Webシングルサインオンソリューション HP IceWall SSO ver.10 ご紹介資料（標準イントラネット編）日本ヒューレット・パッカード株式会社テクノロジーコンサルティング統括本部 ©2010 - 2012 Hewlett-Packard Development Company, L.P. 1 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice 目次 ■概要 ■導入効果 ■HP IceWall SSOが提供する５つのメリット ■導入実績／システム構成例／参考価格 2 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. 概要 3 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. はじめに HP IceWall SSOは、日本HPが国内で開発し、製品として提供している NO.1* Webシングルサインオンソリューション（Single Sign On=SSO）です。 HP IceWall SSOは、1997年の発売以来、日本国内においてイントラネットサービスや BtoC、BtoBサービス等の多くのシステムへの導入実績があり、現在までに合計 4,000万以上のユーザーライセンスが販売されています。 * 出荷金額ベース国内Webシングルサインオンパッケージ市場No1 日本HP：42.9% （出典：ミック経済研究所「個人認証・アクセス管理型セキュリティソリューション市場の現状と将来展望2011」 2011年10月刊） 4 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. なぜ今、SSOが求められているのかコンプライアンスへの対応、内部統制、リスク管理実施の一環として、情報資産を守る必要性が高まる一方で、IT環境の複雑化によりセキュリティ強度やアクセス管理ポリシー設計を統一することが困難になっています。この状況の対策として、認証やアクセス制御の統合・強化を実現するSSO（統合認証基盤）の重要性が非常に高まっています。アプリケーション毎（まかせ）の管理 ■アプリケーション毎にバラバラのアクセスコントロールで実態不明 ■管理コストもかかる SSOを用いた統合管理 ■統合管理されているため、ユーザーの挙動実態が把握可能コンプライアンス ■作業効率も大幅にアップオフィサーコンプライアンス内部統制対応 HP IceWall SSO 利便性の向上アクセスの統合管理 LOG IN ID PASS アプリケーションアプリケーション管理者管理者アプリ別監査証跡の管理 5 IT管理者アプリケーション管理者アプリ別認証・認可 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. アプリ別アクセス制御 Webアプリ Webアプリ Webアプリ認証基盤の位置づけの変化従来の認証基盤は、ITアーキテクチャの標準化を実現しました。今後は、更に仮想化、クラウド技術が導入された環境も併せての標準化、SAMLやOpenIDなど標準仕様を利用しての認証連携の実現が必要とされています。従来のイントラネット、B2B、B2Cにおける認証基盤の位置づけ Webアプリケーション WebアプリケーションＵＩ開発ＵＩ開発 APロジック開発 APロジック開発 DBアクセス DBアクセス情報継承情報継承今後のイントラネット、B2B、B2Cにおける認証基盤の位置づけ Webアプリケーション WebアプリケーションＵＩ開発ＵＩ開発 APロジック開発 APロジック開発 DBアクセス DBアクセス情報継承情報継承他の企業、サービス仮想化 ITアーキテクチャが標準化された環境認証・認可・証跡ログ防御セキュリティ 6 WebSSO © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. ITアーキテクチャが標準化され仮想化等のクラウド技術が導入された環境標準仕様（SAML、OpenＩＤ等）を利用して、ひとつのID、パスワードで認証する認証・認可・証跡ログ WebSSO Federation 防御セキュリティ（仮想化）（認証連携）認証基盤に必要な要素を満たすSSOソリューション HP IceWall SSOは従来は勿論のこと、今後の認証基盤に必要とされる要素を機能として実装している国内唯一のシングルサインオンソリューションです。きめ細かいアクセスログ機能スケーラビリティの確保クラウド技術への適用 IP v6対応長期的な製品保証セキュリティ対策の強化クラウドサービスとの接続保証仮想化上での動作認証処理速度の向上 7 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. 64bit OSへの対応無停止運用 HP IceWall SSOとは HP IceWall SSOは、企業内の複数のWebアプリケーションに対し、一度の認証によるログインを実現するシングルサインオンソリューションです。また、認証連携機能*により、クラウド利用時も安全な *HP IceWall Federationにより提供認証環境を提供します。 HP IceWall SSOの主な特長 POINT 1 POINT エージェント 4 Webアプリケーションに直接アクセスが可能なエージェント方式にも対応リバースプロキシ方式すべてのトランザクションが IceWallサーバーを通過。認証認可チェックし、アタックを防御。 Webアプリケーション POINT 3 HP IceWall SSO リバースプロキシ方式により、Webアプリケーションへの制約が少ない。 POINT 5 簡易ポータルアクセス権のあるURLを動的に生成し、権限に応じたコンテンツを出力。 Network クライアントPC IceWall サーバー POINT POINT 2 クラウド 8 認証モジュール IceWallサーバーからの要求を受け、認証DB上の認証認可情報と照合し、アクセスログを出力。 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. 6 Webアプリケーション Webアプリケーションクラウド接続パブリッククラウド・プライベートクラウドとの接続も可能。