SmartOn NEOからSmartOn IDに 移行するための技術要点書 ユーザーにクライアントへの初回ログオン時に登録してもらう方式の場合、各ユーザーの SmartOnユーザー名と初期パスワードを通知する必要があります。 株式会社ソリトンシステムズ IT Security Products & Service 事業統括本部 Rev.1 はじめに 本資料はSmartOn NEOからSmartOn IDに移行する際に、事 前に知っておくべき要点をまとめたものです。 SmartOn NEOからSmartOn IDへの移行手順書は別途ござい ます。詳細は移行手順書をご確認ください。また、本資料にお いて記載されている「移行手順書」とは全て下記の資料を指し ます。 移行手順書名:SmartOn NEO→ID 移行ツール手順説明書 SmartOn NEOからSmartOn IDへの移行を行う際は、導入業 者等へコンサルティング・作業をご依頼されることをお勧め致 します。 Windowsサーバー構築やActive Directory構築についてのご 相談は、Microsoft社もしくは販売代理店までお願い致します。 1 SmartOn NEOとSmartOn IDの主な機能の違い 標 準 機 能 オ プ シ ョ ン 機 能 そ の 他 機能 説明 SmartOn NEO SmartOn ID Logon Windowsログオン時に認証トーク ンを必須とさせる機能 ○ ○ PC操作制御 ○ ○ ID/PW入力代行型シングルサイン オン ○ ○ ファイル/フォルダ暗号 ○ ○ Desktop Pass Crypt ○ ログサーバー NEO/ID両用です。 デバイス制御 USBマスストレージ/WPDの個体識 別制御 ○ IEEE802.1Xサプリカント ○ 1XGate for リモートアクセス ○ - (後述P.14) VDI/SBC対応 - ○ 詳細はお問い合わせください - ○ 認証トークンへのアクセス方式 認証トークンとは、SmartOnで利 用しているICカードやUSBトーク ンのことです。 SmartOnユーザー名・ パスワード、PINなど を読み書き 格納されている一意のID を読み取り Soliton SecureGateway(SSG) Soliton SecureBrowser Pro(SSBP)連携 スマートデバイス等にインストー ルされたSSBPでの ・SSGログオンのID/PW認証連携 ・Pass(ブラウザ認証) - ○ 指ハイブリッド認証 2 SmartOn IDで利用可能なトークン/ICカードリーダーについて 認証トークンの継続利用可否 認証トークン 非接触ICカード FeliCa その他 接触ICカード Smartics-J4K Standard-9 その他 USBキー iKey 1000 8KB eToken PRO 32KB SmartOn IDでの利用 補足 弊社販売SmartOn用FeliCaであれば継続利用可能です。弊社以外からご購 入のFeliCaでも、多くの場合は利用することができます。(※1、3) Type-Bカードも利用可能な 場合があります。(※2) SmartOn NEOで利用中のトークンはSmartOn IDでは利用できません。 SmartOn IDで接触ICカードを利用する際は、接触ICカード製造時に認証 情報を付与する必要があり、別途購入する必要があります。(※3) Standard-9は販売終了しま した。 ・継続利用可能です。(※3) ・eToken PRO 16KB(2003年以前に販売)はSmartOn IDではご利用いた だけません。 eToken PRO 32KBは販売 終了しました。 ※1 カード内に、読み取り専用で一意なデータが書き込まれている非セキュリティ領域が必要です。 FeliCaチップのシリアル番号である「IDm」も利用可能ですが、お勧めいたしません。 (ソニー社もセキュリティーには利用しないよう呼びかけています。) ※2 カード内に、運用中に変更のない、一意なデータが書き込まれている領域があれば継続利用可能な場合もあります。 その場合、その領域へ至るカードに対するコマンド等を確認する必要があり、カード設計社とのやりとりが必要となります。 ※3 SmartOn IDで利用する際は、SmartOn ID環境で新たにトークン登録が必要です。 ICカードリーダー SmartOn NEOで使用中のICカードリーダーが、下記弊社SmartOn ID製品情報ページの記載デバイスに含ま れている場合、継続利用可能です。 