これからのエンタープライズ向け
認証基盤に求められること
株式会社オージス総研
八幡 孝
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
シングルサインオンしてますか？
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
1
会場の皆さんにアンケート
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
2
Q.
IDとパスワードは
1つだけ覚えておけばいけている
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
3
Q.
一回ログインすれば、
必要なアプリが一通り使える
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
4
Q.
パスワード変更は1回やれば
ちゃんと変わっている
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
5
Q.
Windowsのログオンだけで
全部できている
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
6
Q.
クラウドサービスを使うときはできるだけ
ソーシャルログインを使っている
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
7
シングルサインオン実現の基本パターン
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
8
個々のアプリにログインして利用
アプリ ①
ユーザー情報
パスワード
アプリ ②
ユーザー情報
パスワード
個々のアプリにログインして利用
個々のアプリにログインして利用
アプリ ③
ユーザー情報
パスワード
ID管理システム
① IDMでID/パスワードを管理
HR
システム
ワークフロー
システム
パスワード変更は1ヶ所で
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
9
ユーザーID
パスワード
アプリ
アクセス
アプリ
アクセス
シングルサインオン
システム
ログイン
パスワード
変更は1ヶ所で
© 2014 OGIS-RI Co., Ltd.
アプリ ①
ユーザー情報
パスワード
アプリ ②
ユーザー情報
パスワード
ユーザーID
パスワード
ユーザーID
パスワード
アプリ ③
ユーザー情報
パスワード
ID管理システム
② IDM+SSOの組合せ
HR
システム
ワークフロー
システム
ユーザー情報、パスワード
ユーザー
リポジトリ
2014/11/21
第6回 OpenAMコンソーシアムセミナー
10
ユーザー
情報
アプリ
アクセス
アプリ
アクセス
シングルサインオン
システム
ログイン
パスワード
変更は1ヶ所で
アプリ ①
ユーザー
情報
アプリ ②
ユーザー
情報
ユーザー
情報
ユーザー
情報
アプリ ③
ユーザー
情報
ID管理システム
③ より完全なSSO
HR
システム
ワークフロー
システム
ユーザー情報
ユーザー
リポジトリ
パスワード
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
11
Windows
ログオン
アプリ
アクセス
アプリ
アクセス
ユーザー
情報
シングルサインオン
システム
Windows
ドメインログオン
ログイン
情報の連携
パスワード
変更は1ヶ所で
アプリ ①
ユーザー
情報
アプリ ②
ユーザー
情報
アプリ ③
ユーザー
情報
ユーザー
情報
ユーザー
情報
ID管理システム
④ デスクトップSSO
ユーザー情報
Active
Directory
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
12
とある事例での実現例
フロントエンド統合
共通のログイン画面
一度のログインでアプリ
を横断的に利用可能
認証ゲートウエイ
アカウントポリシーの一元管理
アプリへのアクセス権を一元管理
ID管理システム
利用者情報
メタディレクトリ
Active
Directory
認証、ロール、属性
などの一元更新
人事システムと連動した
タイムリーなID作成、削除、
ユーザ属性やロールの更新
2014/11/21
電子証明書
発行サービス
フレームワーク
LDAP
認証されたユーザ名やユーザ
のロールに関する情報の提供
人事システム
© 2014 OGIS-RI Co., Ltd.
認証、ロールの情報
へのアクセス
共通ライブラリ
アプリでユーザのアクセス権情報や
ユーザ属性を活用するI/Fの提供
バックエンド統合
統一されたID、パスワード、あるいは
認証デバイスで端末ログオンやWeb
アプリの利用が可能
業務アプリケーション, etc…
第6回 OpenAMコンソーシアムセミナー
13
とある事例での実現例
フロントエンド統合
共通のログイン画面
一度のログインでアプリ
を横断的に利用可能
統一されたID、パスワード、あるいは
認証デバイスで端末ログオンやWeb
アプリの利用が可能
認証ゲートウエイ
ログインに必要な情報は LDAP & AD のみで管理