認証サーバー Webアプリケーション POINT マルチプラットフォーム対応 HP-UX, Linux, WindowsのいずれのOSでも構築可能。 7 導入効果 9 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. 導入効果 HP IceWall SSOを導入することで、経営者、開発者、管理者、ユーザーの皆様にさまざまなメリットを与えることができます。経営者開発者・・・・内部からの情報漏洩対策内部統制への対応証跡の統合管理ミッションクリティカルへの対応管理者ユーザー・ユーザーの統合管理（ＩＤ、パスワード、属性情報）・アクセス制御の統合管理・ AD、LDAPとの連携・運用コストの削減・ＩＴインフラの水平統合化への対応・新テクノロジーへの対応（Webサービス等） 10 ・アプリケーション開発のコスト削減・既存のWebアプリケーションとの連携・品質の高い製品の導入 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. ・多くのパスワード管理・アクセスの容易さ・アクセス権限のあるアプリケーションの判別・セルフサービス ■導入効果経営者の方へ御社のITシステムはサイロ化していませんか？HP IceWall SSOはサイロ化を防ぎ、全体最適化されたITシステムを構築することができます。更にはクラウド環境でのITシステムを最適化できます。サイロ化したアプリケーション全体最適化されたITシステム DB DB ビジネスロジックビジネスロジックビジネスロジック UI UI UI 認証・認可・証跡ログ WebSSO 防御セキュリティ Federation （認証連携） DB ビジネスロジックビジネスロジック UI UI 認証認証防御セキュリティ防御セキュリティ人事ＡＰ営業ＡＰクラウドサービス全体最適化が優れている理由時間と費用ポータル DB サイロ化のITシステム：アプリケーションや部門が増えるほど時間と費用がかかってしまう。サイロ型のＩＴシステム水平型のITシステム：アプリケーションや部門が増えても時間と費用があまり増えない水平型のＩＴシステム人事ＡＰ 11 営業ＡＰクラウドサービス © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. アプリケーションや部門の数 ■導入効果管理者の方へ海外製品のアクセス制御方式で、運用負担が高くなっていませんか？ HP IceWall SSOは日本で開発された製品であることを活かし、日本の組織にあった運用管理ができます。具体例人事部長から総務部長へ異動となった Aさんのアクセス制御を行う場合 Aさん HP IceWall SSOのルールベース方式 Aさん現状 IF 組織=人事部 IF 組織=総務部 IF 役職=部長人事用コンテンツ 12 他社製品のロールベース方式では、個人のロールを新たに割り当てなくてはならないので、その都度、時間と費用がかかってしまう HP IceWall SSOのルールベース方式では、個人属性が変われば自動的に変更処理されるので、人事異動の多い日本企業でも安心他社製品のロールベース方式 Aさん個人属性＋論理式でアクセス制御変更後現状 Then 人事用コンテンツ Then 総務用コンテンツ Then 部長用コンテンツ部長用コンテンツ個人にロールを割り当てアクセス制御変更後人事部長総務部長認可ルール総務用コンテンツ © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. ロールテーブル人事用コンテンツ部長用コンテンツ総務用コンテンツ ■導入効果開発者の方へ新サービス開発する際、認証システムとアプリケーションをその都度、開発していませんか？ HP IceWall SSOを導入すれば、認証システムとアプリケーションをわけて開発できるのでアプリケーション開発に専念できます。 HP IceWall SSOが認証、アクセス制御、セキュリティ対策をサポートアプリケーション開発部分～業務ロジックに集中～認証システム担当部分～セキュリティ機能を提供～ HP IceWall SSO導入前 Web アプリA 認証システムA ID／パスワード入力・照合 DBアクセスパスワード変更情報継承パスワード・ポリシー・チェック長さ／有効期間／履歴／英数字混在／IDと同一不許可認証システムB Web アプリC Web アプリN 認証システムC 認証システムN セキュリティ対策ユーザー・インターフェイス開発 APロジック開発 Web アプリB HP IceWall SSO導入後 Web アプリA Web アプリB Web アプリC Web アプリN 認証システムセキュリティ対策ユーザー登録・変更・削除認証システムとアプリケーションを分離するメリットアクセス制御タイムアウトサーバー･セキュリティクライアント証明書セッション管理 SSL HP IceWall SSOがサポートする領域 ■サービス拡充が容易・維持管理、改修コストの削減・新サービスのスピード化・パッケージ、ASPの追加が容易 ■各サービスへのセキュリティ対策も統一が可能認証部分とアプリ部分を分けて開発可能 13 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. ■二要素認証等も認証、アクセス基盤への対応のみ ■導入効果接続性の高さ HP IceWall SSOは、現在導入済のシステムを選ばず、一部の特殊環境を除き、どんな環境にでも適応させることができます。フォーム認証には11方式48通りのパターンに対応しています。 HP IceWall SSO IceWallサーバー HTTPヘッダでの属性情報引き渡し例: Suzuki Ichiro 自動Form認証、代行認証例: user01、***** 自動Form認証、代行認証例: AAAA、*** 認証DB サーバー例）新規、既存のＷｅｂアプリ認証あり Form Basic 例）パッケージ Webアプリ等認証あり Form Basic ■HP IceWall SSOの ID／パスワード ■属性情報 ■アプリケーションの ID／パスワード USERID PASSWD Name USERID PASSWD user01 ***** Suzuki Ichiro AAAA *** 14 認証なし © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. 