Webシングルサインオン ソリューション HP IceWall SSO ver.8.0 R2 ご

Webシングルサインオン
ソリューション
HP IceWall SSO ver.8.0 R2
ご紹介資料
(インターネットサービス編)
日本ヒューレット・パッカード株式会社
コンサルティング・インテグレーション統括本部
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
目次
■概要
■導入効果
■HP IceWall SSOが提供する5つのメリット
■導入実績/システム構成例/参考価格
2
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
概要
2008/4/30
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
はじめに
HP IceWall SSOは、日本HPが国内で開発し、製品として提供している
NO.1* Webシングルサインオンソリューション(Single Sign On=SSO)です。
HP IceWall SSOは、1997年の発売以来、日本国内においてイントラネットサービスや
BtoC、BtoBサービス等の多くのシステムへの導入実績があり、現在までに
合計 4,000万以上のユーザライセンスが販売されています。
*出荷金額ベース 国内アクセスコントロールパッケージ市場No1 日本HP:33.7%
(出典:ミック経済研究所 「情報セキュリティソリューション市場の現状と将来展望2007【個人認証型ソリューション編】」
2007年9月刊)
4
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
なぜ今、SSOが求められているのか
情報資産を守る必要性の高まり
今、コンプライアンスへの対応、内部統制、リスク管理実施の一環として、
企業の重要な情報資産を内外から守る必要があります。
IT環境の複雑化
利便性の高いWebアプリケーションによって業務効率が向上する一方、
アプリケーション数の増加によって、それぞれが異なっているセキュリティ強度や アクセス管
理ポリシー設計を統一することが困難になり、IT環境が複雑化する 原因となっています。
統合認証基盤の必要性
この状況への対策として、認証やアクセス制御を統合・強化して管理することが 重要とされ、
統合認証基盤の必要性が高まっています。 さらに、これからの統合認証基盤では、ユー
ザーの利便性向上、可用性、セキュリティ強化、 他のセキュリティソリューションとの連携を
可能とする柔軟性等も重要な条件となっています。 以上の条件を全てカバーするのが、
日本HPが提供するシングルサインオンソリューションです。
5
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
HP IceWall SSOとは ~基本機能
HP IceWall SSOはシングルサインオンにより、一度の認証で複数のWebアプリケーションへの
ログインを実現し、さらにセキュリティと「アクセスコントロールの4A」の統合を実現する製品です。
HP IceWall SSOを用いた統合管理
アプリケーション毎(まかせ)の管理
■アクセスコントロール4Aが
統合管理されているため、
ユーザの挙動実態が把握可能
■作業効率も大幅にアップ
コンプライアンス
オフィサー
■アプリケーション毎にバラバラの
アクセスコントロールで実態不明
■管理コストもかかる
アクセスコントロール4A
・認証 ・認可
・管理 ・監査証跡
HP IceWall SSO
LOG IN
ID
PASS
IT管理者
アプリケーション アプリケーション
管理者
管理者
アプリ別
監査証跡の管理
Webアプリ
6
4/30/2008
Webアプリ
Webアプリ
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
アプリ別
認証・認可
アプリケーション
管理者
アプリ別認証
アクセス制御
HP IceWall SSOとは ~基本構成
HP IceWall SSOは、エージェントレスでOSやWebアプリケーションに制限の少ない
リバースプロキシ方式を主体としたWebシングルサインオン製品です。
HP IceWall SSO基本構成図
POINT
1
POINT
2 ・ エージェントの配布不要
リバースプロキシ方式
すべてのトランザクションが
IceWallサーバを通過。
認証認可チェックし、アタックを
防御する働きをします。
HP IceWall SSO
ネットワーク
3
Webアプリケーション
認証モジュール
IceWallサーバからの要求を受
け、認証DB上の認証認可情報
と照合し,アクセスログを出力
7
4/30/2008
Webアプリケーション
IceWall
サーバ
クライアント
PC
POINT
・ OS、Webアプリに制約
が少ない
Webアプリケーション
認証サーバ
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
導入効果
2008/4/30
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
導入効果
HP IceWall SSOを導入することで、経営者、開発者、管理者、ユーザの皆様にさまざまなメリッ
トを与えることができます。
経営者
開発者
・ セキュリティ対策
・ ミッションクリティカルへの対応
管理者
・ アプリケーション開発のコスト削減
・ 既存のWebアプリケーションとの連携
・ 品質の高い製品の導入
ユーザ
・ ユーザの統合管理(ID、パスワード、
属性情報)
・ アクセス制御の統合管理
・ 運用コストの削減
・ ITインフラの水平統合化への対応
・ 新テクノロジーへの対応
(Webサービ ス等)
9
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
・ 多くのパスワード管理
・ アクセスの容易さ
・ アクセス権限のあるアプリケー
ションの判別
・ セルフサービス
■導入効果
経営者の方へ
HP IceWall SSOはリバースプロキシ型を採用。
ユーザから本来のサーバへの直接アクセスを防ぎ、ネット上の脅威からサーバを守ります。
POINT
1
ユーザからは、IceWall
サーバしか見えない!
