SmartOn NEOからSmartOn IDに 移行するための

SmartOn NEOからSmartOn IDに
移行するための技術要点書
ユーザーにクライアントへの初回ログオン時に登録してもらう方式の場合、各ユーザーの
SmartOnユーザー名と初期パスワードを通知する必要があります。
株式会社ソリトンシステムズ
IT Security Products & Service 事業統括本部
Rev.1
はじめに
 本資料はSmartOn NEOからSmartOn IDに移行する際に、事
前に知っておくべき要点をまとめたものです。
 SmartOn NEOからSmartOn IDへの移行手順書は別途ござい
ます。詳細は移行手順書をご確認ください。また、本資料にお
いて記載されている「移行手順書」とは全て下記の資料を指し
ます。

移行手順書名:SmartOn NEO→ID 移行ツール手順説明書
 SmartOn NEOからSmartOn IDへの移行を行う際は、導入業
者等へコンサルティング・作業をご依頼されることをお勧め致
します。
 Windowsサーバー構築やActive Directory構築についてのご
相談は、Microsoft社もしくは販売代理店までお願い致します。
1
SmartOn NEOとSmartOn IDの主な機能の違い
標
準
機
能
オ
プ
シ
ョ
ン
機
能
そ
の
他
機能
説明
SmartOn NEO
SmartOn ID
Logon
Windowsログオン時に認証トーク
ンを必須とさせる機能
○
○
PC操作制御
○
○
ID/PW入力代行型シングルサイン
オン
○
○
ファイル/フォルダ暗号
○
○
Desktop
Pass
Crypt
○
ログサーバー
NEO/ID両用です。
デバイス制御
USBマスストレージ/WPDの個体識
別制御
○
IEEE802.1Xサプリカント
○
1XGate
for リモートアクセス
○
-
(後述P.14)
VDI/SBC対応
-
○
詳細はお問い合わせください
-
○
認証トークンへのアクセス方式
認証トークンとは、SmartOnで利
用しているICカードやUSBトーク
ンのことです。
SmartOnユーザー名・
パスワード、PINなど
を読み書き
格納されている一意のID
を読み取り
Soliton SecureGateway(SSG)
Soliton SecureBrowser Pro(SSBP)連携
スマートデバイス等にインストー
ルされたSSBPでの
・SSGログオンのID/PW認証連携
・Pass(ブラウザ認証)
-
○
指ハイブリッド認証
2
SmartOn IDで利用可能なトークン/ICカードリーダーについて
認証トークンの継続利用可否

認証トークン
非接触ICカード
FeliCa
その他
接触ICカード
Smartics-J4K
Standard-9
その他
USBキー
iKey 1000 8KB
eToken PRO 32KB
SmartOn IDでの利用
補足
弊社販売SmartOn用FeliCaであれば継続利用可能です。弊社以外からご購
入のFeliCaでも、多くの場合は利用することができます。(※1、3)
Type-Bカードも利用可能な
場合があります。(※2)
SmartOn NEOで利用中のトークンはSmartOn IDでは利用できません。
SmartOn IDで接触ICカードを利用する際は、接触ICカード製造時に認証
情報を付与する必要があり、別途購入する必要があります。(※3)
Standard-9は販売終了しま
した。
・継続利用可能です。(※3)
・eToken PRO 16KB(2003年以前に販売)はSmartOn IDではご利用いた
だけません。
eToken PRO 32KBは販売
終了しました。
※1
カード内に、読み取り専用で一意なデータが書き込まれている非セキュリティ領域が必要です。
FeliCaチップのシリアル番号である「IDm」も利用可能ですが、お勧めいたしません。
(ソニー社もセキュリティーには利用しないよう呼びかけています。)
※2 カード内に、運用中に変更のない、一意なデータが書き込まれている領域があれば継続利用可能な場合もあります。
その場合、その領域へ至るカードに対するコマンド等を確認する必要があり、カード設計社とのやりとりが必要となります。
※3 SmartOn IDで利用する際は、SmartOn ID環境で新たにトークン登録が必要です。

