SaaS利用時のアカウント管理、 シングルサインオンで 安全に使いやすく お問い合わせ先 本資料やF5製品に関するお問い合わせは以下までお気軽にご連絡ください。 メールでのお問い合わせは http://www.f5networks.co.jp/inquiry/ お電話でのお問い合せは 03-5114-3850 [インサイドセールス] 10:00 ~ 18:00 (土日祝日を除く) © F5 Networks, Inc 2 平均的なユーザが一日に認証する回数は「39回」 —Regina Dugan Former head of DARPA http://www.forbes.com/sites/tjmccue/2013/06/05/googles -motorola-may-give-you-tattoo-or-vitamin-password/ © F5 Networks, Inc 3 今日のアプリケーションアクセスが抱える課題 パスワードを覚えきれないか ら共通化してしまおう 認証が多すぎて 使うのが面倒 ユーザの立場 © F5 Networks, Inc シングルサインオンって 導入が難しいのかな…? ポータル化できないかな…? 新規アプリの開発時には 都度、認証基盤の設計をしな ければならない アカウントの消し忘れによる 不正ログインを防止したい 管理者の立場 4 F5のSaaS対応シングルサインオンソリューション Salesforce.com 営業部サーバ 会社管理のデバイス かどうか 最新のアンチウィルス定 義が入っているか 経費精算アプリ 認証サーバ ユーザ属性= 営業部 • © F5 Networks, Inc 簡潔なインフラストラク チャ • シームレスなWebアプリ ケーションへのログオン • パブリックSaaSとの連携 5 事例:大学向けサービスプロバイダ – Shibbolethリプレイス Shibbolethでは実現できなかったBIG-IPによるSSO(SAML)とネットワークアクセスコントロールを 同時に実現 大学向けサービスプロバイダ 大学 A BIG-IP(Idp) BIG-IPで下記の機能を提供 1. SAML – SP 2. SSL VPN トンネル SAMLのアサーション情報をベースにアクセス先ネット ワークをコントロール A - LDAP A NWセグメント 10.1.1.0/24 BIG-IP SAML -SP 110校以上がユーザ 大学 B 大学 B SSL VPNトンネル SAML - Idp × B NWセグメント 10.1.2.0/24 SAML -SP B - Radius 背景/要件 ・110以上の大学にサービス、ターゲット700組織以上 (大学、研究機関) ・各大学の人材不足、予算削減でSPのニーズが高まる。 ・Shibbolethを利用してシングルサインオンサービス提供 IdpもSPもShibboleth ・アクセス先のネットワークセグメントは同一なので セキュリティ上の課題 ・SAMLアサーションベースでアクセスできるネットワーク セグメントをコントロールしたいがShibbolethでは実現不可 © F5 Networks, Inc ソリューション ・BIG-IPをSAML SPとして利用 ・SAMLのアサーションベースに ネットワークアクセスの設定をコントロール ・大学 Aには大学A用のネットワーク セグメントにしかアクセスできないのでセキュリティを強化 6 安全に、簡単に! BYOD、クラウド、SaaS ライブ デモ中! 安心、簡単!iPadを使ったアプリケーションアクセス iPhone Android Physical iPad BIG-IP Windows PC Virtual Storage Mac Total Application Delivery Networking Services Remote access © F5 Networks, Inc SSL VPN APP firewall Cloud 情報セキュリティEXPO.の出展ブースで実施したデモです。 ご希望の方は本資料最終ページに記載のお問い合わせ先にご連絡ください。 9 ライブ デモ中! Office365やsalesforceへ安全で簡単にアクセス Step 1 Step 2 BIG-IP + APM 社内アプリケーションとクラウドアプリケー ションへのシングルサインオンを提供 • Step1:ユーザは、会社のデバイスに、スタンダードな 認証方式(例:ADやLDAP)を使ってログインする。 Step 3 • Step2:ユーザ認証は、APMにオフロードされる。 Step 4 • Step3:ユーザは会社のクライアントアプリケーション (例:Outlook/Exchange)へのアクセスが可能である。 • Step4:IT部門が定義した特定のクライド上のアプリ ケーション(例:Office365,GoogleApps等)に対して、 APMが認証情報をブラウザにインサートする。 • その結果、IT部門が定義した特定のクライドアプリ ケーションへ、シームレスにシングルサインオンを実現 する。 © F5 Networks, Inc 情報セキュリティEXPO.