ID管理システム
利用者情報
メタディレクトリ
Active
Directory
認証、ロール、属性
などの一元更新
人事システムと連動した
タイムリーなID作成、削除、
ユーザ属性やロールの更新
2014/11/21
電子証明書
発行サービス
フレームワーク
LDAP
認証されたユーザ名やユーザ
のロールに関する情報の提供
人事システム
© 2014 OGIS-RI Co., Ltd.
認証、ロールの情報
へのアクセス
共通ライブラリ
アプリでユーザのアクセス権情報や
ユーザ属性を活用するI/Fの提供
バックエンド統合
アカウントポリシーの一元管理
アプリへのアクセス権を一元管理
業務アプリケーション, etc…
第6回 OpenAMコンソーシアムセミナー
14
とある事例での実現例
フロントエンド統合
共通のログイン画面
一度のログインでアプリ
を横断的に利用可能
統一されたID、パスワード、あるいは
認証デバイスで端末ログオンやWeb
アプリの利用が可能
認証ゲートウエイ
ID管理システムを使ってアカウントを一元管理
ID管理システム
利用者情報
メタディレクトリ
Active
Directory
認証、ロール、属性
などの一元更新
人事システムと連動した
タイムリーなID作成、削除、
ユーザ属性やロールの更新
2014/11/21
電子証明書
発行サービス
フレームワーク
LDAP
認証されたユーザ名やユーザ
のロールに関する情報の提供
人事システム
© 2014 OGIS-RI Co., Ltd.
認証、ロールの情報
へのアクセス
共通ライブラリ
アプリでユーザのアクセス権情報や
ユーザ属性を活用するI/Fの提供
バックエンド統合
アカウントポリシーの一元管理
アプリへのアクセス権を一元管理
業務アプリケーション, etc…
第6回 OpenAMコンソーシアムセミナー
15
とある事例での実現例
フロントエンド統合
共通のログイン画面
一度のログインでアプリ
を横断的に利用可能
統一されたID、パスワード、あるいは
認証デバイスで端末ログオンやWeb
アプリの利用が可能
認証ゲートウエイ
認証ゲートウェイで1回認証すればアプリが使える
ID管理システム
利用者情報
メタディレクトリ
Active
Directory
認証、ロール、属性
などの一元更新
人事システムと連動した
タイムリーなID作成、削除、
ユーザ属性やロールの更新
2014/11/21
電子証明書
発行サービス
フレームワーク
LDAP
認証されたユーザ名やユーザ
のロールに関する情報の提供
人事システム
© 2014 OGIS-RI Co., Ltd.
認証、ロールの情報
へのアクセス
共通ライブラリ
アプリでユーザのアクセス権情報や
ユーザ属性を活用するI/Fの提供
バックエンド統合
アカウントポリシーの一元管理
アプリへのアクセス権を一元管理
業務アプリケーション, etc…
第6回 OpenAMコンソーシアムセミナー
16
とある事例での実現例
フロントエンド統合
共通のログイン画面
一度のログインでアプリ
を横断的に利用可能
統一されたID、パスワード、あるいは
認証デバイスで端末ログオンやWeb
アプリの利用が可能
アプリへはログインID, グループIDを連携
認証ゲートウエイ
アカウントポリシーの一元管理
アプリへのアクセス権を一元管理
ユーザーの属性は専用ライブラリを通じて提供
利用者情報
メタディレクトリ
Active
Directory
認証、ロール、属性
などの一元更新
人事システムと連動した
タイムリーなID作成、削除、
ユーザ属性やロールの更新
© 2014 OGIS-RI Co., Ltd.
フレームワーク
LDAP
認証されたユーザ名やユーザ
のロールに関する情報の提供
人事システム
2014/11/21
電子証明書
発行サービス
共通ライブラリ
アプリでユーザのアクセス権情報や
ユーザ属性を活用するI/Fの提供
バックエンド統合
ID管理システム
認証、ロールの情報
へのアクセス
業務アプリケーション, etc…
第6回 OpenAMコンソーシアムセミナー
17
とある事例での実現例
フロントエンド統合
共通のログイン画面
一度のログインでアプリ
を横断的に利用可能
統一されたID、パスワード、あるいは
認証デバイスで端末ログオンやWeb
アプリの利用が可能
ユーザーマスタを使ったアカウントメンテが
認証ゲートウエイ
アカウントポリシーの一元管理
アプリへのアクセス権を一元管理
必要なアプリにだけユーザーマスタを提供
利用者情報
メタディレクトリ
Active
Directory
認証、ロール、属性
などの一元更新
人事システムと連動した
タイムリーなID作成、削除、
ユーザ属性やロールの更新
© 2014 OGIS-RI Co., Ltd.
フレームワーク
LDAP
認証されたユーザ名やユーザ
のロールに関する情報の提供
人事システム
2014/11/21
電子証明書
発行サービス
共通ライブラリ
アプリでユーザのアクセス権情報や
ユーザ属性を活用するI/Fの提供
バックエンド統合
ID管理システム
認証、ロールの情報
へのアクセス
業務アプリケーション, etc…
第6回 OpenAMコンソーシアムセミナー
18
なぜシングルサインオンをするのか？
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