ICカードリーダー

SmartOn NEOで使用中のICカードリーダーが、下記弊社SmartOn ID製品情報ページの記載デバイスに含ま
れている場合、継続利用可能です。
http://www.soliton.co.jp/products/pc_security/smarton/specification.html
3
SmartOn IDの構成
SmartOn ID用Active Directory
ACL情報の更新
既存Active Directory
①SmartOn認証
②ACLのダウンロード
SmartOn ID
ACLサーバー(プライマリ)
③Windowsドメイン認証
SmartOn ID
クライアント
Active
Directory
ディレクトリ複製
SmartOn ID
マネージャー
SmartOn ID
ACLサーバー(セカンダリ)
SmartOn NEOとSmartOn IDのシステム
構成要素は同じですが、各ACLサーバー、
マネージャーの同居、兼用はできません。
※1 SmartOn IDのACLサーバーは、「既存Active Directoryとは別立て」、「冗長構成」を推奨しております。
※2 SmartOn NEOでログサーバーを利用されている場合、SmartOn IDの環境においても利用可能です。
4
認証処理の違い
-SmartOn NEOの場合SmartOn NEOで特徴的な箇所
SmartOn NEO ACLサーバー
(Active Directory)
•
•
•
•
Windowsドメインコントローラー
SmartOnアカウント
SmartOnパスワード
Windowsアカウント
Windowsパスワード
③SmartOn認証
トークン無効化情報
などの照会
•
•
Windowsアカウント
Windowsパスワード
④Windowsログオン用認証情報の取得
その他ユーザー情報の取得
②PINにより解錠。
SmartOn認証情報の取得
SmartOn NEOクライアント
①トークンへの個人認証
(PIN入力)
認証トークン
ユーザー
•
•
SmartOnアカウント
SmartOnパスワード
5
⑤Windows認証
(Windowsログオン)
認証処理の違い
-SmartOn IDの場合SmartOn IDで特徴的な箇所
SmartOn ID ACLサーバー
(Active Directory)
•
•
•
•
Windowsドメインコントローラー
SmartOnアカウント
SmartOnパスワード
Windowsアカウント
Windowsパスワード
③トークンIDよりユーザー照会し
SmartOn認証
トークン無効化情報
などの照会
•
•
Windowsアカウント
Windowsパスワード
④Windowsログオン用認証情報の取得
ユーザー情報の取得
⑤Windows認証
(Windowsログオン)
SmartOn IDクライアント
①SmartOnパスワード入力
(省略設定可)
ユーザー
②トークンIDの読み取り(PIN必要なし)
トークン
6
認証処理の違い –まとめ ログオン時に手入力する文字列について

SmartOn NEOでは、ログオン時に「PIN認証」が行われますが、SmartOn IDでは「PIN
認証」ではなく、「SmartOnパスワード認証」が行われます。
•
•
SmartOn NEOにおける「PIN認証」とは、トークン内に書き込まれたSmartOn情報を取得するために行
われる、トークンに対する認証です。トークンより取得したSmartOnユーザー名/SmartOnパスワードに
てACLサーバーに対し認証を行います。
SmartOn IDにおける「SmartOnパスワード認証」とは、トークンから読みだした一意のID(トークンID)
と、ユーザーの入力したSmartOnパスワードをもってACLサーバーに対し認証を行います。(ACLサー
バー内では、トークンIDを元にユーザー照会が行われています。)
 PINロックについて

SmartOn NEOでは、PIN入力を設定回数連続して間違えると「PINロック」(トークンを
ロックします)がかかりました。SmartOn IDでは、トークンへの書き込みが行われない
ため、トークンのロックはできませんが、ACLサーバーのグループポリシー設定で、ア
カウントのロックが可能です。
 操作感の違いについて

ログオン時やロック解除時などで入力する値が「PIN」から「SmartOnパスワード」に
変更されますが、パスワードを入力するという点においてユーザーの操作感は変わりま
せん。
7
移行作業の流れ
 事前確認