の出展ブースで実施したデモです。 ご希望の方は本資料最終ページに記載のお問い合わせ先にご連絡ください。 10 マルチデバイスアクセス対応 セキュアリモートアクセス 幅広い対応プラットフォーム F5は、モバイルデバイスにおいてセキュアかつ高速にリモートアクセスを 提供する唯一のADCベンダ • モバイルデバイス 1st iOS Device(iPhone/iPad) Samsung Android 1st Rooted Android Android v4.0 (ICS) • Desktop/Laptop © F5 Networks, Inc 12 ユーザビリティを徹底的に考慮した製品 ユーザにも管理者にも快適なリモートアクセス 自宅 通勤途中 (ワイヤレス) 自動接続! (モバイルカード) ログインの手間を軽減!! 職場 (LAN接続) © F5 Networks, Inc プレゼンテーション カフェ (ワイヤレス) (社内ワイヤレス) 13 iPhone/iPad専用クライアントアプリケーション それぞれ2種類ずつを提供 Apple App Storeよりダウンロード(無料) 1. BIG-IP Edge Portal Webアプリケーションへアクセス http://itunes.apple.com/jp/app/f5-big-ip-edge-portal/id399900369?mt=8 2. BIG-IP Edge Client 全てのアプリケーションへアクセス http://itunes.apple.com/jp/app/f5-big-ip-edge-client/id411062210?mt=8 © F5 Networks, Inc 14 アプリケーションに簡単にアクセス やれやれ。。。 Step 1 VPNへの認証 Step 2 アプリケーション起動 Step 3 アプリケーションの認証 ビジネスアプリ 快適! BIG-IP APM © F5 Networks, Inc ビジネスアプリ 1ステップでアプリケーションへアクセス アプリ自動起動+シングルサインオン F5 Confidential: Partner use only 15 On Demand VPN(iOSのみ) モバイルデバイスにクライアント証明書をインストールし、特定のドメインへのアクセスの場合自 動的にVPN接続が可能。 1. 2. 3. 4. 5. ユーザは証明書を事前にデバイスにインストール Edge ClientにVPN接続するドメインを設定 ユーザはVPN接続をするドメインにアクセス 自動的にAPM/EDGEに接続詞、証明書を検証 検証された場合のみIntranetへアクセス エンドポイントのアクセスを制御 エンドポイントのセキュリティを強力に確保 BIG-IP APM 許可、拒否、もしくは下記のようなエンドポイン トの属性に基づいた制御を実施 • アンチウィルスソフトウエアのバージョンやアップ デート状況 • ファイアウォールソフトウエアのステータス 非管理デバイスのために保護された仮想デス クトップ(Protected Work Space)を提供 • USBへアクセスを制限 • キャッシュクリーナーによる情報の 消去 • マルウエアの進入を防御 • 特定アプリケーションのインストール • 証明書の有無 © F5 Networks, Inc 17 強力かつ柔軟なセキュリティポリシー設定 上記設定例: 接続 クライアントのチェック ログオン画面が現れ AD認証 SSL-VPN IDと端末の紐付きを特定 • 誰が、いつ、どこから、どんな端末からアクセスしたのかを判定可能なポリシーエディタ • 利用者の状況に合わせたアクセスコントロールを柔軟に実現 例: Yamadaというアカウント名で、iPad利用時に、 XXXXXというデバイスIDというアクセスでなければ拒否する © F5 Networks, Inc 19 モバイルデバイスの識別 モバイルデバイスでは、デバイスのインスペクションができないため トから取得できる情報が重要となる。 • iOS • • • • • • プラットフォーム情報 MACアドレス(WiFi) モデル名 バージョン情報 ユニークID(UUID)、IMEI番号 例 iOS 90:21:55:07:4A:32 iPhone 4 4.3 8ccaf965e51e3077 Android • • • • • • • プラットフォーム情報 MACアドレス(WiFi) モデル名 バージョン情報 ユニークID シリアルナンバ IMEI番号 Android 90:21:55:07:4A:32 Galaxy Nexus 4.0.2 8ccaf965e51e3077 016BEB2097AF1456 354569041052233 クライアントソフ アクセスレポート機能による運用管理 充実で柔軟なレポート機能(認証失敗理由、ライセンス使用率など) クライアント証明書によるログの例 © F5 Networks, Inc 21 クラウド認証連携ソリューション BIG-IP SAML機能による クラウド対応 認証連携・SSOソリューション • この機能によるメリット • セキュリティ • 