クラウドでモバイルでグローバルな時代の認証 ID 管理に向けて 2013 年 3 月 5 日稲吉英宗 ITエンジニアリング室ミドルウェア技術部 1
Today s Agenda クラウドで モバイルで グローバルな時代に求められる認証と ID 管理 エンタープライズおよびアカデミック環境における認証連携 (Federation) 事例 2
クラウドで モバイルで グローバルな時代 に求められる認証と ID 管理 3
認証 ID 管理案件の推移 Before LDAP IDM ユーザプロビジョニング Web SSO Federation Enterprise SSO 特権 ID 管理 個別課題への対応 クラウドモバイルグローバル Now 4 クラウド モバイル グローバルに対応した新たな 認証 ID 管理基盤 の必要性
例 : スマートデバイスの業務利用とそのリスク 新たなアプリケーションアーキテクチャ モバイル端末のセキュリティと管理 社内システムへの安全な接続 VPN でのアクセス メール カレンダー 社内 Wi-Fi のアクセス パブリックのクラウドサービスへの同期や転送 アクセス可能な端末を限定 会社のサーバー スマフォアプリの認証 認可 インターネット 業務外サイトの閲覧 書き込み 不正な Web サイトへのアクセス 不正な改造 ( ルート化 Jailbreak) 拾得したデバイスによる不正アクセス 不正プログラムのインストール 紛失 盗難 個人所有デバイスの利用 機能面での不足 早い進化 多機種対応 インターネット クラウドサービスの安全な利用 拾得したデバイスの内容の閲覧 5
The Times They Are A-Changin ( 時代は変る ) クラウドモバイルグローバル パブリッククラウドとプライベートクラウド その混合 情報資産を社外に置く アクセス経路の複雑化 BYOD 海外事業所の IT 資産を利用 海外従事者からのアクセス 個人情報の域外移転問題 (EU) Federation などの新技術 もうネットワークでは制御できない Identity is the New Perimeter (Cloud Identity Summit 2012) 認証 ID 管理 = 新たなルールと基盤造りが必要に 6
求められている認証 ID 管理基盤に対する対策 本人確認 個人情報取扱確認 ( 何を どこで ) 忘れて! 対応 自社で担保する認証基盤 ID ライフサイクルの徹底 ID マスタの設定 / 管理 採用 退職 入社 破棄 生成 変更 認証強度 パスワード強度 配属 異動 権限変更 認証基盤 認証連携しよう そのまま連携できるのか? 他社認証基盤 クラウド 出向 共通のルール 共通の運用 Federation などの新技術対応運用基準整備 ID 管理の妥当性 認証基盤の可用性 統一したセキュリティレベル =LoA( 保証レベル ) の制定 7
企業における Trust Framework の利用へ Policy Maker ポリシー策定者 企業内の認証基盤 本社 各リージョン ( 米欧中など ) グループ会社 その他 AD SSO その他認証基盤 LoA の保証で接続許可 契約 Identity Provider(IdP) 認証情報提供者 LoA (Level of Assurance) 保証レベル ID ライフサイクル管理認証強度本人確認など 監査 Trust Framework Provider(TFP) 信頼フレームワーク提供者 監査結果通知 ID 登録認証 Assessor 認定監査人 ユーザ 認定 認定 サービス利用 監査 契約 Relying Party(RP) サービス提供者 LoP (Level of Protection) 安全レベル アプリの種類による認証強度漏洩対策クラウド事業者 SLA など アプリケーション 本社 各リージョン グループ会社 クラウドの利用 クラウド オンプレミスとも LoP の保証で接続許可 8
エンタープライズおよびアカデミック環境に おける認証連携事例 9
クラウドサービスとの認証連携 学認 認証連携 (Federation) SAML/WS-Fed ID プロビジョニング フェデレーションサーバ 企業内 / 学内 NW 連携 ID プロビジョニング ID メンテナンス ( 登録 変更 削除 ) エンドユーザ 社内 / 学内 SSO システム Web シングルサインオン (SSO) 社内 / 学内 Web システム 社内 / 学内 ID 管理システム システム管理者 10
SSO 間での認証連携 相互に SSO 可能に アプリ群 (A) 認証連携 SAML アプリ群 (B) SSO(A) SSO(B) 11 企業の合併時の認証連携 社員用 SSO 関係会社向けSSOの連携 旧バージョンからの移行時 グローバルでの認証連携など
企業向けサービスは Federation 対応を!@ID&IT2012 現状 Near Future? 給与 SP 給与 バラバラの実装一部での導入 別々の ID パスワード共有 ID の利用 年金 福利厚生 情報システム部以外での管轄 日本において Federation が導入されない理由 対応サービスが少ない 結局いまだに個別最適 サービス提供側 導入企業 従業員 IdP 企業内 Federation 導入による利点 ID/ パスワード忘れの対応がなくなる ( パスワードは保持しない ) 共有 ID の撲滅 (= 個人の特定 ) セキュアな接続の保証 SSO の実現 SP SP 年金 福利厚生 Federation 対応 12
A-Cloud Mail サービス A-CloudMail は SINET またはインターネット経由で利用する 教育機関様向けクラウド型メールサービスです 学内 学外 利用者 管理者利用者 (SSL VPN) SINET/ インターネット モバイル網 SSL 必須 A-Cloud 提供機能 CTC データセンター 基本メール機能 アカウント管理 管理レポート WEB メール アンチウイルス アカウント連携 オプション グループウェア アンチスパム 学認連携 オプション 13