19
① 利用者が便利になる
 作業効率の向上
 IT活用の促進
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
20
② セキュリティレベルのばらつきがなくなる
 開発者に依存したばらつき
 ユーザーに依存したばらつき
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
21
③ システム開発がしやすい
 アプリ毎の認証機能開発は不要
 サブシステムに分割した開発の実現
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
22
④ 認証方式の変更がやりやすい
 ID/パスワードを使った認証
 多要素認証への対応
 新しい方式への対応
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
23
とある事例での実現例
フロントエンド統合
共通のログイン画面
一度のログインでアプリ
を横断的に利用可能
認証ゲートウエイ
アカウントポリシーの一元管理
アプリへのアクセス権を一元管理
ID管理システム
利用者情報
メタディレクトリ
Active
Directory
認証、ロール、属性
などの一元更新
人事システムと連動した
タイムリーなID作成、削除、
ユーザ属性やロールの更新
2014/11/21
電子証明書
発行サービス
フレームワーク
LDAP
認証されたユーザ名やユーザ
のロールに関する情報の提供
人事システム
© 2014 OGIS-RI Co., Ltd.
認証、ロールの情報
へのアクセス
共通ライブラリ
アプリでユーザのアクセス権情報や
ユーザ属性を活用するI/Fの提供
バックエンド統合
統一されたID、パスワード、あるいは
認証デバイスで端末ログオンやWeb
アプリの利用が可能
業務アプリケーション, etc…
第6回 OpenAMコンソーシアムセミナー
24
とある事例での実現例
フロントエンド統合
共通のログイン画面
一度のログインでアプリ
を横断的に利用可能
統一されたID、パスワード、あるいは
認証デバイスで端末ログオンやWeb
アプリの利用が可能
認証機能は、認証基盤（認証ゲートウェイ）で提供
認証ゲートウエイ
認証、ロールの情報
へのアクセス
アプリ毎のばらつきがない
ID管理システム
利用者情報
メタディレクトリ
Active
Directory
認証、ロール、属性
などの一元更新
人事システムと連動した
タイムリーなID作成、削除、
ユーザ属性やロールの更新
© 2014 OGIS-RI Co., Ltd.
フレームワーク
LDAP
認証されたユーザ名やユーザ
のロールに関する情報の提供
人事システム
2014/11/21
電子証明書
発行サービス
共通ライブラリ
アプリでユーザのアクセス権情報や
ユーザ属性を活用するI/Fの提供
バックエンド統合
アカウントポリシーの一元管理
アプリへのアクセス権を一元管理
業務アプリケーション, etc…
第6回 OpenAMコンソーシアムセミナー
25
とある事例での実現例
フロントエンド統合
共通のログイン画面
一度のログインでアプリ
を横断的に利用可能
統一されたID、パスワード、あるいは
認証デバイスで端末ログオンやWeb
アプリの利用が可能
認証ゲートウエイ
アプリ開発者へ接続仕様を開発ガイドとして提供
ID管理システム
利用者情報
メタディレクトリ
Active
Directory
認証、ロール、属性
などの一元更新
人事システムと連動した
タイムリーなID作成、削除、
ユーザ属性やロールの更新
2014/11/21
電子証明書
発行サービス
フレームワーク
LDAP
認証されたユーザ名やユーザ
のロールに関する情報の提供
人事システム
© 2014 OGIS-RI Co., Ltd.
認証、ロールの情報
へのアクセス
共通ライブラリ
アプリでユーザのアクセス権情報や
ユーザ属性を活用するI/Fの提供
バックエンド統合
アカウントポリシーの一元管理
アプリへのアクセス権を一元管理
業務アプリケーション, etc…
第6回 OpenAMコンソーシアムセミナー
26
とある事例での実現例
フロントエンド統合
共通のログイン画面
一度のログインでアプリ
を横断的に利用可能
統一されたID、パスワード、あるいは
認証デバイスで端末ログオンやWeb
アプリの利用が可能
アプリ機能をサブシステムに分割して開発
認証ゲートウエイ
アカウントポリシーの一元管理
アプリへのアクセス権を一元管理
シングルサインオンで1つのアプリとして使う
利用者情報
メタディレクトリ
Active
Directory
認証、ロール、属性
などの一元更新
人事システムと連動した
タイムリーなID作成、削除、
ユーザ属性やロールの更新
© 2014 OGIS-RI Co., Ltd.
フレームワーク
LDAP
認証されたユーザ名やユーザ
のロールに関する情報の提供
人事システム
2014/11/21
電子証明書
発行サービス
共通ライブラリ
アプリでユーザのアクセス権情報や
ユーザ属性を活用するI/Fの提供
バックエンド統合
ID管理システム
認証、ロールの情報
へのアクセス
業務アプリケーション, etc…
第6回 OpenAMコンソーシアムセミナー
27