(隠蔽機能)
POINT FirewallもIceWallサー
2
バへの通信だけを通過さ
せればよいので、 集中管
理が可能!
POINT
3
サーバ証明書も
IceWallサーバだけに必
要
Webアプリ
Network
IceWall
サーバ
ユーザ
認証サーバ
認証DB
10
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
■導入効果
経営者の方へ
御社のITシステムはサイロ化していませんか?
HP IceWall SSOはサイロ化を防ぎ、全体最適化されたITシステムを構築することができます。
サイロ化したアプリケーション
全体最適化されたITシステム
DB
DB
ビジネスロジック
ビジネスロジック
DB
DB
DB
ビジネスロジック
ビジネスロジック
ビジネスロジック
UI
UI
UI
認証
認証
認証
防御セキュリティ
防御セキュリティ
防御セキュリティ
人事AP
ビジネスロジック
ビジネスロジック
ビジネスロジック
UI
UI
UI
認証・認可・証跡ログ
防御セキュリティ
WebSSO
サービスAP
全体最適化が優れている理由
時間と費用
ポータル
営業AP
サイロ化のITシステム:
アプリケーションや部門が増えるほど
時間と費用がかかってしまう。
サイロ型の
ITシステム
水平型のITシステム:
アプリケーションや部門が増えても
時間と費用があまり増えない
水平型のITシステム
人事AP
11
4/30/2008
営業AP
サービスAP
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
アプリケーションや部門の数
■導入効果
管理者の方へ
海外製品のアクセス制御方式で、運用負担が高くなっていませんか?
HP IceWall SSOは日本で開発された製品であることを活かし、
効率的な運用管理ができます。
具体例
当初バンキングのみ登録していたが、投信
や外貨預金の口座を追加申請した。
Aさん
HP IceWall SSOのルールベース方式
Aさん
現状
IF バンキング=Y
IF 投信=Y
IF 外貨=Y
他社製品のロールベース方式では、
個人のロールを新たに割り当てなくてはならないので、
その都度、時間と費用がかかってしまう
HP IceWall SSOのルールベース方式では、
個人属性が変われば自動的に変更処理されるので、
ユーザ数の多いシステムでも安心
他社製品のロールベース方式
Aさん
個人属性+論理式で
アクセス制御
登録後
現状
Then バンキング
Then 投信用コンテンツ
Then 外貨用コンテンツ
バンキング
登録後
管理者が
個人にロールを割り当て
アクセス制御
総務部長
総務部長
認可ルール
ロールテーブル
バンキング
12
4/30/2008
投信用
コンテンツ
外貨用
コンテンツ
バンキング
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
投信用
コンテンツ
外貨用
コンテンツ
■導入効果
管理者の方へ
BtoBサービスを運営されている場合、階層型管理を導入することで、管理が格段に効率化され、
生産性が向上します。
HP IceWall SSO導入後
HP IceWall SSO導入前
特権管理者
特権管理者
権限付与
管理
関連会社の
ユーザ管理者
権限付与
管理
ユーザ
セルフサービス機能で、
ユーザ自身が設定変更することも可能
13
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
ユーザ
導入メリットの高いサービス例:
インターネットバンク、データセンター、
ASP運営、保険代理業
■導入効果
開発者の方へ
新サービス開発する際、認証システムとアプリケーションをその都度、開発していませんか?