A-Cloud Mail 学認対応 A-Cloud Mail への学術認証フェデレーションからのシングルサインオンを実現 IdP 学認 IdP mod_shib 学認対応部分 Shibboleth SP Process mod_proxy mod_proxy_ajb apache CGPSC Tomcat API WebMail 14 その他 SAML SP= 代理認証モジュールも準備
エンタープライズシステムにおける認証と ID 管理 ビジネスパートナー Federation ビジネスサービス 認証連携 クラウド 各アプリが保持していたユーザリポジトリを集約 Web アプリに対するシングルサインオンとユーザ情報にもとづいたアクセス制御 Federation Web シングルサインオン 認証強化 エンタープライズシングルサインオン C/S 型システムに対するシングルサインオン Web アプリ A Web アプリ B C/S アプリ 認証機能 ID マスタ管理 ID ライフサイクル管理 Active Directory メタディレクトリ ( 統合 LDAP) LDAP 本人確認など 人事 DB 統合 ID 管理 (IDM) ユーザ プロビジョニング Database 人事情報に基づく ID 情報の自動メンテナンスやワークフローを利用した ID メンテナンス 15
外部向けサービスにおける認証と ID 管理 SNS や Gmail の ID でログイン 自社サービスの ID で他社サービスにログイン クラウド ビジネスパートナー IdP 認証強化 Federation IdP/SP Web シングルサインオン Federation 他社サービス SP ビジネスパートナーの ID でログイン 外部向けサービス A 外部向けサービス B Federation 外部向け SP サービスC サービスへのシングルサインオン (WSSO 方式 ) ユーザレポジトリ (LDAP) ユーザレポジトリ (Database) ID 統合されていないサービスにログイン (FSSO 方式 ) 本人確認など ID ライフサイクル管理 統合 ID 管理 (IDM) ユーザ プロビジョニング ID 情報のセルフメンテナンス 16
お知らせ 17
A-Cloud Mail 新規導入特別キャンペーン 1 メールスプールの増量 2013 年 1 月 4 日 ~2013 年 12 月 31 日 価格据え置きで 1 アカウント当りのストレージ容量を 600MB から 2GB に増量します 2 FLASH クライアントバンドルメニュー 操作性に優れた Flash クライアントをお得な価格でバンドル提供します 3 A-Cloud Mail 初期費用無料キャンペーン A-Cloud Mail の初期導入時のドメイン構築費 ( 通常 40 万円 ) が無料になります (1000 ユーザ未満のご契約の場合は半額 ) 詳細は情報サービス連携コンソーシアム (ICTSFC) による展示コーナー内 CTC ブースへ! 18
AAA+A ソリューション for User / for System AAA+A for User Fede ration AAA+A for System Strong Auth SSO IDM 海外拠点 パートナー 19 社内システム クラウド IDM SSO グローバル認証連携 Strong Auth クラウド連携 Social Site 連携 WebAPI Federation Directory Audit 特権 ID Strong Auth サーバ ファームプライベートクラウド 特権 ID 管理 SSL-VPN スマートデバイス VDI 社内アクセス強化
CTC-IAM ソリューションマップ CTC ではご要件 規模 ご予算に応じたソリューションと導入サービスにより お客様への IAM 導入支援を行っております Identity & Access Management アプリレイヤ 認証強化 EMC/RSA SecurID* など フェデレーション Webシングルサインオン 日本 HP IceWall SSO* OpenAM エンタープライズ SSO Oracle ESSO* Japan System ARCACLAVIS* 統合 ID 管理 メタディレクトリ Oracle Directory Services Plus* OpenLDAP Exgen LDAP Manager* Intec 結人 / 束人 * Oracle Identity Manager* Oracle Waveset (Sun IDM) Microsoft Active Directory ヘテロ環境 20
CTC の IAM ソリューション IAM ソリューション プロジェクト計画 アクセス制御ルールの整備 要件定義 設計実装テスト 運用 IAM コンサルティングサービス IDM 製品選定支援サービス IAM 設計 構築サービス IAM システム保守サービス IAM コンサルティングサービス IDM に関する投資判断支援 RFP 作成支援 現状のたな卸し等 ご要望に応じて行うカスタマイズコンサルティングサービスです IAM 設計 構築サービス IDM 製品 ( 場合によってはスクラッチ開発 ) を用いた設計 構築サービスをご提供します IAM システム保守サービス IDM 製品のみではなく IDM システム全体の保守サービスをご提供します 統合 ID 管理製品選定支援サービス 統合 ID 管理に関する課題 要件をヒアリングの上 複数製品の公正な比較 概算費用の産出を行います 21
IDM- アイデンティティ マネジメント入門 日本初の IDM 書籍 (2008/2) 目次 アイデンティティ マネジメントとは IDM と内部統制の関係 認証と IDM の関係 IDM システムの構築ステップ ディレクトリサービスと IDM の関係 IDM を活用したソリューション 国内 / 海外事例 http://www.amazon.co.jp/gp/product/4 90385907X 22
23