企業はクラウド上に展開されるアプリケーションアクセスのためのユーザアカウント 管理を自社内認証ディレクトリを用いることができます • 認証ディレクトリを一元化できるためパスワードポリシーを手元でコントロールでき ます • 柔軟性 • Google, Salesforce, Office365などパブリッククラウドサービスと認証連携ができま す • 利便性 • ユーザはクラウドを含む複数アプリケーションへのアクセス時、都度クレデンシャル 入力を求められることなく使うことができます © F5 Networks, Inc 23 APM SAML機能ハイライト ① • APMがSAML Identity Provider(IdP)として機能 • ユーザ認証実施(認証サーバと連携)およびアサーションの発行 • APMがSAML Service Provider(SP)として機能 • アサーションの評価をし、ACLなどのアクセスポリシーに従いアプリケーションアクセ スを提供 • SAML version 2.0 サポート ※BIG-IP v11.3リリース時現在の機能 ※詳細はマニュアル参照: http://support.f5.com/kb/en-us/products/big-ip_apm/manuals/product/apm-saml-config-guide-11-3-0/1.html © F5 Networks, Inc 24 APM SAML機能ハイライト ② • メタデータのインポート・エクスポート機能 • SAMLコンフィグレーションを含んだメタデータのインポート・エクスポートに対応 • テンプレートの提供 • 連携するIdP、SP設定用テンプレートを用意 • APMがIdPの時:Google SP, Shibboleth SP, BIG-IP SP • APMがSPの時:ADFS IdP, SecureAuth IdP, Shibboleth IdP, Open SSO IdP, BIG-IP IdP • idPイニシエーテッド、SPイニシエーテッドアクセスのサポート • 暗号化アサーションのサポート • より強固なセキュリティのために AES128, AES192, AES256 を利用可能 ※BIG-IP v11.3リリース時現在の機能 ※詳細はマニュアル参照: http://support.f5.com/kb/en-us/products/big-ip_apm/manuals/product/apm-saml-config-guide-11-3-0/1.html © F5 Networks, Inc 25 アプリケーションアクセスフロー ① APMをIdPとして利用(IdPイニシエーテッド アクセス) ② ① User ③ IdP Auth Server SP ① ユーザがAPM(IdP)にアクセス。 ② APM上にセッション情報がないためAccess PolicyによりAuth Serverを利用しユーザ認証を実施。Webtopによりアプ リケーションを提供。 ③ ユーザがアプリケーションを選択時アサーションが作成され、SP上のACSにリダイレクト。 © F5 Networks, Inc 26 アプリケーションアクセスフロー ② APMをIdPとして利用(SPイニシエーテッド アクセス) ② User ③ IdP ① Auth Server ④ SP ① ユーザがSPにアクセス。 ② SPはユーザ認証のためにAPM(IdP)にリダイレクト。 ③ APM上にセッション情報がないためAccess PolicyによりAuth Serverを利用しユーザ認証を実施。 ④ アサーションが作成され、SP上のACSにリダイレクト。 © F5 Networks, Inc 27 アプリケーションアクセスフロー ③ APMをSPとして利用(IdPイニシエーテッド アクセス) ① ② User IdP ③ SP Server ① ユーザがIdPにアクセス。 ② IdPがユーザ認証後アサーションと共にAPM(SP)にリダイレクト。 ③ APM(SP)でアサーションを検証しサーバへのアクセスを許可。 © F5 Networks, Inc 28 アプリケーションアクセスフロー ④ APMをSPとして利用(SPイニシエーテッド アクセス) ③ User IdP ① ② ④ SP Server ① ユーザがAPM(SP)にアクセス。 ② APM上にセッション情報がないためAccess Policy実行後、IdPにリダイレクト。 ③ IdPがユーザ認証後アサーションと共にAPM(SP)にリダイレクト。 ④ APM(SP)でアサーションを検証しサーバへのアクセスを許可。 © F5 Networks, Inc 29 お問い合わせ先 本資料やF5製品に関するお問い合わせは以下までお気軽にご連絡ください。 メールでのお問い合わせは http://www.f5networks.co.jp/inquiry/ お電話でのお問い合せは 03-5114-3850 [インサイドセールス] 10:00 ~ 18:00 (土日祝日を除く) © F5 Networks, Inc 30
© Copyright 2024 ExpyDoc