HP IceWall SSOを導入すれば、認証システムとアプリケーションをわけて開発できるので
アプリケーション開発に専念できます。
HP IceWall SSOが認証、アクセス制御、
セキュリティ対策をサポート
HP IceWall SSO導入前
Web
アプリA
認証システムA
アプリケーション開発部分
~業務ロジックに集中~
認証システム担当部分
~セキュリティ機能を提供~
ユーザ・インターフェイス開発
認証システムB
認証システムC
認証システムN
Web
アプリA
DBアクセス
情報継承
Web
アプリN
HP IceWall SSO導入後
ID/パスワード入力・照合
パスワード・ポリシー・チェック
長さ/有効期間/履歴/
英数字混在/IDと同一不許可
Web
アプリC
セキュリティ対策
APロジック開発
パスワード変更
Web
アプリB
Web
アプリB
Web
アプリC
Web
アプリN
認証システム
セキュリティ対策
ユーザ登録・変更・削除
認証システムとアプリケーションを分離するメリット
アクセス制御
タイムアウト
セッション管理
サーバ・セキュリティ
クライアント証明書
SSL
HP IceWall SSOがサポートする領域
■サービス拡充が容易
・ 維持管理、改修コストの削減
・ 新サービスのスピード化
・ パッケージ、ASPの追加が容易
■各サービスへのセキュリティ対策も統一が可能
認証部分とアプリ部分を分けて開発可能
14
4/30/2008
■二要素認証等も認証、アクセス基盤への対応のみ
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
■導入効果
開発者の方へ
HP IceWall SSOは、現在導入済のシステムを選ばず、一部の特殊環境を除き、
どんな環境にでも適応させることができます。
HP IceWall SSO
IceWallサーバ
HTTPヘッダでの
属性情報引き渡し
例: Suzuki Ichiro
自動Form認証、
代行認証
例: user01、*****
自動Form認証、
代行認証
例: AAAA、***
認証DB
サーバ
認証なし
例)新規、
既存のWebアプリ
認証あり
Form Basic
例)パッケージ
Webアプリ等
認証あり
Form Basic
例)パッケージ
Webアプリ等
■IceWall SSOの
ID/パスワード
■属性情報
■アプリケーションの
ID/パスワード
USERID
PASSWD
Name
USERID
PASSWD
user01
*****
Suzuki Ichiro
AAAA
***
15
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
Webアプリケーション Type A
属性情報での
アプリケーションの
コントロール
Webアプリケーション Type B
IceWall SSOの
ID/パスワードを
利用した認証
Webアプリケーション Type C
アプリケーション
管理のID/
パスワードを
利用した認証
HP IceWall SSOが提供する5つのメリット
2008/4/30
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
HP IceWall SSOが提供する5つのメリット
HP IceWall SSOは利便性のみを追求する単なるポイントソリューションにはとどまらず、
複数の課題を解決し、企業あるいは対外サービス全体でITの最適化に貢献します。
Reliability 信頼
セキュリティ強化で企業の信頼性を向上させます。
Comfort 快適
クオリティの高い製品で快適なワークスタイルを
実現します。
企業が取り扱う個人情報、機密情報などの情報資産をセ
キュリティを強化することで守り、お客様や社会から信頼さ
れる企業になるためのサポートをします。
きわめて高品質で使いやすい製品です。運用者の負担と、
エンドユーザがアプリケーションを使用する際のストレスを軽
減し、一歩進んだ快適な仕事環境を実現します。
Care 安心
日本開発の製品で、
日本企業への細かいケアを行います。
Flexibility 柔軟
幅広いビジネス規模・ニーズに柔軟に応え、
未来の可能性を支えます。
グローバルIT企業であるHPの技術と経験をベースに日本国
内で開発をしています。機能・サポートの両面から、日本の
企業文化や組織構造に合わせたきめ細やかなケアを行い、
これによって常に安心してお使いいただくことが可能です。
幅広い価格体系で企業の規模・ニーズに合った適切な導入
ができ、その高い拡張性と他のソリューションとの連携で、長
く付き合える製品を提供し、企業の未来の可能性を支えます。
Professional 確実
専門的な知識と確実なサポートで
企業のビジネスを止めません。
HPが培ってきた豊富な導入経験と知見に基づき、短期間で
の確実な導入が可能です。また、ビジネスニーズに対応した
信頼性の高いサポートで、導入後のご相談やご要望にもス
ピーディーに対応し、企業のビジネスを止めません。
17
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
5つのメリット
■Reliability 信頼
企業が取り扱う個人情報、機密情報などの情報資産をセキュリティを強化することで守り、
お客様や社会から信頼される企業になるためのサポートをします。
セキュリティ強化で企業の信頼性を向上させます
POINT
1
ID/パスワード漏洩を防止
ユーザに管理させるID/パス
ワードをひとつにすることによ
り、セキュリティ強度が上がる
POINT
2
HTTP攻撃を防御
攻撃(クロスサイトスクリプ
ティング、バッファオーバー
フローなど)をシャットアウト
ネットワーク
3
情報漏洩を防止
アクセスコントロールやログ
の一元管理で不正アクセス
を防ぐ
Webアプリケーション
IceWall
サーバ
クライアント
PC
POINT
4
POINT
Webアプリケーション
強固な認証を実現
他ソリューションとの連携によ
る多要素認証や強力なパス
ワードポリシーが実現
Webアプリケーション
認証サーバ
18
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
■Reliability 信頼
強固なセキュリティ ~攻撃にも集中対応
HP IceWall SSOは、ファイアウォールでの防御が困難な攻撃に対しても集中対応します。
POINT ファイアウォールでも防御が困
1
難な、サーバの脆弱性を利
POINT
2
用したアプリケーション層
での攻撃に集中対応。
4種類の防御方法で
確実にブロック!
