2017 年 8 月更新 ver.4.5 IceWall SSO モバイルソリューションのご紹介 日本ヒューレット パッカード株式会社テクノロジーコンサルティング統括本部 IceWall ソフトウェア本部
目次 1. はじめに - モバイル SSO を取り巻く市場背景 2. IceWall SSO が提供する モバイル SSO ソリューション 2
はじめに - モバイル SSO を取り巻く市場背景 - 3
市場背景 1-1 クラウド & モバイル時代の IT 利用 ~any devices, anywhere accesses Public Cloud SaaS サービス 社外ユーザー (Remote) On Premise 社内イントラ 社内ユーザー IT 部門が処理の流れを把握出来ないセキュリティ 利便性 接続性に課題 4
市場背景 1-2 クラウド & モバイル時代こそ必要とされる統合認証基盤 認証連携 (Federation) Public Cloud SaaS サービス モバイル 社外ユーザー (Remote) 統合認証基盤 ワンタイムパスワード On Premise 社内イントラ IceWall ログ Web 利用分析 社内ユーザー モバイルからもSSO! クラウドサービスへもSSO! 高セキュリティの統合認証ソリューションが必要な時代に IceWall なら一挙解決 5
認証機能 認証機能 市場背景 2 スマートデバイスの普及に伴う変化 ~ ブラウザーから クラサバ 的アプリケーションへの回帰 スマートデバイス ( スマートフォンなど ) AP サーバー スマートフォン内のブラウザー GET, POST ( ブラウザーより ) HTML サーバーアプリケーション ユーザーインターフェースの開発自由度が大きい 今後さらなる普及の可能性 スマートフォン内のアプリケーション GET, POST (Web API より ) JSON, XML サーバーアプリケーション NFC NFC などの普及によりデバイス側のセキュリティソリューションも急増する見込み スマートデバイスのインターフェースやユーザービリティを考慮したログオン / 認証方法を検討することも重要に 6
IceWall SSO が提供する モバイル SSO ソリューション 7
IceWall SSO が提供する モバイル SSO ソリューション ~ モバイルデバイスの利用をより快適でセキュアに 1 スマートフォン 携帯電話の標準ブラウザーでの事前動作検証 2 スマートフォン用画面テンプレートの提供 3 スマートフォン タブレット用アプリケーションの提供 IceWall SSO Smart OTP 4 多様なスマートデバイスに対応可能な認証ソリューションの提供 IceWall SSO スマートデバイスオプション Android ios 版を各々 Google Play App Store 上で提供 8
1400 機種を超える携帯電話 スマートフォンの標準ブラウザーで動作検証を実施 NTT docomo 機種一例 AQUOS PHONE ARROWS BlackBerry GALAXY MEDIAS Optimus REGZA Sony Tablet Xperia iphone ipad Y! mobile 機種一例 DIGNO STREAM Softbank 機種一例 ipad iphone ARROWS DELL Streak GALAPAGOS HTC Desire PANTONE AQUOS PHONE au 機種一例 AQUOS PHONE ARROWS htc EVO INFOBAR iphone MOTOROLA PHOTON REGZA ipad iphone IceWall SSO 動作確認済スマートフォン一覧を Web サイトに公開しています 最新の動作検証結果は以下を参照ください http://h50146.www5.hp.com/products/software/security /icewall/sso/spec/smartphone.html http://h50146.www5.hp.com/products/software/security /icewall/sso/spec/mobile_list.html 9
2 スマートフォン用画面テンプレートの提供 Stylish Template スマートフォンに最適化した画面テンプレート ログイン画面 アイコン表示ポータル画面 リスト表示ポータル画面 Simple Template 従来の PC 用デザインに合わせた画面テンプレート カスタマイズが容易 この他にエラー表示画面も提供 端末属性 (User-Agent) により PC 用画面と自動切換可能 ログイン画面 アイコン表示ポータル画面 10
3 スマートフォン用アプリケーションの提供スマートフォンの快適性とセキュリティを両立するソリューション IceWall SSO Smart OTP ニーズ スマートフォンから Web アプリに簡単に単純な操作だけでログインしたい 追加コストをかけずに ログインのセキュリティを高めたい 端末毎にコストがかかる クライアント証明書やトークンは使いたくない スマートフォン上の少ない操作で簡単にログインが可能 ユーザー ID パスワードに ワンタイムパスワードを加えた二要素認証を実現 別途トークンの準備 携帯は不要 スマートフォン タブレット Android 版 ios 版を 各々 Google Play App Store 上で提供 ios 版イメージ (iphone) 画面はイメージです 使用する機種などにより異なることがあります 11
3 スマートフォン用アプリケーション IceWall SSO Smart OTP 12
