aa.co.jp ユーザーはローカルのADにログインするだけでOffice 365にシングルサインオン AD 統合不要! 30
お問い合わせ 31
お問い合わせおよび周辺サービス お電話でのお問い合わせ ( 日本ヒューレット パッカードカスタマー インフォメーションセンター ) 0120-268-186 / 03-5749-8279 ( 携帯電話 PHS から ) 受付時間 : 月曜日 ~ 金曜日 9:00-19:00 土曜日 10:00-17:00 ( 日 祝祭日 年末年始および 5 月 1 日を除く ) Web フォームからのお問い合わせ http://www.hpe.com/jp/iw-contact 最新 / 詳細情報 Federation 公式サイト http://www.hpe.com/jp/icewall-federation SSO 公式サイト http://www.hpe.com/jp/icewall 技術レポート ( 新規レポート随時公開中!!) http://www.hpe.com/jp/iw-report カタログ http://www.hpe.com/jp/iw-catalog SSO 評価用マニュアルダウンロード http://www.hpe.com/jp/icewall-download 各種サービス 導入サービス コンサルティングサービス エンジニア様向け技術トレーニング 海外拠点への導入 コンサルティングサービス 32
Thank you