POINT
3
個別サーバ対応不要!
アプリケーション側の開発も軽
減できます
Webアプリ
バッファオーバーフロー
Network
ファイアウォール
クロスサイトスクリプティング
IceWall
サーバ
認証サーバ
通過!
認証DB
19
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
5つのメリット
■Comfort 快適
HP IceWall SSOは、極めて高品質で使いやすい製品です。
運用者の負担と、エンドユーザがアプリケーションを使用する際のストレスを軽減し、
一歩進んだ快適な仕事環境を実現します。
クオリティの高い製品で快適なワークスタイルを実現します
POINT
クライアントPC
1
ID/パスワードの一元化による利便性の向上
企業におけるWebアプリケーション数は、数十から
多いところでは数百にも上ります。HP IceWall SSO
を導入するとID.パスワードを1つに集約することがで
エンドユーザ きます。
POINT
HP IceWall SSO
2
数百万ユーザ規模でも快適な環境を実現する
パフォーマンスとスケーラビリティ
HP IceWall SSO は100万人ログインしている状態で
毎秒10000件の処理に耐えられる構造をもっていま
す。始業時間帯などの大量アクセス時でも処理が滞
りません。
LOG IN
ID
PASS
POINT
3
Webアプリ
20
4/30/2008
Webアプリ
Webアプリ
運用の簡便化
企業内の認証、アクセス管理、証跡ログの一元管理
を実現。ITシステム運用管理コストの削減に貢献し
ます。
IT管理者
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
■Comfort 快適
HP IceWall SSOの処理性能
リバースプロキシ型はプロキシ部分に負荷が集中するためボトルネックになると考えられがちで
すが、HP IceWall SSOは処理性能が高いため、ボトルネックにはなりません。
また、認証サーバ部分と認証DBについても非常に高速です。
現状では極めて大規模なサイトでも数千ヒット/秒 数百ログイン/秒程度と考えられます。
HP IceWall SSOは十分それに耐えうる製品構造をもっています。
高速処理性能の仕組み
プロキシ専用。
1,000hit/sec/台以上
dfw->MCRPにより
一層の高速化を実現
Network
HP IceWall SSO
Webアプリ
IceWallサーバ
MCRP
クライアントPC
マルチスレッド、コネクションプール
B*Treeなどにより高速処理可能
10,000hit/sec以上
21
4/30/2008
認証DB
認証
モジュール
認証サーバ
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
書き込みが早いDBタイプを使用
可能。ログインログアウト時に
各1度のみアクセス
1,000ログイン/sec以上
■Comfort 快適
認証サーバの性能
ログインが集中する始業時間帯や、WebMail・勤怠管理など
アクセス集中型アプリケーションの使用時においても安定して動作します。
HP IceWall SSOのログイン処理
ログイン処理のポイント
・ B*Treeメモリ検索があるから、
ログイン
要求1
同時ログインユーザが多くてもパフォーマンスが
劣化しない
メモリ
・ マルチスレッド、コネクションプールによる完全パラレル
処理を実現
ログイン
要求2
認証DB
・
・
ログイン
要求3
通常アプリケーションのログイン処理
ログイン
要求N
マルチスレッド
B*Tree検索
コネクションプール
ログイン
要求1
ログイン
要求2
・・・
認証DB
認証DB
メモリ
・ ログインユーザが多いと検索に時間がかかり、
パフォーマンスが落ちる
・ シーケンシャル処理になる
22
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
ログイン
要求N
■Comfort 快適
管理ログ
HP IceWall SSOは精緻なログの取得が可能です。
内部統制やキャパシティプランニング、問題発生時の課題解決に活かすことができます。
取得可能なログ
■内部統制に重要
誰がいつどのコンテンツにアクセスしたか。ログイン失敗数 (監査証跡)
■キャパシティプランニングに重要
・ 各Webサーバへのアクセス数、コンテンツサイズ(トラフィック)
・ ログイン中ユーザ数、使用スレッド数、キュー数、コネクション数(ステータス)
■問題発生時の切り分けに重要
各Webサーバ、認証DBのレスポンス時間(パフォーマンス)
23
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
■Comfort 快適
Webサーバ、認証DBのレスポンス時間
HP IceWall SSOはWebサーバと認証DBのレスポンス時間を取得できます。
これを利用することで、システム上問題があった場合でも短時間での問題解決を可能とします。
アクセス処理の流れと取得するログ
⑤
IceWallサーバ
④
Network
クライアントPC
①
②
③ 認証DB
Webアプリ
認証サーバ
IceWallサーバで取得できる主なログ項目
① [フォワーダ起動からWebサーバ接続までの時間]
④ [Webサーバ接続開始からコンテンツ受信完了までの時間]
⑤ [コンテンツ受信後からブラウザ出力までの時間]