例）パッケージ Webアプリ等 Webアプリケーション Type A 属性情報でのアプリケーションのコントロール Webアプリケーション Type B HP IceWall SSOのID ／パスワードを利用した認証 Webアプリケーション Type C アプリケーション管理のID／パスワードを利用した認証 HP IceWall SSOが提供する 5つのメリット 15 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. HP IceWall SSOが提供する5つのメリット HP IceWall SSOは利便性のみを追求する単なるポイントソリューションにはとどまらず、複数の課題を解決し、企業あるいは対外サービス全体でＩＴの最適化に貢献します。 Reliability 信頼セキュリティ強化で企業の信頼性を向上させます。 Comfort 快適クオリティの高い製品で快適なワークスタイルを実現します。企業が取り扱う個人情報、機密情報などの情報資産をセキュリティを強化することで守り、お客様や社会から信頼される企業になるためのサポートをします。きわめて高品質で使いやすい製品です。運用者の負担と、エンドユーザーがアプリケーションを使用する際のストレスを軽減し、一歩進んだ快適な仕事環境を実現します。 Care 安心日本開発の製品で、日本企業への細かいケアを行います。 Flexibility 柔軟幅広いビジネス規模・ニーズに柔軟に応え、未来の可能性を支えます。グローバルIT企業であるHPの技術と経験をベースに日本国内で開発をしています。機能・サポートの両面から、日本の企業文化や組織構造に合わせたきめ細やかなケアを行い、これによって常に安心してお使いいただくことが可能です。幅広い価格体系で企業の規模・ニーズに合った適切な導入ができ、その高い拡張性と他のソリューションとの連携で、長く付き合える製品を提供し、企業の未来の可能性を支えます。 Professional 確実専門的な知識と確実なサポートで企業のビジネスを止めません。 HPが培ってきた豊富な導入経験と知見に基づき、短期間での確実な導入が可能です。また、ビジネスニーズに対応した信頼性の高いサポートで、導入後のご相談やご要望にもスピーディーに対応し、企業のビジネスを止めません。 16 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. ５つのメリット ■Reliability 信頼企業が取り扱う個人情報、機密情報などの情報資産をセキュリティを強化することで守り、お客様や社会から信頼される企業になるためのサポートをします。セキュリティ強化で企業の信頼性を向上させます POINT 1 ID/パスワード漏洩を防止ユーザーに管理させるID/パスワードをひとつにすることにより、セキュリティ強度が上がる POINT 2 HTTP攻撃を防御攻撃（クロスサイトスクリプティング、SQLインジェクションなど*1）をシャットアウト POINT 3 情報漏洩を防止アクセスコントロールやログの一元管理で不正アクセスを防ぐ Network Webアプリケーション IceWall サーバークライアント PC POINT 4 Webアプリケーション強固な認証を実現他ソリューションとの連携による多要素認証や強力なパスワードポリシーが実現 Webアプリケーション最高レベルの暗号強度 SHA2によるパスワードハッシュ AESによる各カラムの暗号化 17 POINT 5 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. 認証サーバー *1 HP IceWall MCRPにて対応５つのメリット ■Comfort 快適 HP IceWall SSOは、極めて高品質で使いやすい製品です。運用者の負担と、エンドユーザーがアプリケーションを使用する際のストレスを軽減し、一歩進んだ快適な仕事環境を実現します。クオリティの高い製品で快適なワークスタイルを実現します POINT クライアントPC 1 ID/パスワードの一元化による利便性の向上企業におけるWebアプリケーション数は、数十から多いところでは数百にも上ります。HP IceWall SSO を導入するとID.パスワードを1つに集約することがエンドユーザーできます。 HP IceWall SSO POINT LOG IN ID PASS 2 数百万ユーザー規模でも快適な環境を実現するパフォーマンスとスケーラビリティ HP IceWall SSO は100万人ログインしている状態で毎秒100,000件の処理に耐えられる構造をもっています。始業時間帯などの大量アクセス時でも処理が滞りません。 POINT 3 Webアプリ 18 Webアプリ Webアプリ © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. 運用の簡便化企業内の認証、アクセス管理、証跡ログの一元管理を実現。ITシステム運用管理コストの削減に貢献します。 IT管理者 ■Comfort 快適 HP IceWall SSOの処理性能リバースプロキシ型はプロキシ部分に負荷が集中するためボトルネックになると考えられがちですが、HP IceWall SSOは処理性能が高いため、ボトルネックにはなりません。また、認証サーバー部分と認証ＤＢについても非常に高速です。現状では極めて大規模なサイトでも数千ヒット/秒数百ログイン/秒程度と考えられます。 HP IceWall SSOは十分それに耐えうる製品構造をもっています。高速処理性能の仕組みプロキシ専用。 1,000hit/sec/台以上 HP IceWall SSO dfw->MCRPにより一層の高速化を実現 Network Webアプリ IceWallサーバー MCRP クライアントPC マルチスレッド、コネクションプール B*Tree、認証モジュールの分散化により高速処理可能 100,000hit/sec以上 19 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. 認証モジュール認証 DB 認証サーバー書き込みが早いＤＢタイプを使用可能。ログインログアウト時に各１度のみアクセス 1,000ログイン/sec以上 ■Comfort 快適認証サーバーの性能ログインが集中する始業時間帯や、WebMail・勤怠管理などアクセス集中型アプリケーションの使用時においても安定して動作します。