共通のログイン画面
一度のログインでアプリ
を横断的に利用可能
統一されたID、パスワード、あるいは
認証デバイスで端末ログオンやWeb
アプリの利用が可能
認証方式の変更は認証基盤
認証ゲートウエイ
アカウントポリシーの一元管理
アプリへのアクセス権を一元管理
フロントエンド統合
とある事例での実現例
（認証ゲートウェイ）で対応すればOK
利用者情報
メタディレクトリ
Active
Directory
認証、ロール、属性
などの一元更新
人事システムと連動した
タイムリーなID作成、削除、
ユーザ属性やロールの更新
© 2014 OGIS-RI Co., Ltd.
フレームワーク
LDAP
認証されたユーザ名やユーザ
のロールに関する情報の提供
人事システム
2014/11/21
電子証明書
発行サービス
共通ライブラリ
アプリでユーザのアクセス権情報や
ユーザ属性を活用するI/Fの提供
バックエンド統合
ID管理システム
認証、ロールの情報
へのアクセス
業務アプリケーション, etc…
第6回 OpenAMコンソーシアムセミナー
28
みなさんの会社・組織では
実現できていますか？
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
29
最近の認証界隈の困った話題
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
30
パスワードリスト攻撃
ID/パスワード
リストを入手
メ
入手したリストで
別サイト、別アプリへ
正常ログイン
© 2014 OGIS-RI Co., Ltd.
アプリ ①
[email protected]
p@$$w0rd
アプリ ②
[email protected]
p@$$w0rd
アプリ ③
[email protected]
p@$$w0rd
2014/11/21
第6回 OpenAMコンソーシアムセミナー
ユーザーが複数の
サイト、アプリで同じ
ID/パスワードを設定
31
対策①: パスワード定期変更
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
32
対策②: STOP!! パスワード使い回し!!
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
33
増えるユーザーの負担
 パスワードの定期変更の強制
 パスワード使い回しの禁止
 紙のメモ、電子ファイル（パスワード付き）を使った管理
 パスワード管理ツールの利用
 ユーザー自身での確認を要請
 ログイン履歴の確認
 ログイン通知機能の利用
 認証コード、ワンタイムパスワードの利用
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
34
「そこはシングルサインオンでしょ」
 パスワードは認証基盤だけで管理
 認証結果をアプリケーションへ連携
 ログインID, ユーザーの属性情報
 認証基盤を通らないアプリアクセスを禁止
 真のSSOを目指せ
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
35
IT活用はクラウドサービス活用へ
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
36
クラウドサービスの利用が進む
【出典】 2014年 国内クラウドサービス市場 需要動向調査, IDC Japan, 2014年7月
http://www.idcjapan.co.jp/Press/Current/20140724Apr.html
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
37
クラウドサービスの利用が進む
‘‘● クラウドサービスを利用している企業の割合は平成24年末の28.2％
から33.1％に上昇’’
【出典】 平成26年版情報通信白書 （原出展）総務省「平成25年通信利用動向調査」
http://www.soumu.go.jp/johotsusintokei/statistics/statistics05.html
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
38
事業部門: すぐに、小さく使い始める
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
39
Identity is the next perimeter
 どこからでも使える
 どのデバイスからでも使える
 データ保護の最後の砦は「認証」
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
40
IT部門&セキュリティ部門:
ID管理とSSO、どうするの？
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
41
野良IT化、シャドーIT化
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
42
パスワード定期変更!!
STOP!! パスワード使い回し!!
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