[日時][ユーザID] [リクエストメソッド][リクエストURL]
[コンテンツサイズ] [IPアドレス]
24
4/30/2008
認証サーバで取得できる主なログ項目
② [リクエスト処理時間]
③ [DB処理時間]
[日時][ユーザID][ログインしていた時間]
[リクエストURL]
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
■Comfort 快適
HP IceWall SSO Performance Monitor
IceWallサーバや認証サーバ上のモジュールのログを
テキストだけではなく、モニタ形式で参照できる。
iwpmd
iwpmc
認証サーバでの処理時間、リクエスト件数リソース使
用量を逐次表示
IceWallサーバでの処理時間、リクエスト件数を各
Webアプリケーションごとに逐次表示
※図版赤枠番号は、前頁のログ項目の番号に準拠
25
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
5つのメリット
■Care 安心
HP IceWall SSOは、グローバルIT企業であるHPの技術と経験をベースに
日本国内で開発しています。
機能・サポートの両面から、日本の企業文化や組織構造に合わせた決め細やかなケアを行い、
これによって常に安心してお使いいただくことが可能です。
日本開発の製品で、日本企業の細かいケアを行います
日本で開発した製品だからできる、万全のサポート
HP IceWall SSOは日本国内で開発しています。だからこそ、日本の企業文化や組織構造に合
わせたきめ細やかなケアで常に安心してお使いいただくことが可能です。
グローバルIT企業であるHPの技術と経験が可能にする機能
グローバルIT企業であるHPの技術と経験が、時代に求められる機能を実現します。
たとえばシングルサインオンの範囲を一歩広げて、認証システム間でシングルサインオンを実現する、「グ
ローバルシングルサインオン*」。HP IceWall SSO はこうした新しいご要望に積極的に取り組んでいる製
品です。
*=Global Single Sign-On(GSSO)…複数の認証システムが認証連携することにより、サイト(企業)間シングルサインオンを
実現する仕組み
日本国内における10年以上の実績接続性
シングルサインオンを導入する際、一番不安に感じることは、果たして自社のWebアプリケー
ションと接続できるかということ。HP IceWall SSOは10年以上の日本国内での実績を誇り、ア
プリケーション接続について経験を積んできています。万が一接続できない場合においても、そ
の情報のフィードバックが製品側に常に反映される体制をもっています。
26
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
■Care 安心
モバイル対応
HP IceWall SSOはモバイルに完全対応。
国内携帯電話の動作検証を随時実施しています。
モバイルに完全対応しています
四半期ごとに国内の携帯電話での検証を実施。
新機種、仕様変更に柔軟に対応しています。
URLにセッションIDを埋め込む機能で、クッキーに対応していない
モバイル端末にも利用可能。
例:http://www.xx.xx.xx/?xxxx
モバイル用テンプレート(HTML)
対応キャリア
27
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
5つのメリット
■Flexibility 柔軟
HP IceWall SSOは、幅広い価格体系で、企業の規模・ニーズに合った適切な導入ができ、
その高い拡張性と他のソリューションとの連携で、長く付き合える製品を提供し、
企業の未来の可能性を支えます。
幅広いビジネス規模・ニーズに柔軟に応え、未来の可能性を支えます
接続性が高い
非常にOPEN
HP IceWallは、現在導入済のシステムを選ばず、一部の
特殊環境を除き、どんな環境にでも適応させることができ
ます。
HTML画面のカスタマイズ、APIの公開、通信電文の公開、
DB構造の公開、デファクトスタンダードのWebサーバソフト
ウェア、DBの採用などにより、自由度が非常に高く、容易
に顧客の環境に溶け込むことが可能です。
規模やニーズに合わせた適切な導入
他ソリューションとの連携
HP IceWall SSOは日本国内で開発しています。だからこ
そ、日本の企業文化や組織構造に合わせたきめ細やかな
ケアで常に安心してお使いいただくことが可能です。
HP IceWall SSOは、グローバルシングルサインオンをはじめ、生
体認証、ICカード認証、携帯電話による認証、また金融サービ
スにおいて注目されているリスクベース認証など、導入目的に応
じてさまざまなソリューションと連携可能です。
28
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
■Flexibility 柔軟
認証機能の入れ替え
HP IceWall SSOでは認証機能のみを
ワンタイムパスワードやマトリクス認証など別の認証方式に入れ替えることができます。
認証機能を別の方式に入れ替え
IceWall SSO フォワーダ
IceWall の
認証機能
+
IceWall の
アクセス制御
IceWall SSO Agent
IceWall の
プロキシ
IceWall MCRP
+
認証機能を他製品と入替え
他製品の認証機能
生体認証の絵
マトリクス認証
29
