PowerPoint プレゼンテーション - PDF 無料ダウンロード

OpenAM これまでとこれから野村総合研究所 2015/07/17 田中穣株式会社野村総合研究所オープンソースソリューション推進室 Mail : ossc@nri.co.jp Web: http://openstandia.jp/

NRI のオープンソースに関する沿革年 NRI の主なオープンソースへの取り組み 2003 年オープンソース専門組織の立ち上げ 2004 年 JBoss.Inc, MySQL AB とパートナー契約締結 2005 年オープンソースサポートサービス OpenStandia を発表 2006 年 OpenStandia パートナープログラムの提供開始 2007 年 24 時間以内に対応オープンソース救急サービスの提供開始 2008 年企業情報ポータル OpenStandia/Portal の提供開始オープンソースシングルサインオン OpenSSO のサポートを提供開始オープンソースビジネス推進協議会 (OBCI) を発起 2010 年シングルサインオン &ID 管理 OpenStandia/SSO&IDM の提供開始 Jaspersoft とのパートナー契約締結 2012 年オープンソースのバージョンアップ情報を無償公開ビジネスアプリケーション OpenStandia/Biz の提供開始 2013 年オープンソース ID 管理 OpenIDM のサポートを提供開始 Alfresco Software, Ltd とパートナー契約締結オープンソース 24H365D サポートサービスの開始 MongoDB.inc とパートナー契約締結 2014 年 ForgeRock.Inc. とのパートナー契約締結 1

1.SSO が求められる背景 2.SSO プロジェクト推進に要求される要件導入のポイントと事例 3. これまでの OpenAM 4. これからの OpenAM 2

シングルサインオン (SSO) 統合 ID 管理 (IDM) に関する環境変化近年さまざまな環境変化により企業内システム利用の在り方及びそれに基づく ID 管理の在り方認証の仕組みが見直されてきています社内環境の変化システムユーザアカウント権限の複雑化内部統制コンプライアンス個人情報保護の強化採用形態の複雑化 ( グローバル人材アウトソース出向等 ) IT 環境の変化クラウド時代の到来による所有から利用への流れ社内システムの SaaS 利用モバイル端末スマートフォンタブレットの利用拡大事業環境の変化グローバル化 M&A 企業合併によるグループ企業の統廃合新規サービス事業の開始 3

社内システムに統合認証基盤 (SSO&IDM) を導入するメリット企業内 SSO&IDM が求めれる具体的要因の多くは下記に分類 ( もしくは複合的要因 ) されますレ既存システムクラウド SaaS との認証認可連携新規導入する SaaS と既存の社内システムを連携し ID/PW 及び認証を一本化 (SSO) 組織改編人事発令によるシステムの組織 ID 変更対応を自動化 (IDM) レモバイル端末スマートフォンからのシステム利用外出先の営業メンバがモバイル端末スマートフォンで社内システム利用ビジネスをより便利によりセキュアによりスピーディにレグローバル対応 ( 統合ローカライズ ) グローバル拠点のシステム ID ライフサイクルを統一的に管理ローカルサービスローカルパッケージとの ID 連携レ内部統制強化運用コスト削減 ID ライフサイクル管理ワークフロー適切な認証認可管理監査ログ保存手作業による ID 管理業務を自動化現場からの対応要望にスピーディに対応 4

シングルサインオン (SSO) についてイントラにおける SSO 導入は利便性セキュリティ強化に特に効果があります As-Is( 現状運用 ) To-Be(SSO 導入後 ) 各基幹システム ( 販売在庫人事システムなど ) 各基幹システム ( 販売在庫人事システムなど ) 利用者ログイン各サービス系システム ( グループウェア Saa S など ) 各インフラ系システム ( ファイルサーバメールなど ) 利用者 SSO 認証各サービス系システム ( グループウェア Saa S など ) 各インフラ系システム ( ファイルサーバメールなど ) 各システム個別に別々の ID/ パスワードで認証 ID/PW の一元化セキュリティポリシの統一化アクセスコントロールアクセスログの一括取得 5