また分散化も可能です。 HP IceWall SSOのログイン処理ログイン要求１ログイン処理のポイント・ B*Treeメモリ検索があるから、同時ログインユーザーが多くてもパフォーマンスが劣化しないメモリ・マルチスレッド、コネクションプールによる完全パラレル処理を実現ログイン要求2 認証 DB ・・ログイン要求3 通常アプリケーションのログイン処理ログイン要求Ｎマルチスレッド B*Tree検索コネクションプールログイン要求１ログイン要求2 ・・・ログイン要求N メモリ認証認証 DB DB ・ログインユーザーが多いと検索に時間がかかり、パフォーマンスが落ちる・シーケンシャル処理になる 20 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. ■Comfort 快適管理ログ HP IceWall SSOは精緻なログの取得が可能です。内部統制やキャパシティプランニング、問題発生時の課題解決に活かすことができます。取得可能なログキャパシティプランニングに重要内部統制に重要・誰がいつどのコンテンツにアクセスしたか。ログイン失敗数 (監査証跡）・各Webサーバーへのアクセス数、コンテンツサイズ（トラフィック）・ログイン中ユーザー数、使用スレッド数、キュー数、コネクション数（ステータス） HP IceWall SSO IceWallサーバー Network クライアントPC 問題発生時の切り分けに重要・各Webサーバー、認証DBのレスポンス時間（パフォーマンス）・各モジュール間で共通IDを持ち歩くトランザクションログ ※同一トランザクション内（クライアントtoクライアント）で共通のIDを持ち回り、ログや画面に出力します。IDを突き合わせることにより、障害解析をより迅速にすすめることが可能となります（ICP2.0のみ） 21 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. 認証 DB 認証サーバー Webアプリ ■Comfort 快適 Webサーバー、認証DBのレスポンス時間 HP IceWall SSOはWebサーバーと認証DBのレスポンス時間を取得できます。これを利用することで、システム上問題があった場合でも短時間での問題解決を可能とします。アクセス処理の流れと取得するログ ⑤ IceWallサーバー ④ Network クライアントPC ① ② ③ 認証サーバー IceWallサーバーで取得できる主なログ項目 ① [フォワーダ起動からWebサーバー接続までの時間] ④ [Webサーバー接続開始からコンテンツ受信完了までの時間] ⑤ [コンテンツ受信後からブラウザ出力までの時間] [日時][ユーザーID] [リクエストメソッド][リクエストURL] [コンテンツサイズ] [IPアドレス] 22 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. 認証 DB Webアプリ認証サーバーで取得できる主なログ項目 ② [リクエスト処理時間] ③ [DB処理時間] [日時][ユーザーID][ログインしていた時間] [リクエストURL] ■Comfort 快適トランザクションID 同一トランザクション内（クライアントtoクライアント）で共通のIDを持ち回り、ログや画面に出力します。IDを突き合わせることにより、障害解析をより迅速にすすめることが可能となります。（ICP2.0のみ） HP IceWall SSO基本構成 POINT ①最初にフォワーダにアクセスする際にトランザクションIDを生成 TRN ID:XX123 ②認証モジュールにトランザクションID送付。ログ出力 XX123 IceWallサーバークライアント PC TRN ID:XX123 ④エラー画面にトランザクションID 埋め込み出力 23 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. TRN ID:XX123 XX123 XX123 TRN ID:XX123 エージェントバックエンド Webサーバー XX123 ③トランザクションIDをヘッダに付加認証サーバー認証DBサーバー ■Comfort 快適 HP IceWall SSO Performance Monitor IceWallサーバーや認証サーバー上のモジュールのログをテキストだけではなく、モニタ形式で参照できます。 iwpmd iwpmc ① [フォワーダ起動からWebサーバー接続までの時間] ② [Webサーバー接続開始からコンテンツ受信完了までの時間] ③ [コンテンツ受信後からブラウザ出力までの時間] ① ② ④ [リクエスト処理時間] ⑤ [DB処理時間] ③ ④ ⑤ IceWallサーバーでの処理時間、リクエスト件数を各 Webアプリケーションごとに逐次表示認証サーバーでの処理時間、リクエスト件数リソース使用量を逐次表示 24 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. ■Comfort 快適 HP IceWall SSO Dynamic Menu Portal Dynamic Menu Portalは、HP IceWall SSOが管理するシステムへの入り口となるポータル画面を動的に生成する機能です。HP IceWall SSOに標準装備されています。ユーザーは、Dynamic Menu Portalが生成した画面から各種アプリケーションにアクセスことが可能です。また、ポータル画面には、ユーザーIDやユーザー属性（部署等）、アクセス権限に応じて個人別コンテンツやグループ別コンテンツを表示することができます。 Enterprise Page Group Page My Page その他WebアプリケーションへのSSO Dynamic Menu PortalからExchange 等へのSSOも可能コンテンツローテーション、時間表示切替コンテンツの表示を、時間に合わせてローテーションで切り替えることが可能セルフサービスによる個人情報登録 Identity Managerと連携し、ユーザーのセルフサービスによる情報の修正、登録が可能 25 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. ５つのメリット ■Care 安心 HP IceWall SSOは、グローバルIT企業であるHPの技術と経験をベースに日本国内で開発しています。