4/30/2008
ワンタイムパスワード
チャレンジレスポンス
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
クライアント証明書
■Flexibility 柔軟
他認証システムとの連携一覧
HP IceWall SSOでは以下の他の認証システムと連携することができます。
30
ベンダー
製品名
種類
IWとの連携
RSAセキュリティ(株)
RSA Adaptive Authentication
for Web
リスクベース認証
連携ソフトウェア提供(有償オ
プション)
RSAセキュリティ(株)
RSA Secure ID
ハードウェアトークン(ワンタイムパス
ワード)
設定で対応
ソニー株式会社
Felica
ICカード
設定で対応
ソフトバンクBB株式会社
SyncLock
携帯電話を使用した認証(ワンタイム
パスワード)
連携ソフトウェア提供(有償オ
プション)
(株)ソリトンシステムズ
SmartOn
ICカード
設定で対応
日本ベリサイン株式会社
VeriSign ManagedPKI
電子証明書
連携ソフトウェア提供(有償オ
プション)
パスロジ株式会社
PassLogic
マトリクス認証(ワンタイムパスワー
ド)
ベンダーより接続用モジュー
ル提供
日立ソフトウェアエンジニアリ
ング株式会社
静紋
生体認証(指紋認証)
ベンダーより接続モジュール
提供
マイクロソフト株式会社
Microsoft Windows
Windows統合認証
連携ソフトウェア提供(有償オ
プション)
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
■Flexibility 柔軟
自由度の高さ
HP IceWall SSOは、多様な設定ファイル項目やAPIの提供など充実したカスタマイズ性により、
非常に柔軟に個々の環境や要求に適応することが可能です。
しかも、そのカスタマイズがHP IceWall SSOのバージョンアップに支障を与えないような構造を採
用しています。
カスタマイズ例
可能なカスタマイズ
・ 電文のカスタマイズ
・ ログイン画面のカスタマイズ
・ エラー画面のカスタマイズ
継承する情報、ヘッダを
Webアプリごとに個別設定可能
Webアプリ
IceWallサーバ
Network
カスタマイズ
設定・API
Apache HTTP
Server
クライアントPC
可能なカスタマイズ
・ 情報のカスタマイズ
・ セッションIDの作成
・ パスワード暗号方式作成
・ 通信電文の公開
・ テキストによるログ出力
31
4/30/2008
認証DB
カスタマイズ
設定・API
認証サーバ
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
Oracle/LDAP
ActiveDirectory
MySQL
公開された認証テーブル
既存の認証DBの流用可能
■Flexibility 柔軟
社外のアプリケーションとのシングルサインオン
“エージェントレス(=リバースプロキシ型)” なので、アウトソーシング先とシングルサインオンが
可能になります。
最小限の費用で社外との連携が可能となるので、ビジネスの加速度が向上します。
社外アプリケーションとの連携
Webアプリ
自社サイト
Internet
認証サーバ
クライアントPC
ファイヤ
ウォール
IceWallサーバ
認証DB
外部アプリA
(為替系)
アウトソーシング
外部アプリB
(決済サービス)
アウトソーシング
32
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
Internet
外部アプリC
(物品調達)
アウトソーシング
外部アプリD
(保険)
アウトソーシング
■Flexibility 柔軟
GSSO(Global Single Sign-On)による他サービスとの連携
HP IceWall SSO SAML2 Agent Optionは、グローバルシングルサインオン*1環境構築を支援
するHP IceWall SSOのオプション製品です。
・ SSOの仕様を実装
SAML2.0仕様のサービスプロバイダ(SP)機能のうちニーズが
高いWebシングルサインオンの仕様を絞り込んで実装したエー
ジェントモジュール*2。
・ 導入が簡単
SAMLプロトコルはエージェント内に隠蔽されているため、コンテ
ンツ提供サイトの開発者がSAML仕様を意識する必要はありま
せん。
・ 自由度の高い構成
既存Webサーバにインストール、または、SPサーバを前段に設
置することで、既存コンテンツを簡単にSPとして提供することが
できます。
・ 複数IDPサイトへの接続対応
導入が簡単なエージェント方式でありながら、複数の
アイデンティティプロバイダ(IDP)と接続することができます。
*1
グローバル シングルサインオンとは複数の認証システムが連
携することにより実現した、シングルサインオン・ドメインを超
えた認証システム間でのシングルサインオンです。
*2
SAML2 エージェントオプションを組み込むことにより、Webア
プリケーションサーバは、サービスプロバイダ (SP) の機能を
持ちます。SAML2 エージェントオプションはアイデンティティ
プロバイダ (IDP) の機能を持ちません。このため、IDP の機能
を導入するには別製品の購入が必要です。
33
4/30/2008
認証システム X(SP)
SSO
Login
UserID
Passwd