アイデンティティ管理 (IDM) について SSO を更なる有効活用をするためにアイデンティティ管理 (IDM) も必要です As-Is( 現状運用 ) To-Be(ID 管理導入後 ) ワークフロー人事システムマスタデータ個別対応管理者管理者管理者各基幹システム ( 販売在庫人事システムなど ) 各サービス系システム ( グループウェア SaaS など ) 各インフラ系システム ( ファイルサーバメールなど ) ワークフロー人事システムマスタデータ個別対応管理者 ID 一元管理各基幹システム ( 販売在庫人事システムなど ) 各サービス系システム ( グループウェア S aas など ) 各インフラ系システム ( ファイルサーバメールなど ) システム毎の個別 ID 管理 ( 追加 / 変更 / 削除 / 参照 ) システム毎のアカウントポリシー ID 管理ライフサイクル ( ユーザ情報の登録, 変更, 削除 ) の統合化ワークフローによる内部統制強化 ID 管理操作に対するログの一元管理人事システムなど源泉情報との連携先システムの ID 自動連携 6

1.SSO が求められる背景 2.SSO プロジェクト推進に要求される要件導入のポイントと事例 3. これまでの OpenAM 4. これからの OpenAM 7

SSO&IDM 導入のポイント企業に SSO&IDM を導入するために下記の認識が必要ですレ製品機能だけではなく業務整理がキーとなるサービス商用 OSS 等多くのプロダクトがありますが製品導入だけで完結しにくい領域です導入前に業務整理 (ID 運用ルールセキュリティポリシー等 ) が必要となります業務整理結果とプロダクトを元にカスタマイズが必要となることが多いですレ SSO はコモディティ化 IDM は多種多様 SSO 製品はある程度コモディティ化 ( 標準化 ) されてきており拡張性性能高度認証機能管理機能などが差別化ポイントとなってくることが多いです一方で SSO を実現するための IDM も対応したプロダクト構成になっていることが重要です日系企業の人事制度 (ID ライフサイクル ) は特殊なため IDM は日本用のローカライズが必要です業務整理により例外管理をどこまでなくせるかがシステム導入効果を高めるポイントです 8

ブレの三大要素 (1/3) ブレの 3 大要素レ 1 導入目的セキュリティ情報セキュリティ部内部統制?? 人材活用経営情報システム部? 人事部運用負荷軽減利便性向上システム運用部営業部 9

ブレの三大要素 (2/3) ブレの 3 大要素レ 2 オーナー経営協力して対応よろしく新規開発システムプロジェクト部費用負担を情シスがしてくれないなら期限もあるので個別認証にしたいユーザ属性は情シスで管理してね SSO 海外拠点本社は海外拠点のことを全くわかっていないいままのままでも問題ない拠点側に負担をかけるのは勘弁してほしい情報システム部上海支社 10 連携先システムの状況が分からない予算オーバーどこを対象外にするか? 誰が判断するのか? 社外株式会社構想や計画はそちらにお願いしたいうちがやることは設計からという前提

ブレの三大要素 (3/3) ブレの 3 大要素レ 3 スコープ社員パートナー派遣社員顧客アルバイト海外採用出向休職データは中央管理? それとも分散管理? データ連携はどうする? ヒト社員だけ? 派遣と社員で源泉システムが違うけど ID 組織誰が判断? 30 人しか使わない予算管理システムも検討するの? PW 役職属性システム正社員システム勤怠交通費メールワークフロープロジェクトメーリングリスト受注発注予算管理スケジュール 11