機能・サポートの両面から、日本の企業文化や組織構造に合わせた決め細やかなケアを行い、これによって常に安心してお使いいただくことが可能です。日本開発の製品で、日本企業の細かいケアを行います日本で開発した製品だからできる、万全のサポート HP IceWall SSOは日本国内で開発しています。だからこそ、日本の企業文化や組織構造に合わせたきめ細やかなケアで常に安心してお使いいただくことが可能です。グローバルIT企業であるHPの技術と経験が可能にする機能グローバルIT企業であるHPの技術と経験が、時代に求められる機能を実現します。たとえばHP IceWall SSOでは、シングルサインオンの範囲を一歩広げて、SAMLやOpenIDなど最新規格に対応し、サイト間認証連携も実現できます。 HP IceWall SSO はこうした新しいご要望に積極的に取り組んでいる製品です。２０２０年３月までのサポートモデルシングルサインオンを導入する際、一番不安に感じることは、製品の置き換え。多くのＷｅｂアプリケーションと接続しているため、その入れ替えは容易ではありません。HP IceWall SSOは１０年以上の日本国内での実績を誇り、また最新バージョンにおいては、２０２０年の３月までのサポートモデルを提示しています。したがって、お客様には長期にわたり安心して使用していただけます。 26 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. ５つのメリット ■Flexibility 柔軟 HP IceWall SSOは、幅広い価格体系で、企業の規模・ニーズに合った適切な導入ができ、その高い拡張性と他のソリューションとの連携で、長く付き合える製品を提供し、企業の未来の可能性を支えます。幅広いビジネス規模・ニーズに柔軟に応え、未来の可能性を支えます 27 接続性が高い OPEN仕様 HP IceWall SSOは、現在導入済のシステムを選ばず、一部の特殊環境を除き、どんな環境にでも適応させることができます。ＨＴＭＬ画面のカスタマイズ、ＡＰＩの公開、通信電文の公開、 DB構造の公開、デファクトスタンダードのＷｅｂサーバーソフトウェア、ＤＢの採用などにより、自由度が非常に高く、容易に顧客の環境に溶け込むことが可能です。規模やニーズに合わせた適切な導入他ソリューションとの連携 HP IceWall SSOは日本国内で開発しています。だからこそ、日本の企業文化や組織構造に合わせたきめ細やかなケアで常に安心してお使いいただくことが可能です。 HP IceWall SSOは、サイト間認証連携をはじめ、生体認証、 ICカード認証、携帯電話による認証、また金融サービスにおいて注目されているリスクベース認証など、導入目的に応じてさまざまなソリューションと連携可能です。 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. ■Flexibility 柔軟 HP IceWall SSOが提供する２つの方式 HP IceWall SSOでは代表的な２つの型を使った、リバースプロキシ型とエージェントモジュール型を提供しています。エージェントモジュール型のポイントエージェントモジュール型・ブラウザからアクセスする際にボトルネックになる箇所が少なく、パフォーマンスに優れている・ Webサーバーごとにエージェントを埋め込む必要がある・エージェントモジュールがWebサーバーのプラットフォームに対応していない場合があるクライアント PC Network Webアプリリバースプロキシ型エージェントエージェントエージェント http://www.backend1.com/ http://www.backend3.com/ http://www.backend2.com/ Network リバースプロキシサーバー認証サーバー http://www.rproxy.com/ 認証サーバー Webアプリ 28 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. ■Flexibility 柔軟リバースプロキシ型とエージェントモジュール型の混在利用 HP IceWall SSOは、リバースプロキシ型とエージェントモジュール型を自由に組み合わせて、複雑な社内ネットワーク構成にも柔軟に対応できます。 3つの型を組み合わせたシステム構成例リバースプロキシ型 Webアプリ IceWallサーバー Network フォワーダクライアントPC 認可認証情報は集中管理認証・認可・プロキシエージェント MCRP プロキシ ※エージェントモジュー Webアプリルver8.0は、IceWall サーバー ver8.0及び 10で使用できます。（2010年8月現在） 29 エージェントエージェントエージェント認可 Webアプリエージェントモジュール型 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. IceWall Agent+MCRP エージェントプロキシ型 ■Flexibility 柔軟自由度の高さ HP IceWall SSOは、多様な設定ファイル項目やAPIの提供など充実したカスタマイズ性により、非常に柔軟に個々の環境や要求に適応することが可能です。しかも、そのカスタマイズがHP IceWall SSOのバージョンアップに支障を与えないような構造を採用しています。カスタマイズ例可能なカスタマイズ・電文のカスタマイズ・ログイン画面のカスタマイズ・エラー画面のカスタマイズ継承する情報、ヘッダを Webアプリごとに個別設定可能 Webアプリ IceWallサーバー Network カスタマイズ設定・API Apache HTTP Server クライアントPC 可能なカスタマイズ・情報のカスタマイズ・セッションIDの作成・パスワード暗号方式作成・通信電文の公開・テキストによるログ出力 30 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. カスタマイズ設定・API 認証 DB 認証サーバー Oracle/LDAP ActiveDirectory MySQL 公開された認証テーブル既存の認証DBの流用可能 ■Flexibility 柔軟 Windows環境とのSSO HP IceWall SSOはWindowsと統合認証することで、後段のWebアプリケーションの認証を省略することができます。 