学認CAMP 2012 WisePoint Shibbolethによる多要素認証 のご紹介 ~学内、学外を包括したシングルサインオン~ ワンタイムパスワード認証でシングルサインオンのセキュリティを強化! 2012年9月12日 ファルコンシステムコンサルティング株式会社 営業本部 山下 克美 Ready! 会社概要 企業名 ファルコンシステムコンサルティング株式会社 設立年月日 2000年9月19日 代表取締役 代表取締役社長 高橋 正廸 資本金 41百万円 上場市場 非上場 従業員数 10名 住所 〒213-0012 神奈川県川崎市高津区坂戸3-2-1 KSP西612 事業内容 •シングルサインオン製品の開発、販売 •ワンタイムパスワード認証製品の開発、販売 •Web Application FireWall製品の販売 2 ©2012 Falcon System Consulting, Inc. All Rights Reserved Ready! WisePointのご利用シーン SSL-VPNシステムを使用する際の本人認証 キャンパス内無線LANシステムへのアクセス時におけるユーザ認 証(本学の学生のみWi-Fiから学内システムへのアクセスを許可) 認証VLANアクセス時におけるユーザ認証 個人情報の漏洩対策(セキュリティの確保) 学外からのハッキング対策(ワンタイムパスワードで安全) 学内からの不正アクセス対策 Webシステムへのシングルサインオン Shibboleth SPとWebシステムへのシングルサインオンと認証強 化 3 ©2012 Falcon System Consulting, Inc. All Rights Reserved Ready! WisePointの認証方式 イメージングマトリクス マトリクスコード ・画像をパスワードに スマートデバイス認証 ・iOSとAndroid対応 ・固体識別認証 ・イメージングマトリクス認証 ・マトリクスコード認証 ・Webシングルサインオン ・乱数表を用いた認証 VASCO DIGIPASS 携帯電話ID認証 ・ハードウェアトークン認証 ・携帯電話固有の製造番号 がパスワード ©2012 Falcon System Consulting, Inc. All Rights Reserved 特徴①多彩な認証方式(1) Ready! イメージングマトリクス認証 事前に覚えた画像を パスワードとして利 用 《特許取得済》 送信されるパスワー ドはワンタイムパス ワード ©2012 Falcon System Consulting, Inc. All Rights Reserved 特徴①多彩な認証方式(2) Ready! マトリクスコード認証 個人毎にユニークな 乱数表を用いて認証 WisePoint サーバ Q. E1 D4 1315 チャンレジコードを送信 レスポンス(パスワード)を送信 認証完了 ©2012 Falcon System Consulting, Inc. All Rights Reserved Ready! マトリクスコード認証の適用例 ICカードとの併用 ICカードとマトリクスコード認証よるハイブリッドカード 学内設備 ICカードを利用 学内・外 ・キャンパス内無線LAN (CiscoAironet、ARUBA) ・認証VLAN ・SSL-VPN ・Webシステム ・ShibbolethSP ※無線LAN、認証VLANはWeb認証画面連携となります。 7 ©2012 Falcon System Consulting, Inc. All Rights Reserved Ready! WisePoint Authenticator 連携製品 SSL-VPN連携製品 Juniper MAGシリーズ JunosPulseゲートウェ イ(Juniper Networks) FirePass(F5 Networks) Cisco ASA 5500シリーズ (Cisco Systems) Forefront Unified Access Gateway (UAG) (マイクロソフト) FortiGateシリーズ(フォーティネットジャパン) IPーVPN連携製品 Cisco ASA 5500シリーズ (Cisco Systems) Software Blade (CheckPoint SOFTWARE TECHNOLOGIES) 認証VLAN連携製品 Apresia(日立電線) OmniSwitch(日本アルカテル・ルーセント) AXシリーズ(ALAXALA Networks) Cisco Catalystシリーズ(Cisco Systems) 無線LAN連携製品 Mobility Controllers(Aruba Networks) Cisco Aironet(Cisco Systems) FireWall FireWall-1(CheckPoint SOFTWARE TECHNOLOGIES) 端末認証サーバ連携製品(PC) ROUD(丸紅OKIネットソリューションズ) Regstgate(エヌ・エス・アイ) 8 ©2012 Falcon System Consulting, Inc. All Rights Reserved Ready! WisePointAuthenticator(SSL-VPN連携)システム構成 WisePoint Authenticator 各種 アプリケーション (Radius認証サーバー) LDAPサーバー LDAPにID,PWの問合せ ・・・・ 学内LAN DMZ SSL VPN WisePoint Gatewayサーバ (イメージングマトリクス認証利用時の画像表示用) SSL-VPN製品の認証画面に マトリクスコードが表示可能 非常勤の先生が自宅からも成績登録が出来て便利! 