プロダクトベンダ選定のポイント SSO/IDM 導入プロジェクト成功のポイントは下記と考えています認証基盤導入プロジェクト成功のポイントレグローバルスタンダードな仕様に対応したプロダクト選定導入後の保守やシステム拡張 SaaS サービス対応 (Office365 等 ) のためにグローバルスタンダードな仕様 ( 認証連携の標準プロトコルである OpenID Connect や SAML) に対応しているもしくはすぐに対応可能なプロダクトを選択することが望ましいですレレ高い拡張性を持つプロダクト選定ビジネスの成長に伴いユーザの多様化システムの追加拡張セキュリティの強化等が期待されるため拡張可能な連携インタフェースを持つプロダクトを選択することが望ましいです ( 特定の多要素認証の導入新たな認証方式への対応等 ) 安心できるシステム保守サポートを持つプロダクトベンダ選定認証基盤は複数システムの入り口となるため多くの人に影響を与えますそのため導入実績が豊富でかつ安心して利用するためのサポートが必要となります 12

モデルケース 1: 大手不動産業様人事システムと業務システムとの SSO IDM よくお問い合わせいただく人事システムと業務システムの ID 連携 SSO を実現する企業システムへの統合認証基盤導入のモデルケースをご紹介します背景社内ユーザーはグループウェア業務システムを使う際にシステムごとにログイン認証を行っており非効率である現行グループウェアの老朽化利便性低下により SaaS(SalesForce,GoogleApps 等 ) の導入を検討中であるがさらなる ID の増加は避け SaaS の ID も含めて管理したい課題認識現在の各システムの認証の仕組みは個別の技術が使われていることさらに ID を管理する部署が異なっている場合があるグループウェア Windows ドメイン各業務システムの権限情報はそれぞれにあり管理している人事異動時期の ID の棚卸し変更管理作業は運用担当にとって非常に高い負荷である目的ユーザアカウント管理省力化によるシステム維持管理負荷やコストの低減を図る認証機能の一元化 ( シングルサインオン導入 ) によりセキュリティ向上ユーザーへの利便性向上を図る 13

モデルケース 1: 大手不動産業様人事システムと業務システムとの SSO IDM 人事異動時の ID 管理業務を効率化したモデルケースのシステム構成例です利用者統合認証基盤の構成要素 C/S 認証, 代理認証 SAML 認証各種システム SSO A D Windows デスクトップ SSO シングルサインオン機能認証情報の連携機能 Notes GoogleApps 取引先パートナー社員統合認証ポータル認証ログ管理者人事システム人事 DB ( 社員 ID) パスワード管理 ID 登録変更削除ワークフロー監査証跡電子化 ( レポート ) ヘルプデスク向け機能監査ログ ID 情報のデータ連携 (CSV) 統合認証 DB IDM 認証 / 権限情報の一元管理ユーザ ID 情報組織ロール等の配信 (ID 情報の同期 ) CSV,SQL,API 連携システム AD シンクルサインオンシステムシステムフロヒショニンク 14

モデルケース 2: 大手製造業様本社 + グローバル拠点で SSO IDM を実現するモデルケース本社側でグローバル拠点も含めた内部統制管理をするため本社 + グローバル拠点で ID 管理シングルサインオンを実現するモデルケースをご紹介します背景各リージョン各グローバル拠点で ID 管理が個別最適化されている人の出入りが速いため ID が氾濫し ID ライフサイクルが十分に管理できていないシステムに対してのアクセス権誰がいつなにをどうしたを把握できていない課題認識拠点ごとに個別で導入したシステムが乱立しており本社側で管理できない状況にある人事情報を本社と拠点で個別管理しており ID ライフサイクルが管理できていない現地のシステム対応が十分でないためアクセス権設定監査ログの取得ができていない目的グローバル拠点間で ID/PWD を統合管理し本社側から内部統制を効かせるグローバル拠点間でのアクセスコントロールやシングルサインオンを実現しセキュリティリスクを低減する 15