Windowsと統合認証した場合 Windowsでの認証を済ませれば、あとは認証いらず LOG IN 統合認証しない場合 STEP 1 Windowsの認証 LOG IN ID PASS ID PASS STEP 2 Webアプリケーションの認証 LOG IN × LOG IN Webアプリケーションの認証をする必要なし 31 ID PASS © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. ID PASS ■Flexibility 柔軟 Windows統合認証とのSSOを実現する仕組み HP IceWall SSOとWindowsとの統合認証は、下記のような仕組みで実現しています。 Kerberos v5 を利用したWindows統合認証とのシングルサインオン Windows サーバードメインコントローラ W2K SP2/ IE6.0SP1以上で自動ログイン可能 MSAD ①Windowsドメインログオン ②アクセス Network ③ログイン画面表示クライアントPC ④自動ログインを選択 ID : 32 モジュール追加認証 DB 認証サーバーパスワード : 自動ログイン IceWallサーバーログイン画面を表示させないことも可能 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. 認証DBの共通化も可能 Webアプリ ■Flexibility 柔軟サイト間認証連携とはサイト間認証連携（グローバルシングルサインオン）とは、それぞれ個別に認証機能を持つサイト間でのシングルサインオンのことです。サイト間で認証情報を交換し信用することにより、連携した別サイトにアクセスする際にも認証を有効にします。これによって、一度認証を受ければ再度認証を受けずに（ユーザーID/パスワードの入力等なしに）連携した他サイトのWebシステムにアクセスできるようになります。認証の連携は、サイトの中身に中立な標準仕様によって行われます。認証システム A(IDP) SSO SSO Login UserID Passwd Login UserID Passwd 認証システム X(SP) (SAML2 ゲートウェイ) 認証システム Y(SP) IDを1回入力するだけで複数の認証システムにログイン SSO Login UserID Passwd 33 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. ■Flexibility 柔軟 HP IceWall SSO 認証連携ソリューションシングルサインオンソリューションのHP IceWall SSOでは、様々なサイト間認証連携を実現するためのソリューションをご提供しています。 HP IceWall SSOのサイト間認証連携ソリューション SAMLによるサイト間認証連携の実現 OpenIDによるサイト間認証連携の実現 HP IceWall SSOは、SAML2.0仕様を実装したオプション製品を提供しています。 HP IceWall SSOでは、HP IceWall SSOを導入したサイトにOpenID Providerの機能を実装させるモジュールを提供しています。・SAML2 SSO-Profileオプション・SAML2エージェントオプション・OpenID連携プロバイダモジュール・Uni-IDとの連携 Shibbolethによるサイト間認証連携の実現 Google Apps・Salesforceとのサイト間認証連携 HP IceWall SSOでは、Shibbolethとの連携情報についての情報を、設定ガイドとして提供しています。・HP IceWall SSOとShibbolethとの連携方法設定ガイド 34 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. HP IceWall SSOでは、Google Apps、Salesforceとの連携情報についての情報を、設定ガイドとして提供しています。・HP IceWall SSOとGoogle Apps、Salesforceとの連携方法設定ガイド ■Flexibility 柔軟 HP IceWall SSOで実現する認証連携 HP IceWall SSOは”ゲートウェイ”サーバーを介して、様々な標準仕様に対応したサイトと認証連携することができます。 SAMLサイト GW for SAML SAMLサイト SAMLサイト HP IceWall SSO 基本構成 GW for OpenID GW for Shibboleth 35 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. OpenIDサイト OpenIDサイト OpenIDサイト Shibbolethサイト Shibbolethサイト Shibbolethサイト ■Flexibility 柔軟認証機能の入れ替え HP IceWall SSOでは認証機能のみを生体認証やOTPなど別の認証方式に入れ替えることができます。認証機能を別の方式に入れ替え HP IceWall SSO フォワーダ IceWall の認証機能＋ IceWall のアクセス制御 HP IceWall SSO Agent オプション＋認証機能を他製品と入替え他製品の認証機能生体認証の絵生体認証 36 OTP © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. その他の認証機能（ICカードなど） IceWall のプロキシ HP IceWall MCRP ■Flexibility 柔軟他認証システムとの連携一覧 HP IceWall SSOでは以下の他の認証システムと連携することができます。