2016年8月更新 ver.1.0 IceWall Federationによる Office365導入のための 乱立AD対応ソリューション (オンプレミス型)のご紹介 日本ヒューレット・パッカード株式会社 テクノロジーコンサルティング事業統括 IceWallソフトウェア本部 ソリューション概要 © Copyright 2015 Hewlett Packard Enterprise Development LP 2 クラウド導入におけるシングルサインオンの課題 AD FSでOffice 365とのシングルサインオンを実現するには ADの統合が必須とされているが・・・ 要 望 現実 ADで認証したい Office 365 Salesforce GoogleApps… ADとクラウドサービスとの シングルサインオンを実現したい! でも社内にADが乱立していて、 統合は無理・・・ 無理! AD統合? 信頼関係無 ドメイン統合? 管理が別々 ID統合? 「野良AD」も存在 ADを統合せずに Office 365とのシングルサインオンを実現したい © Copyright 2015 Hewlett Packard Enterprise Development LP 3 IceWall Federationが問題を解決 クラウドIDのドメインを AA.COMに統一 社外 クラウドID [email protected] [email protected] [email protected] Office 365 認証要求 Salesforce GoogleApps… 認証要求 社内 (クラウドID) → [email protected] → [email protected] → [email protected] → IceWall Federationが 認証要求を振り分け・中継 * 認証要求 認証要求 ローカルドメイン AA-CORP.COM ローカルドメイン AA.LOCAL AD FS ローカルID [email protected] (ローカルID) [email protected] [email protected] [email protected] ローカルドメイン AA.CO.JP AD FS ローカルID [email protected] IceWall SSO LDAPなどAD以外の リポジトリは IceWall SSOで対応 ローカルID [email protected] ユーザーはローカルのADにログインするだけで Office 365にシングルサインオン。AD統合不要! * ユーザーは初回のログイン時に自分自身が存在するローカルドメインを1度だけ指定する必要があります。 2回目以降は自動的にローカルドメインが判断されます。 © Copyright 2015 Hewlett Packard Enterprise Development LP 4 本ソリューションの特長 AD統合不要 • ADの統合が前提とならないため、導入が容易。 低コスト・長期保守 • 使用するIceWall製品は、ユーザー数に依存しないライセンス体系。 • IceWall製品の信頼性、長期サポートにより、長期安定稼働を実現。 拡張性 • 認証連携の標準規格(SAML等)を使用しているため、Office 365以外 にSalesforceやGoogle Apps等、多くのクラウドサービスも使用可能 • IceWall SSO製品を追加すれば、AD以外のリポジトリ(LDAP、Oracle、 MySQLなど)にも拡張可能 • IceWall SSO製品を追加すれば、AD FSを導入せずにWindows環境 とのシングルサインオンも可能 © Copyright 2015 Hewlett Packard Enterprise Development LP 5 ソリューション詳細 © Copyright 2015 Hewlett Packard Enterprise Development LP 6 対象・前提条件 対象となるサービス・環境 対応クラウドサービス Office365、および、SAML2.0による認証連携(フェデレーション)を サポートしているクラウドサービス(Salesforce、Google Apps等)。 対応ブラウザ Internet Explorer、Chrome、Firefox等 対応クライアント (Office 365のみ) Modern Authenticationに対応したクライアント アプリ。 ・Outlook(2013以降)、Skype for Business等* *詳細はOffice365認証連携 動作確認済アプリケーション一覧をご覧ください。 http://h50146.www5.hpe.com/products/software/security/icewall/federation/office365_application.html 前提条件 • ローカル側のドメイン(リポジトリ)は、SAML 2.0のIdP(*)として構成されている必要がありま す。 そのため、ADにはAD FSやIceWall SSOの導入が別途必要です。 LDAPやRDB等のリポジトリにはIceWall SSOの導入が別途必要です。 • クラウド側のIDは、ローカル側のIdPが作成するクレームに含まれている必要があります。 • ユーザーが初回ログイン時に指定したローカルドメイン名は、ファイルクッキーとしてユーザー のPC上に保存されます。 • ローカル側のAD(リポジトリ)からクラウドサービス側へのIDプロビジョニングは別途必要です。 *IdP…Identity Providerの略。IDを管理して認証を行うサイト。 © Copyright 2015 Hewlett Packard Enterprise Development LP 7 参考システム構成 対応OS: Red Hat Linux 6.1以降、7.1以降 Office 365 社外 社内 ・・・・・ IceWall Federation Agent + IceWall MCRP (二重化構成) IceWall Federation (二重化構成) Active Directory + AD FS ※IceWall Federation Agent、IceWall MCRP、およびIceWall Federationは 同一筐体で動作させる構成も可能です。 (二重化の場合は全2台構成) © Copyright 2015 Hewlett Packard Enterprise Development LP 8 参考ライセンス (二重化構成) ライセンス ライセンス数 参考価格 IceWall Federation Agent License 2 ¥2,000,000 IceWall MCRP Standard Edition Server License 2 ¥3,200,000 IceWall Federation Single Connection License 1 ¥1,200,000 合計 ¥6,400,000 ※ライセンスのご購入の際は、あわせて保守のご購入が必要となります。 ※別途メディア費用が必要です。 ※別途OSライセンス等が必要です。 © Copyright 2015 Hewlett Packard Enterprise Development LP 9 ソリューション応用 © Copyright 2015 Hewlett Packard Enterprise Development LP 10 応用:乱立AD対応ソリューション SSO編 社内 社外 社内 Webアプリケーション Office 365 SAML ログオン SP Single Sign On IceWall Federation Agentが 認証要求を指定リポジトリに振り分け * IceWall Federation Agent + IceWall MCRP ローカルドメイン AA-CORP.COM ローカルドメイン AA.LOCAL AD FS ローカルID [email protected] ローカルドメイン AA.CO.JP AD FS ローカルID [email protected] IceWall SSO AD以外の リポジトリも 対応可能 ローカルID [email protected] クラウドだけでなく社内Webアプリケーションも乱立AD対応 * ユーザーは初回のログイン時に自分自身が存在するローカルドメインを1度だけ指定する必要があります。 2回目以降は自動的にローカルドメインが判断されます。 © Copyright 2015 Hewlett Packard Enterprise Development LP 11 共有アカウント使い回し対策ソリューション Before:管理者間でのアカウント使い回し ・ログイン証跡がアカウント単位 ・パスワードを共通管理 After:管理者個々のアカウントでログイン ・IceWallが変換。 ・ログイン証跡がUID単位 ・パスワードを個人管理 IceWall SSO クラウドでも Webアプリケーション でも対応可能 admin/pw 管理アカウントx1 管理アカウントx1 ADなど admin/pw admin/pw 管理者 admin/pw uid1/pw1 uid2/pw2 uid3/pw3 管理者 管理者を変更しても管理アカウントは変更不要 © Copyright 2015 Hewlett Packard Enterprise Development LP 12 Thank you
© Copyright 2024 ExpyDoc