モデルケース 2: 大手製造業様本社 + グローバル拠点で SSO IDM を実現するモデルケース認証基盤再構築にて本社 / グローバル拠点の各サービスに対する IDM SSO 機能を実現した構成例です日本人事システム AD (DMJ) AD アカウントパスワード連携利用者管理者海外拠点利用者管理者 SSO 機能パスワード変更アカウント登録変更削除ワークフローレポート各拠点エリアローカルサービスが対象 SSO 機能パスワード変更アカウント登録変更削除ワークフローレポート人事情報連携新認証基盤 +DR 機能 IDM アカウント情報登録 ID 数 :50,000 パスワード連携アカウントパスワード連携海外拠点人事システム人事情報連携 IDM アカウント情報アカウントパスワード連携拠点認証基盤 SSO 海外拠点 AD アカウントパスワード連携 SSO 機能アカウントパスワード連携 SSO 機能 SSO 機能パスワード連携 SSO 機能アカウントパスワード連携 SSO 機能アカウントパスワード連携グローバルイントラグローバルサービスローカルサービス業務システムエリアサービスローカルサービス 16

1.SSO が求められる背景 2.SSO プロジェクト推進に要求される要件導入のポイントと事例 3. これまでの OpenAM 4. これからの OpenAM 17

OpenAM の歴史 AOL による買収 iplanet を引き取り OSS 化 Oracle による買収分離運営主体 Netscape iplanet (Sun+AOL) Sun Oracle プロダクト dsame identity Server Access Manager OpenSSO Oracle OpenSSO 運営主体 ForgeRock プロダクト OpenAM 18

ForgeRock 社について ForgeRock.Inc.( フォージロック社 ) サンマイクロシステムズによって開発されたオープンソースの SSO 製品 OpenSSO をオラクルの買収を契機に開発者がスピンアウトして 2010 年に創設した会社 OpenAM OpenIDM をはじめとしたオープンソースによる ID 関連製品を提供この分野で現在急速に成長している IRM(Identity Relationship Management) をコンセプトにユーザ ID を利用した新しいビジネスモデルを築いている ( 出所 :http://forgerock.com/) Mike Ellis Chief Executive Officer With more than 30 years of experience in the software and technology industries, Mike has held senior executive roles at SAP, i2 Technologies, Oracle, and Apple. Mike has also provided consulting expertise to some of the largest software firms and venture-funded startups to define and drive new growth and execution opportunities. Mike has played and performed professionally as a guitarist and keyboard player and still enjoys playing. Lasse Andresen Chief Technology Officer A powerhouse of tireless can-do enthusiasm, Lasse brings a unique blend of business, technical and people skills to ForgeRock. His 20+ years of experience in the software industry includes leadership roles at both Sun Microsystems (he served as CTO for Sun Central and Northern Europe) and Texas Instruments. Lasse was also the co-founder and CTO of Gravityrock. Lasse s passion and vision for entrepreneurship ensures ForgeRock is always ready to execute and deliver 1 9

OpenAM 関連のグローバルセミナー出所 : http://vimeopro.com/forgerock/re-live-the- 2014-european-irm-summit-hosted-byforgerock 出所 : http://summits.forgerock.com/ 20

ForgeRock プロダクト群属性データ連携認証認可認証ゲートウェイ 21 属性データストア出所 : https://www.forgerock.com/products/

OpenAM のダウンロードサイト出所 : https://backstage.forgerock.com/#!/downloads/openam/openam%20enterprise#browse 22

コミュニティ版とサブスクリプション版の違い価値コミュニティ版サブスクリプション版メジャーリリース (9.0, 10.0, 11.0 等 ) メジャーリリースソースコード開発ライセンスコミュニティフォーラムメンテナンスリリース (9.0.1,10.0.1,11.0.1 等 ) メンテナンスリリースソースコードプロダクトサポート法的保障 ( 知的財産権リスク ) 開発ライセンス商用ライセンス 23

NRI と ForgeRock 社の提携レレレ Enterprise 版の国内販売日本語サポート EOSL( リリースより 3 年 +1 年 ) 後のサポート 24