IceWall SSO Smart OTP とは スマートフォンでのワンタイムパスワード (OTP) ソリューション スマートフォンで OTP を生成し 自動送信 SSO のセキュリティがさらに向上 HW トークンが不要なためコストが低い SW トークンとしても PC からのログインに使用可能 IceWall SSO 1 IceWall SSO 1 IceWall サーバー OTP 連携オプション IceWall SSO の基本構成に以下の機能を追加 / 付与 OneTime 認証連携ツール for IceWall IceWall SSO OTP 連携オプション Web アプリ IceWall SSO Smart OTP ( スマートフォンアプリケーション ) 2 アプリケーション (Smart OTP) をインストール ユーザー ID パスワードを登録 OTP の共通鍵を登録 認証サーバー / 認証 DB OneTime 認証連携ツール for IceWall OATH 準拠 1 : v10.0 以降で対応 2 :Android 版および ios 版を提供 13
ログイン操作手順 ( スマートフォンからのログイン ) 1. 2. 3. 4. 1. Smart OTP を起動 ログインアカウントを選択 2. ログイン ボタンをタップ 3. Smart OTP が OTP を自動生成 ユーザー ID/ パスワードと共に自動送信パスワードのみは Smart OTP 上に保存せず 毎回手入力することも可能です 4. ログイン完了ログイン後は標準ブラウザを使用して対象の Web サイトへアクセスが可能です 画面はイメージです 使用する機種などにより異なることがあります 14
ソフトウェアトークンとしての使用 (PC からのログイン ) 1. 2. 3. 4. 1. Smart OTP を起動 ログインアカウントを選択 2. OTP を表示 ボタンをタップ Smart OTP が OTP を生成 表示 3. PC 上でブラウザのログイン画面に 表示された OTP と共にユーザー ID/ パスワードを入力 送信 4. ログイン完了 画面はイメージです 使用する機種などにより異なることがあります 15
様々なトークンの使用イメージ IceWall SSO Smart OTP と共に OATH に準拠した HW トークンや SW トークンも使用可能 OTP を表示 ログイン画面に入力 送信 O A T H 準拠 HWトークン複数ベンダーの多様な製品 SW トークン ( スマートフォンアプリ ) IceWall SSO Smart OTP SW トークン (Windows PC クライアント ) IceWall SSO Smart OTP Windows *1 OTP を生成 ID/ パスワードと共に自動送信 スマートフォンアプリ IceWall SSO Smart OTP *1 PC のブラウザー版の SW トークンもご用意しています IceWall SSO IceWall サーバー 認証サーバー / 認証 DB OneTime 認証連携ツール for IceWall OTP 連携オプション Web アプリ OATH 準拠 16
OneTime 認証連携ツール for IceWall について本製品は株式会社エスシーシーの開発によるサーバー製品です IceWall SSO と組み合わせて Web アプリーケーションの前段に配置することで OATH 規格のワンタイムパスワード認証を実現します ライセンス体系 : サーバーライセンス Enterprise Edition と Standard Edition をご用意しています OneTime 認証連携ツール for IceWall を動作させるサーバー毎に 1 ライセンス必要です また別途 IceWall SSO OTP 連携オプション ( サイトライセンス ) が必要です 本ライセンスとあわせて保守のご購入が必要です 動作環境 サーバー OS:Red Hat Enterprise Linux 6.1 以降 (x86_64) Red Hat Enterprise Linux 7.1 以降 (x86_64) 認証システム :IceWall SSO 10.0 IceWall MFA 4.0 AP サーバー :Tomcat 6.0 (OS バンドル版 ) Tomcat 7.0 (OS バンドル版 ) Java:Open JDK 7.0 (OS バンドル版 ) Open JDK 8.0 (OS バンドル版 ) データベース : Oracle 12c Oracle 11g MySQL 5.6 MySQL 5.1 OpenLDAP 2.4 Windows Server 2016 Active Directory トークン ソフトウェアトークン :IceWall SSO Smart OTP 他 OATH 規格のソフトウェアトークン ハードウェアトークン :OATH 規格のハードウェアトークン 2017 年 8 月現在 最新の動作環境は別途お問い合わせ下さい 17
Tips1 各認証方式の比較 ID パスワード 電子証明書 HW ウェアトークン (OTP) Smart OTP (SW トークン OTP) 導入コスト 証明書購入コスト トークン購入コスト サーバーライセンスのみ 運用コスト ユーザーの利便性 なりすまし 強 証明書管理 更新 使い方が環境依存 トークン管理 更新 ただしトークン必要 スマートフォン必要 度 適合ソリューション汎用的 BtoB/ イントラネット リモートアクセス / 出金認証 欠点セキュリティ弱運用が煩雑導入コスト高 汎用的 / 出金認証 SW トークンはまだ普及途中 適用規模制約なし中規模小規模制約なし IceWall SSO Smart OTP は中 大規模領域においても最有力ソリューションに 18