認証システム A(IDP)
S
L仕
M
A
様
認証システム Y(SP)
SSO
SSO
SAML仕様
Login
UserID
(SAML2
ゲートウェイ)
Login
UserID
Passwd
Passwd
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
HP IceWall SSO
SAML2 Agent
IDを1回入力するだけで
複数の認証システムに
ログイン
HP IceWall SSO
SAML2 Agent
■Flexibility 柔軟
GSSO(Global Single Sign-On)による他サービスとの連携
HP IceWall SSO SAML2 Agent Optionを導入することで、
単一IDを利用した複数サイトへのログインが可能となります。
迅速に他WEBサービスとの連携が可能となり、サービスレベルを向上できます。
SAMLで相互認証を結んでいるサイト間での連携
ニューヨーク
①アクセス
③ID/パスワー
ド入力
Aさんが登録している
会員サイト。
自宅住所、決済情報を保持。
②同意画面
認証連携
③認証結果、
送付先、与信枠
などを送付
SP
IDP
34
4/30/2008
XYZ会員サイト
SP
ショッピングサイト
④決済依頼(パッチ)
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
証券サイト
AさんはログインIDを
保持していないが、
XYZのIDを利用して
買い物ができる
5つのメリット
■Professional 確実
HP IceWall SSOは、HPが培ってきた豊富な導入経験と知見に基づき、
短期間での確実な導入が可能です。
また、ビジネスニーズに対応した信頼性の高いサポートで、
導入後のご相談やご要望にもスピーディに対応し、企業のビジネスを止めません。
専門的な知識と確実なサポートで企業のビジネスを止めません
豊富な導入経験と短期間で確実な導入
HP IceWall SSOは、トヨタ自動車株式会社様やNTTコミュニケーションズ株式会社様をはじめ、
多くのリーディングカンパニーに採用されています。また金融サービスをはじめとするミッションク
リティカル環境における豊富な実績に基づき、確実なサポートをご提供します。
その経験を活かし、お客様のさまざまな環境下において、短期間で確実な導入を実現していま
す。
ビジネスニーズにスピーディーに対応
HP IceWall SSOは、モバイルサービスへの対応、ASPサービスへの対応、Windows環境との連携、企
業間連携サービスへの対応など時代の要望に応じた機能を次々と実装してきました。それによりお客様
の環境が常に最先端であるように努めています。
サポート体制
HW、OS、アプリケーションとの一体型サポートが可能です。また日本にサポート拠点があるた
め非常に迅速なレスポンスができるようになっています。
さらに日本の企業文化や組織構造に合わせたきめ細やかなケアで、確実なサポートをお届けし
ます。
35
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
■Professional 確実
完全二重化の実現
HP IceWall SSOは完全二重化を実現していますので、
どの1台がダウンしても、ユーザセッションはそのまま維持することができます。
二重化、多重化の実装により、どの1台がダウンしても安心です
クライアントPC
Load Balancer
IceWallサーバ
認証サーバ
Active/Standby
認証DBサーバ
認証DB
認証DB
IceWallサーバ
N台構成による冗長化。
1台がダウンしても
セッションは継続
36
4/30/2008
認証サーバ
レプリケーションによる
冗長化、1台がダウンし
てもセッションが継続
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
認証DBサーバ
Oracle RAC等による
冗長化の実現
導入実績/システム構成例/参考価格
2008/4/30
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
導入実績
多くのリーディングカンパニーにHP IceWall SSOを認証基盤としてご採用頂いています。
ver.8.0 R2までに4000万超ユーザライセンスを販売。アクセスコントロール業界市場シェアNO.1*
* 出荷金額ベース 国内アクセスコントロールパッケージ市場No1
日本HP:33.7%(出典:ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望2007【個人認証型ソリューション編】」2007年9月刊)
お客様名
製品エディション
システム内容
ユーザ数
イーヒルズ(株)様(森ビルグループ)
EE
ビジネスポータル(EIP)
5万
NTTコミュニケーションズ(株)様
EE+PKI
BtoB(ASP)
数万
(株)NTTデータ様
EE+PKI
保険共同ゲートウェイ
無制限
(株)NTT ドコモ 様
EE
BtoC
数百万
KDDI (株)様
EE
ASP(ファイル交換サービス
-
住友商事(株)様
EE
イントラネット
1.3万
(株)損害保険ジャパン様
EE
代理店システム
数万
トヨタ自動車(株)様
EE
(株)三菱東京UFJ銀行(旧 UFJ銀行)様
EE+PKI
イントラネット、エクストラネット、
GSSO(SAML)
インターネットバンキング