9 ©2012 Falcon System Consulting, Inc. All Rights Reserved Ready! 無線LAN、認証スイッチ連携システム構成図 (学内への持込みPC、スマートデバイスからの不正アクセス防御) WisePoint Authenticator (Radius認証サーバー) LDAPサーバー LDAPにID,PW参照 Catalyst3560C キャンパス内有線・無線LAN DMZ WisePoinGateWay Imaging Matrix CatalystのWeb認証画面に ID、PW入力後、イメージングマトリクスの 画面を表示 無線LANアクセスポイント Wi-Fiから学内システムへのアクセスはWisePointで守ろう! 教職員、非常勤講師 10 ©2012 Falcon System Consulting, Inc. All Rights Reserved Ready! Web認証とシングルサインオン ■マトリクス認証方式(ワンタイムパスワード) 操作が簡単なブラウザベース型マトリクス認証 端末に専用ソフトが不要なクライアントレス設計 認証強度が高い低価格ワンタイムパスワード リバースプロキシ機能で情報漏洩対策が可能 イメージングマトリクス認証 ・覚え易く忘れにくい図形で認証 ・認証毎にイメージの位置情報が変化することで、 ワンタイムパスワード認証を実現 乱数表(マトリクスコード)認証 ・インターネットバンキングレベルのセキュリティ強度 ・マトリクスカードとパスワードで2要素認証を実現 スマートデバイス認証 ・スマートデバイス端末認証 ・ワンタイムパスワード WisePoint 各種Webアプリケーション ・desknet’s ・学務システム ・Webメール ・・・ ■シングルサインオン ■アクセスコントロール 認証 Intern et ■多様な認証機能 ■ポータル機能 ■スマートデバイス対応 11 ©2012 Falcon System Consulting, Inc. All Rights Reserved Ready! WisePointシリーズ 動作環境 対応プラットフォーム Red Hat Enterprise Linux ver.5以降 Windows Server 2008 R2 HW推奨スペック CPU:Xeon 2.2GHzクラス以上 Memory:4GB以上 ※最小構成は2台構成となります。クラスタ構成をとる場合は、H/Wは各2倍となります。 ※ ※GatewayサーバにはSSLサーバ証明書が必要となります。 ※DBはPowerGresを製品にバンドルしておりますが、大規模ユーザの場合はOracleを推奨致します。 ※推奨クラスタソフトはCLUSTER PRO、又はLife Keeperを推奨致します。 12 ©2012 Falcon System Consulting, Inc. All Rights Reserved Ready! ■対応ブラウザ ©2012 Falcon System Consulting, Inc. All Rights Reserved Ready! WisePoint Shibbolethについて Shibboleth認証にワンタイムパスワード機能を提供 学認と学内Webシステムへのシングルサインオンが可能。 ワンタイムパスワード機能も提供。 GoogleAppsと学内システムへのシングルサインオン 学内の認証VLANとShibbolethSP、Webアプリケーションとのシン グルサインオン連携を実現 IdP、SP機能 IdP機能(既存環境がShibboleth対応済み) SP機能(固定ID、PWでシングルサインオンを行う場合) 14 ©2012 Falcon System Consulting, Inc. All Rights Reserved Ready! WisePoint Shibbolethと学認連携 利用者 学生 学外Webサービス 学認認証連携(学認) シングルサインオン シングルサインアウト 教職員 提供サービス WisePoint Shibboleth(SP) Shibboleth SAML アクセスコントロール 商用電子ジャーナル GoogleApps ・・・ リバースプロキシ ゲストユーザー 管理者 WisePoint Shibboleth(IdP) ・イメージマトリックス認証 ・マトリックス認証 ・スマートデバイス端末認証 学内Webサービス SAML non-SAML Webメール Web履修 図書館システム ・・・ ・Shibboleth SPにワンタイムパスワード機能を提供 ・学認と学内Webシステムへのシングルサインオンが可能。 ・ワンタイムパスワード機能も提供。 ・GoogleAppsと学内システムへのシングルサインオン ・学内の認証VLANとShibboleth SP、Webアプリケーションとのシングルサインオン連携を実現 15 ©2012 Falcon System Consulting, Inc. All Rights Reserved Ready! ■WisePoint Shibboleth導入のメリット SAML2.0対応 本人認証と端末認証の2要素認証 ワンタイムパスワードの利用 どこに居ても、どのサービスを利用しても同じID、パスワードで認証できる 学認、GoogleApps にも対応可能 シングルサインアウトによる一斉ログオフ ネットワーク認証とシングルサインオンの連携が可能(一部機種のみ) uApproveの対応 Basic認証やForm認証に対して代行認証 サービスのマスキング エージェントや権限によるアクセスコントロール 様々なサービスの認証を一元管理 イメージングマトリクス認証、マトリクスコード認証、Jパスワード SAML2.0に対応していない環境にも考慮 スマートデバイスにも対応(端末認証はスマートデバイス、フィーチャーフォンのみ対応) 個人情報の保護にも対応 今後のクラウド環境で重要なインフラ 公共機関との連携、海外との連携 16 ©2012 Falcon System Consulting, Inc. All Rights Reserved Ready! スマートデバイスID認証(端末認証) 端末ごとに固有に持たせたIDで端末を特定 (個体識別) 専用ブラウザ(AppStore/Google Playからダウンロー ド)からアクセス ※(端末認証を行わず、通常のブラウザにてID、PW、 WisePointの認証機能を使用する場合は、専用ブラウザ は不要です。) ID/パスワード入力の手間を省く 指で画像をタップするだけの「イメージングマトリクス認証」 や乱数表による「マトリクスコード認証」と組み合わせれば、 簡単に二要素認証を実現。 ※WisePoint ver.4.1.18以降対応 ※WisePoint Authenticator ver.4.1.19(iOS) ver.4.1.19.9(Android)以降対応 17 ©2012 Falcon System Consulting, Inc. All Rights Reserved Ready! スマートデバイスID認証(端末認証) 専用ブラウザ(アプリ) WisePointBrowser5(iPhone/iPad) 弊社ID発行サーバで発行されたユニークなIDを端末に登録し、発行された固有のIDで認証 表示データをキャッシュしません WisePointBrowser (iPhone/iPad、Android) 端末固有のUDID(iPhone/iPad)、IMEI(Android)を利用して認証 iPhone/iPadでは表示データをキャッシュしません ご注意:WisePointBrowser(Android版)ではブラウザを閉じても、キャッシュがクリアされず、次回アクセス時に最後に閲 覧したページが表示されます。安全を保つために、ブラウザを閉じる際には必ずログアウトすることを推奨しております。 WisePointClient (iPhone/iPad) 弊社ID発行サーバで発行されたユニークなIDを端末に登録し、発行された固有のIDで認証 認証後は標準のブラウザに遷移し、コンテンツの表示は標準ブラウ ザにて行います。 ご注意:WisePointClientは、認証後はSafariに遷移しコンテンツの表示を行いますので、キャッシュが残ります。 2012/7/5現在WisePointShibbolethではWisePointClientによる端末認証に対応しておりませんが、順次対応予定です。 18 ©2012 Falcon System Consulting, Inc. All Rights Reserved 九州大学様導入事例のご紹介 Ready! 九州大学様 Shibboleth認証環境 セキュリティを重視するサービスに対する マトリクッスパスワード認証の提供 マトリックスパスワード認証の 対象となるサービス(QMAX) Shibboleth対応の図書館システム (マトリックスパスワード認証対象外) マトリックス パスワードの照会 DBサーバ 認可の情報等 の照会 学務情報 システム 事務用 ポータル 電子ジャーナル シングルサインオン WisePoint Shibboleth IdP マトリクスコード認証サー バ WisePoint Shibboleth SP リバースプロキシサーバ Service Provider ユーザ・パスワード 情報の照会 全学共通ID管理システム LDAPサーバ パスワード 変更システム WebシステムへのSSO マトリックス認証 ユーザID情報等を登録 ID、PW認証 ICカード発行 ・全学共通ID (裏面にマトリックス表) ・マトリックスコード生成 ・ロール生成 パスワード変更の場合 IdPでマトリクスコード認証し、 SP経由でサービスにアクセス 学生は、ID/PW認証で電子ジャー ナルのSPと学内ポータルにシン グルサインオン ©2012 Falcon System Consulting, Inc. All Rights Reserved Ready! 270社(内、高等教育機関様19機関) 製品紹介ホームページ http://wisepoint.jp/ ※お問い合わせは、弊社、又は販売代理店まで! ※[email protected] ※ 9/25に名古屋にて「東海ICTSFC合同WG・認証連携ユーザー会」を 開催致します。 www.falconsc.com 21 ©2012 Falcon System Consulting, Inc. All Rights Reserved
© Copyright 2024 ExpyDoc