Tips2 各ワンタイムパスワード方式の比較 トークンの種類 対応 OS 対応端末ログイン方法 OTP 共通鍵の登録方法 備考 IceWall SSO Smart OTP IceWall SSO Smart OTP (SW トークンモード ) ios6.0+ /Android 3.0+ 対応 OS が動作するスマートフォン 制限なし ( 主に PC) ワンタイムパスワードを意識せず自動ログイン URL/ ユーザー ID/ パスワードを事前登録 ( 複数サイトが登録可能 ) ワンタイムパスワードをコピー & ペースト または手動入力 ユーザー ID/ パスワードはその都度手動入力 手動入力 QR コードによる読み取り メールで通知された URL で登録 サイト別に複数のワンタイムパスワードを生成可能 カスタマイズ可能 ( 有償 ) タイムベースのみ使用可能 30 秒, 60 秒 /20byte, 32byte, 64byte の選択をユーザー毎に設定可能 Google Authenticat or ios5.0 + /Android2.2 +Blackberr y 等 制限なし ( 主に PC) ワンタイムパスワードをコピー & ペースト または手動入力 ユーザー ID/ パスワードはその都度手動入力 手動入力 QR コードによる読み取り サイト別に複数のワンタイムパスワードを生成可能 多数の OS に移植 30 秒 /20byte のみ タイムベース / イベントベースが選択可能 HW トークン OATH 仕様 ( タイムベース ) 制限なし ( 主に PC) ワンタイムパスワードを手動入力 ユーザー ID/ パスワードはその都度手動入力 不要 ( サーバー側での登録のみ ) 単一のワンタイムパスワード例 ) OTP C200 の場合 切り替え 60 秒毎 20byte(30 秒版は個別対応 ) 19
4 多様なスマートデバイス向け認証ソリューション IceWall SSO スマートデバイスオプション 20
IceWall SSO スマートデバイスオプションとは 各種スマートデバイス ( アプリケーション ) から送られる ID 情報 による認証を可能にする IceWall SSO のオプション製品 IceWall SSO 特殊アプリケーション NFC スマートフォン 証明書 タブレット PC フィーチャーフォン ID 情報 ヘッダー情報 BASIC 認証ヘッダー 証明書情報など IceWall SSO スマートデバイスオプション Web アプリ 各種スマートデバイススマートフォンアプリケーションお客様独自仕様の端末など 認証サーバー / 認証 DB IceWall SSO スマートデバイスオプションは サーバーライセンスとして提供されます ( ユーザー数には依存しません ) 21
IceWall SSO スマートデバイスオプションの仕組み スマートデバイス ( アプリケーション ) ( リクエストヘッダー ) スマートデバイスオプション リバースプロキシー (IceWall MCRP) Web アプリ RP サーバー NFC など 毎回送られるリクエストのヘッダーから ID 情報を抽出 認証サーバー認証 DB ID 情報の抽出処理は製品標準の機能を使用する他 カスタムプログラム ( 有償 ) により デバイス ( アプリケーション ) の仕様に合わせた抽出方法 ( 抽出パターン ) の実装が可能です 抽出した ID 情報を使用して認証 認可 (Cookie は使用しない ) IceWall SSO スマートデバイスオプション動作環境 RedHat Linux, Apache HTTP Server 詳細はサポートマトリクスを参照してください 22
スマートデバイスオプションの適合ケース HTTP の 3 つの仕組みが 利用可能な Web ブラウザー等には IceWall SSO フォワーダーが適合 (IceWall SSO の基本構成が適合 ) ブラウザー (1) ログイン画面より ID/ パスワードを入力して送信 (POST) (2) HTTP Redirect による AP 画面への遷移 IceWall SSO フォワーダー Web アプリ (3) Cookie によるログインセッションの維持 Set-Cookie: IW_INFO=ABCD.. Cookie: IW_INFO=ABCD.. HTTP の 3 つの仕組みが 利用できない スマートデバイス ( アプリケーション ) 等には IceWall SSO スマートデバイスオプションが適合 スマートデバイス ( アプリケーション ) X X X IceWall SSO スマートデバイスオプション Web アプリ POST Redirect Cookie..... リクエストヘッダー 23
スマートデバイスオプション デバイス / アプリケーション 1 スマートフォンアプリケーション ユースケース一覧 ID 情報抽出方法要件 / 課題ソリューション利用形態 端末固有 ID ( ) ヘッダー情報 HTTP ヘッダーに付与される端末固有の ID により認証したい スマートデバイスオプションがヘッダーより ID を抽出して認証 BtoE 2 携帯端末 ( フィーチャーフォン ) 端末固有 ID ( ) ヘッダー情報 HTTP ヘッダーに付与される端末固有 ID により認証したい 端末は HTTP リダイレクトが使用不可 スマートデバイスオプションがヘッダーより ID を抽出して認証 BtoC 3 EDIクライアントアプリケーション クライアント証明書情報 ヘッダー情報 ( カスタムの抽出プログラムによる ) クライアント証明書により認証したい クライアントアプリは Cookie を使用できない スマートデバイスオプションがヘッダーに含まれる証明書情報を抽出して認証 BtoB 4 金融系クライアントアプリケーション Authorizatio n ヘッダー BASIC 認証ヘッダー情報 既存システム機能の踏襲のため BASIC 認証によりロスマートデバイスオプションがグインしたい クライアントア AuthorizationヘッダーよりIDをプリがHTTPリダイレクトを使抽出して認証 用できない BtoB 端末固有 ID としてどのような情報を取得するか 取得した情報がセキュリティリスク上問題無いかどうかについては 個々のお客様の環境 ( 使用デバイス アプリケーション ネットワーク環境等 ) に依存します 24
Thank you