利用中の認証デバイス、及び機能がSmartOn IDで利用できるかを確認します。
認証トークン内のどの部分をSmartOn IDで利用する一意のIDとするかを決定しま
す。(カード設計社やご購入元とご相談ください。)
トークン登録方法を決定します。-(後述P.11)
 SmartOn IDへの移行作業の流れ
1.
2.
3.
4.
5.
6.
7.
8.
SmartOn ID ACLサーバー及びSmartOn ID マネージャーを新規に構築する。
SmartOn ID マネージャーに最新のアップデートパックを適用する。
既存のSmartOn NEO ACLサーバーをV2.8対応のスキーマに拡張する。
SmartOn NEO ACLサーバーから設定情報をCSVファイルとしてエクスポートする。
SmartOn NEO ACLサーバーからエクスポートしたCSVファイルをコンバートする。
コンバートしたCSVファイルをSmartOn ID ACLサーバーにインポートする。
インポート後に必要な設定を行う。
SmartOn IDクライアントの展開を行う。-(後述P.13)
8
データ移行について
 SmartOn NEO で設定した情報をCSVファイル変換ツールを使用することで、
SmartOn IDへ情報の引き継ぎが可能です。(※一部の設定情報は引き継ぎができませ
ん。詳細は、移行手順書をご確認ください。)
 データ移行の簡易イメージ

SmartOn NEOのインポートエクスポートツール(※)を使用し、SmartOn NEO
ACLサーバーから既存の情報をCSVでエクスポートします。そのCSVファイルを
CSVファイル変換ツールでSmartOn IDで認識できるCSVファイルに変換します。
その後SmartOn ID のインポートエクスポートツール(※)でSmartOn ID ACLサー
バーにインポートします。
(※CSVファイル変換ツールに付属しています。)
SmartOn NEO
ACLサーバー
インポート
コンバート
エクスポート
NEO
CSVファイル
変換ツール
データ移行の簡易イメージ図
9
ID
SmartOn ID
ACLサーバー
SmartOn IDで設定が必要な項目
 以下項目はSmartOn ID移行後に、設定が必要です。
設定一覧
補足
ID読込先の設定
認証トークン内のどこの領域をトークン
IDにするか設定します。
トークン登録
SmartOn IDで利用するトークンを登録
します。(後述P.11)
ディスク設定の接続先ACLサーバー設定
の変更
接続先ACLサーバーをSmartOn IDの
ACLサーバーに変更します。
初期アカウントの設定
(後述P.12)
サブマネージャーライセンスの新規発行
(※サブマネージャーを利用される場合)
SmartOn ID用のサブマネージャーの設
定を行います。
10
トークンの登録について
 SmartOn IDを利用する際は必ずトークンを登録する必要
があります。
 SmartOn IDでトークン登録を行う方法

方法1:CSVを使って一括でトークンIDを登録
• IDとして読み込む領域のデータ(トークンID)を、一覧でお持ちの場合のみ利用可能です。
インポートエクスポートツールを利用します。トークンの回収は不要です。

方法2:初回ログオン時にユーザー自身がトークン登録
• 管理者が各ユーザーにSmartOnユーザー名と初期パスワードを通知し、ユーザーが初
回ログオン時に登録することができます。トークンの回収は不要です。