43
増えるユーザーの負担
 パスワードの定期変更の強制
 パスワード使い回しの禁止
 紙のメモ、電子ファイル（パスワード付き）を使った管理
 パスワード管理ツールの利用
 ユーザー自身での確認を要請
 ログイン履歴の確認
 ログイン通知機能の利用
 認証コード、ワンタイムパスワードの利用
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
44
増えるユーザーの負担
 パスワードの定期変更の強制
 パスワード使い回しの禁止
企業でのIT活用
 紙のメモ、電子ファイル（パスワード付き）を使った管理
 パスワード管理ツールの利用
企業自らの情報を守るための対策を、
 ユーザー自身での確認を要請
社員一人ひとりの対応に委ねて良いのか？
ログイン履歴の確認
 ログイン通知機能の利用
 認証コード、ワンタイムパスワードの利用
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
45
IT活用はクラウドサービス活用へ (Part2)
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
46
クラウドサービスに対応した認証基盤
 Identity Federation によるSSO
 アカウント管理のためのIDM（ID管理）
 この2つに対応する
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
47
Identity Federation によるSSO
クラウドサービス側の
パスワード管理不要
クラウドサービスへアクセス
Google Apps
IdPへ認証をリクエスト
認証結果・属性情報を連携
salesforce.com
SAMLを使ったフェデレーション
cybozu.com
シングルサインオン
システム（IdP） ユーザー
リポジトリ
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
48
アカウント管理のためのIDM（ID管理）
ユーザーアカウントのCRUD
Google Apps
クラウドサービス側の
アカウント事前配備
ユーザーへの
ライセンス割当、解除
ユーザーが作成した
データの削除
salesforce.com
当面は独自I/F
いずれはSCIM
cybozu.com
ID管理システム
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
49
多要素認証への対応 ⇒ 認証基盤で対応
クラウドサービスへアクセス
Google Apps
IdPへ認証をリクエスト
認証結果・属性情報を連携
salesforce.com
IdPで多要素認証に対応すれば、
すべてのクラウドサービス多要素認証に。
cybozu.com
+ 多要素認証
シングルサインオン
システム（IdP） ユーザー
リポジトリ
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
50
SAMLに対応したクラウドサービスが
増えてきている
 Google Apps
 Salesforce.com
 Microsoft Office 365
 cybozu.com
 Fileforce
 などなど
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
51
認証基盤で SAML IdP を実装
サービス事業者に SAML SP 対応を
リクエストしよう
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
52
ビジネスのための認証基盤
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
53
B2E向けから、B2B向け、B2C向けへ
 取引先ポータル、顧客ポータルの構築が広まる
 先に認証基盤を用意して、サービス（提供機能）を
拡大
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
54
B2C向けのケース
 顧客にアカウントをセルフ登録してもらう
 ソーシャルアカウントを使って、アカウントを登録し
てもらう
 すでにソーシャルログインが主流に。
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
55
B2B向けのケース
 取引先のID/パスワードを、自社の認証基盤で管理
 取引先の認証基盤（IdP）からのSSO
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
56
いかにシステムを使ってもらうかが重要
 利用者に優しい認証の実現
 取引先の認証基盤でログイン、ソーシャルアカウン
トでログインが主流に
 SAML から OpenID Connect へ向かう
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
57
これからの企業の認証基盤は、SAML、
OpenID Connect への対応が必須要件
（標準技術に対応する、対応し続ける）