(株)ユーフィット(UFJグループ)様
EE
マーケットプレイス
3万
建設会社
EE
イントラネット
1000~
大手損保
公共機関
証券会社
証券会社
EE+PKI
RP
EE
EE
代理店システム
BtoC
イントラネット
BtoC
10万~
-
4000
10万~
新聞社
EE
イントラネット
5000
保険会社
EE
イントラネット
10万
ユーティリティ会社
EE
イントラネット
5万
通信会社
SE
BtoB
1000~
大学
SE
イントラネット
1000~
EE
※EE=Enterprise
Edition, SE=StandardBtoC
Edition
※EE=Enterprise Edition, SE=Standard Edition
100万
サービス会社
38
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
十数万
数百万
導入実績
シェアについて
ver.8.0 R2までに4000万超ユーザライセンスを販売。アクセスコントロール業界市場シェアNO.1*
* 出荷金額ベース 国内アクセスコントロールパッケージ市場No1
日本HP:33.7%(出典:ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望2007【個人認証型ソリューション編】」2007年9月
刊)
2005年、2006年の競合製品とのシェア比較図
2006年
2005年
39
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
HP IceWall SSO
システム構成例
ユーザ
ユーザ
インターネット
FW
LB
LB
DMZ
IMサーバ
CFGサーバ
認証サーバと
兼用可能
IceWall(1)
サーバ
IceWall(n)
サーバ
認証DB
サーバ
認証サーバ
認証DB
サーバ
認証
情報
既存のものの利用も可能
40
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
Webアプリ Webアプリ Webアプリ
リバースプロキシ接続
参考価格
HP IceWall SSOとHP IceWall Identity Managerの参考価格は以下のとおりです。
HP IceWall SSO Standard Edition
BtoC パッケージ 参考価格
HP IceWall Identity Manager
BtoC パッケージ 参考価格
・ 10,000ユーザ
9,800,000円 (税込10,290,000円)
・ 10,000ユーザ
2,400,000円 (税込2,520,000円)
・ 100,000ユーザ
14,800,000円 (税込15,540,000円)
・ 100,000ユーザ
3,600,000円 (税込3,780,000円)
・ 500,000ユーザ
19,800,000円 (税込20,790,000円)
・ 500,000ユーザ
4,800,000円 (税込5,040,000円)
・ 無制限ユーザ
24,800,000円 (税込26,040,000円)
・ 無制限ユーザ
6,800,000円 (税込7,140,000円)
・ アップグレードライセンス
※10,000,000円 (税込10,500,000円)
・ アップグレードライセンス
※2,000,000円 (税込2,100,000円)
※BtoC 50万ユーザライセンスをすでにご購入いただいている場合、
アップグレードライセンスを追加していただくことで、BtoC 無制限ユー
ザライセンスとしての使用が可能になります。
※BtoC 50万ユーザライセンスをすでにご購入いただいている場合、
アップグレードライセンスを追加していただくことで、BtoC 無制限ユー
ザライセンスとしての使用が可能になります。
41
4/30/2008
Copyright © 2007-2008 HP corporate presentation. All rights reserved.
周辺サービスとお問い合わせ
●お問い合わせ
HPカスタマーインフォメーションセンター
http://www.hp.com/jp/iw_contact
電話番号03-6416-6660 / FAX番号03-5309-3111
●お見積り、資料のご請求
http://www.hp.com/jp/sso_est
最新、詳細情報
○HP IceWall SSO公式サイト
http://www.hp.com/jp/icewall
○市ヶ谷常設デモセンター
○オンラインデモ
http://h50146.www5.hp.com/products/
software/security/icewall/download/onlinede
mo.html
○HP IceWall SSO 評価版ダウンロードサイト
http://www.hp.com/jp/icewall_download
42
4/30/2008
各種サービス
○市ヶ谷常設デモセンター
○導入サービス
○エクスプレスサービス
(短期間、低料金の定型構築パッケージサービス)
○コンサルティングサービス
(お客様のあらゆるニーズに応じる個別サービス)
○定期技術トレーニングサービス
○海外への導入、サポートサービス
○低価格なStandard Edition,定型パッケージも
ございます。
Copyright © 2007-2008 HP corporate presentation. All rights reserved.