ベンダー製品名種類 IWとの連携 RSAセキュリティ(株) RSA Adaptive Authentication for Web リスクベース認証連携ソフトウェア提供（有償オプション） RSAセキュリティ(株) RSA Secure ID ハードウェアトークン（ワンタイムパスワード）設定で対応ソニー株式会社 Felica ICカード設定で対応ソフトバンクBB株式会社 SyncLock 携帯電話を使用した認証（ワンタイムパスワード）連携ソフトウェア提供（有償オプション） (株)ソリトンシステムズ SmartOn ICカード設定で対応日本ベリサイン株式会社 VeriSign ManagedPKI 電子証明書連携ソフトウェア提供（有償オプション）パスロジ株式会社 PassLogic マトリクス認証（ワンタイムパスワード）ベンダーより接続用モジュール提供株式会社日立ソリューションズ静紋生体認証（指静脈認証）ベンダーより接続モジュール提供マイクロソフト株式会社 Microsoft Windows Windows統合認証連携ソフトウェア提供（有償オプション）株式会社ディー・ディー・エス ID Manager for HP IceWall クライアントサーバーアプリケーションID、設定で対応パスワード自動代行入力株式会社ディー・ディー・エス EVE MA 多要素認証プラットフォーム設定で対応大日本印刷株式会社 TranC’ert Enterprise ICカード(クライアント証明書) 設定で対応株式会社VASCO Data Security Japan VASCO DIGIPASS ハードウェア／ソフトウェアトークン（ワンタイムパスワード）設定で対応株式会社VASCO Data Security Japan Vacman ハードウェア（ワンタイムパスワード）設定で対応 37 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. ５つのメリット ■Professional 確実 HP IceWall SSOは、HPが培ってきた豊富な導入経験と知見に基づき、短期間での確実な導入が可能です。また、ビジネスニーズに対応した信頼性の高いサポートで、導入後のご相談やご要望にもスピーディに対応し、企業のビジネスを止めません。専門的な知識と確実なサポートで企業のビジネスを止めません豊富な導入経験と短期間で確実な導入 HP IceWall SSOは、トヨタ自動車株式会社様やNTTコミュニケーションズ株式会社様をはじめ、多くのリーディングカンパニーに採用されています。また金融サービスをはじめとするミッションクリティカル環境における豊富な実績に基づき、確実なサポートをご提供します。その経験を活かし、お客様のさまざまな環境下において、短期間で確実な導入を実現しています。ビジネスニーズにスピーディーに対応 HP IceWall SSOは、モバイルサービスへの対応、ＡＳＰサービスへの対応、Windows環境との連携、企業間連携サービスへの対応など時代の要望に応じた機能を次々と実装してきました。それによりお客様の環境が常に最先端であるように努めています。サポート体制 HW、OS、アプリケーションとの一体型サポートが可能です。また日本にサポート拠点があるため非常に迅速なレスポンスができるようになっています。さらに日本の企業文化や組織構造に合わせたきめ細やかなケアで、確実なサポートをお届けします。 38 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. ■Professional 確実完全二重化の実現 HP IceWall SSOは完全二重化を実現していますので、どの1台がダウンしても、ユーザーセッションはそのまま維持することができます。またアクセス専用スレッドを設定することにより、認証 DBが完全停止、もしくは切替中でもログイン中ユーザーは処理の継続が可能です。二重化、多重化の実装により、どの1台がダウンしても安心ですクライアントPC Load Balancer IceWallサーバー認証サーバー Active/Standby 認証ＤＢサーバー認証DB 認証DBが完全停止中でもログイン中ユーザーは処理の継続可能認証 DB IceWallサーバーＮ台構成による冗長化。１台がダウンしてもセッションは継続 39 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. 認証サーバーレプリケーションによる冗長化、１台がダウンしてもセッションが継続。 Certd分散化オプションによる分散化認証DBサーバーレプリケーション、 Oracle RAC等による冗長化の実現導入実績／システム構成例／参考価格 40 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. 導入実績多くのリーディングカンパニーにHP IceWall SSOを認証基盤としてご採用頂いています。 ver.10までに4000万超ユーザーライセンスを販売。Webシングルサインオンパッケージ市場シェアNO.1* * 出荷金額ベース国内Webシングルサインオンパッケージ市場No1 日本HP：42.9% （出典：ミック経済研究所「個人認証・アクセス管理型セキュリティソリューション市場の現状と将来展望2011」 2011年10月刊）製品エディションお客様名製品エディションシステム内容ユーザー数 (株)アット東京様 SE イントラネット数百トヨタ自動車(株)様 EE イーヒルズ（株）様（森ビルグループ） EE ビジネスポータル（EIP） 5万 (株)三菱東京UFJ銀行様 EE+PKI NTTコミュニケーションズ (株)様 EE+PKI BtoB（ASP）数万三菱UFJインフォメーションテクノロジー(株) 様 EE イントラネット、エクストラネット、 GSSO(SAML) インターネットバンキングマーケットプレイス（株）NTTデータ様 EE+PKI 保険共同ゲートウェイ無制限大手損保 EE+PKI 代理店システム 10万～ (株）NTT ドコモ様 EE BtoC 数百万証券会社 EE イントラネット 4000 証券会社 EE BtoC 10万～ KDDI (株)様 EE ASP（ファイル交換サービス ) －新聞社 EE イントラネット 5000 佐賀県庁様 SE+DDS ID Manager イントラネット 4000 保険会社 EE イントラネット 10万住友商事(株)様 EE イントラネット 1.3万ユーティリティ会社 EE イントラネット 5万ソネットエンタテインメント(株) 様 SE イントラネット－通信会社 SE BtoB 1000～大学 SE イントラネット 1000～（株）損害保険ジャパン様 EE サービス会社 EE BtoC 100万 41 代理店システム © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. 