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
58
そして、WebAPIへ
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
59
エンプラでもスマートデバイスの活用が進む
‘‘ただし、別途調査した導入台数の規模
を見ると、大規模な導入を行っている
【出典】 企業IT動向調査2014, 日本情報システム・ユーザー協会, 2014年4月
http://www.juas.or.jp/servey/it14/
企業は限定的である’’
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
60
アプリケーションアーキテクチャが変わる
 ネイティブアプリ + WebAPI
 SPA (Single-Page Application) + WebAPI
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
61
WebAPI時代の認証・認可
 OpenID Connect, OAuth
 より高度な認可に向けて… UMA?
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
62
エンプラ向け認証基盤コアアーキテクチャ
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
63
認証基盤コアアーキテクチャ 2015年版
クラウドサービス向けのSSO
インターネットから
のアクセスも
ＳＳＯ基盤の認証ポリシーに
基づいてサービスを利用
社内も社外も、
B2EもB2B, B2Cも、
同じアーキテクチャで
BaaS (WebAPI)
SaaS (WebApp)
シングルサインオン基盤
社内ネットワーク
のユーザーも
SAML/OIDCで
パスワード不要の
SSO
SaaS (WebApp)
SSO (IdP/OP)
クレデンシャルは
SSO基盤だけで管理
多要素
SSO (RProxy)
アプリ ①
アプリ ②
アプリ ③
パスワード不要の
SSO実現
リスクベース
フレッシュな源泉
HR
異動・申請に基づくシステム・
サービスのアカウント・属性の更新
社内システム向けSSO
© 2014 OGIS-RI Co., Ltd.
ユーザー
リポジトリ
IDM
Workflow
アイデンティティ管理基盤
2014/11/21
第6回 OpenAMコンソーシアムセミナー
64
目指すべきこと
 社内のアプリもクラウドアプリもシームレスに使える。
 一回のログインで、全アプリを横断的に使える。
 ログインに必要なIDとパスワードは一つだけ。
 パスワードを持っているのは認証基盤だけ。
 TPOに応じた認証方法が使える。
 アプリの利用を一元的にコントロール。
 SaaS (Webアプリ) にも BaaS (WebAPI) にも使える。
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
65
必要な技術要件
 標準技術への対応
 フェデレーション: SAML, OpenID Connect, OAuth, …
 プロビジョニング: SCIM
 標準技術に継続的に対応し続けること
 従来型の方式のサポート
 リバースプロキシ、エージェントを使ったSSO
 変更できない現行アプリへの対応 ⇒ 代理認証
 現行方式のID管理の実現
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
66
OSSを使うメリット
 技術標準の早期実装
 公開されている仕様
 ソースコードを使った問題調査、修正
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
67
まとめ
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
68
まとめ
 クラウドサービス、スマートデバイス、新しいアーキ
テクチャに対応する
 ビジネスのための認証基盤に対応する
 それがこれからのエンプラの認証基盤
 標準技術を使って、真のSSOを目指そう
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー
69
ご清聴ありがとうございました。
【お問合せ先】
株式会社オージス総研
TEL: 03-6712-1201 / 06-6871-7998
E-mail: [email protected]
© 2014 OGIS-RI Co., Ltd.
2014/11/21
第6回 OpenAMコンソーシアムセミナー

保護者同意書

すらら機能アップガイド

（ISBN978-4-535-51575-8）ᴆ - 日本評論社

「すみっコぐらしバス」デビュー！ 第6回

「ビッグモーター 狭山店」（大阪府大阪狭山市）をオープン！

「ビッグモーター 東住吉店」（大阪市東住吉区）をオープン！

専属エンジニア契約サービス

COSMIC法による 機能規模測定の適用事例 - オージス総研

IAF 第3回情報・モデリング・運用WGセミナー ISA

公認大会 3/18女Dドローを掲載しました。

クリック - タイ不動産のL`attrait Asia Thailand Co,.Ltd.