OpenAM の特徴 OpenAM 商用製品 ( 一例 ) 技術の公開オープンソースで技術は公開されている商用製品で技術は非公開機能設計特徴基本的な機能を持つ (ID 管理機能プロビジョニング機能 SSO フェデレーション機能 ) 最新のオープンアーキテクチャ認証認可 ID プロビジョニング等の各機能をプラグインとして実装基本的な機能を持つ (ID 管理機能プロビジョニング機能 SSO フェデレーション機能 ) 10 年以上前の製品がベース DB 等の基盤全般を同社製品で統一する必要がある新技術 / 機能への対応カスタマイズ標準仕様策定に関与またサードパーティからも周辺製品が多数提供 ( 例 : ワンタイムパスワード多要素認証リスクベース認証プラグインなど ) 製品機能を API を使って呼び出せるため独自機能の多くを製品カスタマイズなく実装可能最新の標準仕様には追随する ( 方向 ) 機能変更は製品のカスタマイズになる性能数千万人単位のユーザを扱うことを前提に設計数万 ~10 万人程度までがターゲットライセンスサブスクリプション ( 年間 ) 製品ライセンス + 年間保守料 25

拡張性 OpenAMではSSO,IDMの機能をプラグインで拡張可能既に様々なプラグインが提供されている ( 下記表 ) 独自にプラグインを追加することも可能種類名称説明備考多要素認証 OATH 認証 Yubikey 認証 OATH 仕様に準拠した OTP( ワンタイムパスワード ) 認証 OATH 仕様に準拠した USB ドングル http://www.atmark it.co.jp/ait/articles/ 1310/17/news003_ 2.html リスクベース認証アダプティブリスク認証ログイン時の地理的位置最終ログインからの経過時間や認証失敗回数 IP アドレスの履歴などからログインしようとするユーザーが本人ではないリスクを評価し必要に応じて追加の認証を要求 http://www.atmark it.co.jp/ait/articles/ 1310/17/news003. html デバイスプリント認証ユーザーの使用している OS の画面解像度や色深度インストールされているフォントの種類ブラウザの種類やバージョンなどからログインしようとするユーザーが本人ではないリスクを評価し必要に応じて追加の認証を要求 http://www.atmark it.co.jp/ait/articles/ 1310/17/news003_ 2.html 26

1.SSO が求められる背景 2.SSO プロジェクト推進に要求される要件導入のポイントと事例 3. これまでの OpenAM 4. これからの OpenAM 27

グローバル市場規模セキュリティ市場 (~2016) クラウド市場 (~2020) IoT 市場 (~2020) 10 兆円市場 30 兆円市場 1000 兆円市場出所 :Gartner 出所 :Forester 出所 :IDC IAM 市場 (~2017) 8000 億円市場出所 :IDC 講演当時の為替レートで日本円換算 28

国内市場規模出所 :http://japan.zdnet.com/article/35049181/ 29

IAM のこれから BtoE BtoB,BtoC APP Service IAM プロダクト従業員パートナー IoT 時代の登場人物たち 30

なにが変わるのか? 31

ID 数認証数 32

ID 数と認証数の変化 < << <<< <<<<<< 従業員パートナー顧客モノ関係 (IRM) 33

性能 34

ターゲット性能 SSO 10000ID 1 億 ID IDM 秒間 10 件秒間 100 件 DB 10 同時接続 1000 同時接続 35

作り方 36

作り方個別最適代理認証クラサバヘッダ連携 CSV SQL スクラッチ標準化 &API SAML WS Federation OpenID Connect OAuth REST UMA 37

サービスレベル 38

サービスレベルビジネスタイム計画停止 Active-Active 24H365D 無停止リリース自動スケール 39

目的 40

目的利便性向上コンプライアンスコスト削減アジリティバリューチェーン売上向上 41

カスタマーエクスペリエンス ( ) x? 42

カスタマーエクスペリエンスとバリュー ( ) x? x M サービスサービスサービスサービスサービスサービスサービスサービスサービスサービスサービス 43

最後にレ時代は IAM から IRM へレ認証からカスタマーエクスペリエンスへレ安いオープンソースから価値のあるオープンソースへ 44

本資料に掲載されている会社名製品名サービス名は各社の登録商標又は商標です OpenStandia は攻めの IT を支援しますオープンソースのことならなんでもご相談ください! お問い合わせは NRI オープンソースソリューション推進室へ ossc@nri.co.jp http://openstandia.jp/ 45