数万お客様名システム内容ユーザー数十数万数百万 3万 ※EE=Enterprise Edition, SE=Standard Edition 導入実績シェアについて ver.10までに4000万超ユーザーライセンスを販売。 3つの市場調査において業界市場シェアNO.1に輝くシングルサインオンソリューションです。富士キメラ総研「2011ネットワークセキュリティビジネス調査総覧」シングルサインオン市場シェア 2010年（実績） 31.6％ Webシングルサインオンパッケージ 2009年、2010年の競合製品とのシェア比較図 HP IceWall SSO 21% 21% ミック経済研究所「個人認証・アクセス管理型セキュリティソリューション市場の現状と将来展望2011」 Webシングルサインオンパッケージ市場シェア 2010年（実績） 42.9% 3% 43% 3% 4% 4% 5% 5% 42 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. 12% 日本HP A社 B社 C社 2009年 13% 12% ITR 「ITR Market View-アイデンティティ＆セキュリティ・ログ管理市場2011」 SSO市場シェア 2010年度 43.9％ 43% D社 2010年 E社その他 12% Webシングルサインオンパッケージ市場シェアNO.1* * 出荷金額ベース国内Webシングルサインオンパッケージ市場No1 日本HP：42.9% （出典：ミック経済研究所「個人認証・アクセス管理型セキュリティソリューション市場の現状と将来展望2011」 2011年10月刊）システム構成例イントラネットでの標準構成を以下に示します。リバースプロキシ型とエージェント型の混合となっています。本社ユーザーリバースプロキシ接続 Webアプリ Webアプリ Webアプリ SW IceWall(1) サーバーエージェント接続支店ユーザーその他社内ネットワーク IceWall(n) サーバー設定サーバー (HP IceWall RCM) Windows Server (or Note PC) 専用線 LB 認証DB サーバー認証サーバーと兼用可能認証サーバー ID管理サーバー (HP IceWall Identity Manager) 43 LB © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. 認証DB サーバー認証情報既存のレポジトリの利用も可能 Webアプリ Webアプリ Webアプリリバースプロキシ接続参考価格 HP IceWall SSO導入の参考価格は以下のようになります。＊下記価格は目安です。使用するオプションやカスタマイズ要件などにより変わりますのでご注意ください。 ■HP IceWall SSO Standard Editionサーバーパッケージライセンスフォワーダ1台(単品) 1,200,000円 (税込1,260,000円）～ ■HP IceWall SSO Standard Editionライセンス価格例フォワーダ1台 100ユーザー 1,500,000円 (税込1,575,000円）～フォワーダ1台 1,000ユーザー 3,200,000円 (税込3,360,000円）～フォワーダ1台 3,000ユーザー 4,800,000円 (税込5,040,000円）～フォワーダ2台（二重化） 3,000ユーザー 6,000,000円（税込6,300,000円）～ HP IceWall SSO Standard Edition 制限事項・基本性能は HP IceWall SSO Enterprise Editionと同等の機能を有します。・追加ユーザーライセンスの追加ユーザー数単位は、100、500、1000、3000のみとなります。・同一システム内において、HP IceWall SSO Enterprise Edition ライセンス（以下 Enterprise Edition ）と HP IceWall SSO Standard Editionライセンス（以下 Standard Edition ）を混在して使用することは認められません。必要な場合は、Enterprise Edition ライセンスを再購入して下さい。・Standard Edition からEnterprise Edition へのライセンス移行はできません。・通常Enterprise Edition よりStandard Editionが遅れてリリースされます。また、あるバージョンのリリースがStandard Editionのみスキップされる場合があります。 44 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. 周辺サービスとお問い合わせ ◆お電話でのお問い合わせ (HPカスタマー・インフォメーションセンター) 0120-436-555 03-5749-8291（携帯電話・PHSから）受付時間：月曜日～金曜日 9:00-19:00 土曜日 10:00-17:00 （日、祝祭日、年末年始および5月1日を除く） ◆Webフォームからのお問い合わせ http://www.hp.com/jp/sso_est 最新、詳細情報 • HP IceWall SSO公式サイト http://www.hp.com/jp/icewall 各種サービス •導入サービス •エクスプレスサービス（短期間、低料金の定型構築パッケージサービス） • オンラインデモ http://www.hp.com/jp/icewall_demo •コンサルティングサービス（お客様のあらゆるニーズに応じる個別サービス） • HP IceWall SSO評価用マニュアルダウンロードサイト •定期技術トレーニングサービス http://www.hp.com/jp/icewall_download •海外への導入、サポートサービス •低価格なStandard Edition,定型パッケージもございます。 45 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P. 46 © Copyright 2010 - 2012 Hewlett-Packard Development Company, L.P.