方法3:SmartOn IDマネージャーに個々に登録
• トークンを回収する必要があります。
11
初期アカウントとは




SmartOn IDでは、「初期アカウント」の登録が必要です。
SmartOn IDクライアントがACLサーバーへ初めて認証を行う際、今認証しようとしている
SmartOnユーザー情報のない状態でアクセスします。(認証時、SmartOnユーザー名の入力を求め
ないため。)この際、ACLサーバーの基盤であるActive Directoryにアクセスするためには、ディレ
クトリ参照権限のあるユーザーのID/PWが必要です。初回はキャッシュ情報が無いためディスク
に予めユーザーのID/PWを設定しておきます。これが「初期アカウント」です。
接続に成功後、トークンが有効かどうか、トークンIDを元にしたユーザーの照会を行います。そ
の端末の2回目以降の認証には、初期アカウントではなくSmartOn認証で取得したSmartOnユー
ザー名・パスワードを使用して接続を行います。
SmartOn NEOの場合は、認証トークンより取り出したSmartOnユーザー名/パスワードを用いて
ACLサーバーにアクセスするため、初期アカウントは必要ありませんでした。
①初期アカウントでのLDAP接続
②SmartOn認証
③ACL情報ダウンロード
SmartOn IDクライアント
ディスク設定のプロパティ画面-初期アカウントの設定-
SmartOn ID
ACLサーバー
注意:ACLサーバーでアカウントのパスワード期限があると、期限が切れたときにパスワード変更が出来な
いために認証に失敗します。初期アカウント用ユーザーはパスワード期限を無期限に設定してください。
初期アカウントに持たせるべき権限などは、SmartOn ID管理者ガイド 8.5.7章「初期アカウントの設定」
をご参照ください。
12
クライアント展開について

SmartOn IDクライアントの展開方法

以下2つの方法があります。
•
•
SmartOn NEOクライアントのアンインストール後に、SmartOn IDクライアントのインストール
SmartOn NEOクライアントにSmartOn IDクライアントの強制上書きインストール
– 1XGate機能がインストールされている場合は、強制上書きインストールはできません。
 認証デバイスの変更がある場合の展開方法
1.
2.
3.
4.
SmartOn NEOクライアントをアンインストール
既存のデバイスドライバをアンインストール
SmartOn IDで使用するデバイスドライバのインストール
SmartOn IDのクライアントをインストール
 SmartOn NEO→SmartOn ID移行時に、モジュールアップデート機能はご利
用いただけません。
 インストール時に管理者権限を与えたディスクを発行する機能もあります。

通常、SmartOnクライアントのインストールにはローカルの管理者権限が必要となりますが、ここにロー
カルの管理者権限を持つユーザーのアカウント、パスワードを指定してディスクを発行すると、インス
トーラを起動したユーザーの権限ではなく、指定したアカウントの権限でインストールを実行することが
できます。
13
SmartOn NEO 1XGate機能をご利用の場合
 本機能は、SmartOn NEOの独自機能です。 SmartOn IDではWindows標準サプリカ
ント等への移行をご検討ください。

ご注意事項



802.1x認証設計の見直しが必要になります。
設計の見直しやWindows標準サプリカントについてのお問い合せは、Microsoft社や販売代理
店へお願い致します。
Windows標準サプリカントのシングルサインオン機能(ネットワーク認証とWindowsログオ
ンを同時に行う機能)はご利用いただけません。この機能は、Windows標準Credential
Provider(Windowsのログオン画面の機能モジュール名)を利用しますが、SmartOn IDは
Credential Providerを専用のものに置き換えているためです。
その他、ご注意点を弊社FAQサイトにて公開しております。下記ご参照ください。
•
FAQ No.5454 SmartOn 1XGate利用ユーザーが Windows 標準サプリカントに移行する際の制限事
項/注意事項について
–
https://secure.okbiz.okwave.jp/faq-soliton/faq/show/5454
※上記FAQは、SmartOn NEO年間サポートサービスご契約者様専用FAQです。ご契約者様専用アカウン
トでログイン後、上記FAQをご覧ください。
14
補足事項
 SmartOn NEOのPINに対する以下のポリシーをSmartOn IDで実現す
る場合、SmartOn ID ACLサーバーの基盤ADのグループポリシーの
設定を利用し、パスワードポリシーを決めてください。
オブジェクト
機能、項目名
ユーザー・OU
PINの有効期間
ユーザー・OU
PINの変更禁止期間
ユーザー・OU
認証PINロックまでの回数
ユーザー・OU
最少のPINの長さ
※詳細は、SmartOn ID管理者ガイド 2.2章「ドメインセキュリティーポリシーについて」をご参照ください。
15 (最終ページ)