http://www.soliton.co.jp/products/pc_security/smarton/specification.html 3 SmartOn IDの構成 SmartOn ID用Active Directory ACL情報の更新 既存Active Directory ①SmartOn認証 ②ACLのダウンロード SmartOn ID ACLサーバー(プライマリ) ③Windowsドメイン認証 SmartOn ID クライアント Active Directory ディレクトリ複製 SmartOn ID マネージャー SmartOn ID ACLサーバー(セカンダリ) SmartOn NEOとSmartOn IDのシステム 構成要素は同じですが、各ACLサーバー、 マネージャーの同居、兼用はできません。 ※1 SmartOn IDのACLサーバーは、「既存Active Directoryとは別立て」、「冗長構成」を推奨しております。 ※2 SmartOn NEOでログサーバーを利用されている場合、SmartOn IDの環境においても利用可能です。 4 認証処理の違い -SmartOn NEOの場合SmartOn NEOで特徴的な箇所 SmartOn NEO ACLサーバー (Active Directory) • • • • Windowsドメインコントローラー SmartOnアカウント SmartOnパスワード Windowsアカウント Windowsパスワード ③SmartOn認証 トークン無効化情報 などの照会 • • Windowsアカウント Windowsパスワード ④Windowsログオン用認証情報の取得 その他ユーザー情報の取得 ②PINにより解錠。 SmartOn認証情報の取得 SmartOn NEOクライアント ①トークンへの個人認証 (PIN入力) 認証トークン ユーザー • • SmartOnアカウント SmartOnパスワード 5 ⑤Windows認証 (Windowsログオン) 認証処理の違い -SmartOn IDの場合SmartOn IDで特徴的な箇所 SmartOn ID ACLサーバー (Active Directory) • • • • Windowsドメインコントローラー SmartOnアカウント SmartOnパスワード Windowsアカウント Windowsパスワード ③トークンIDよりユーザー照会し SmartOn認証 トークン無効化情報 などの照会 • • Windowsアカウント Windowsパスワード ④Windowsログオン用認証情報の取得 ユーザー情報の取得 ⑤Windows認証 (Windowsログオン) SmartOn IDクライアント ①SmartOnパスワード入力 (省略設定可) ユーザー ②トークンIDの読み取り(PIN必要なし) トークン 6 認証処理の違い –まとめ ログオン時に手入力する文字列について SmartOn NEOでは、ログオン時に「PIN認証」が行われますが、SmartOn IDでは「PIN 認証」ではなく、「SmartOnパスワード認証」が行われます。 • • SmartOn NEOにおける「PIN認証」とは、トークン内に書き込まれたSmartOn情報を取得するために行 われる、トークンに対する認証です。トークンより取得したSmartOnユーザー名/SmartOnパスワードに てACLサーバーに対し認証を行います。 SmartOn IDにおける「SmartOnパスワード認証」とは、トークンから読みだした一意のID(トークンID) と、ユーザーの入力したSmartOnパスワードをもってACLサーバーに対し認証を行います。(ACLサー バー内では、トークンIDを元にユーザー照会が行われています。) PINロックについて SmartOn NEOでは、PIN入力を設定回数連続して間違えると「PINロック」(トークンを ロックします)がかかりました。SmartOn IDでは、トークンへの書き込みが行われない ため、トークンのロックはできませんが、ACLサーバーのグループポリシー設定で、ア カウントのロックが可能です。 操作感の違いについて ログオン時やロック解除時などで入力する値が「PIN」から「SmartOnパスワード」に 変更されますが、パスワードを入力するという点においてユーザーの操作感は変わりま せん。 7 移行作業の流れ 事前確認 利用中の認証デバイス、及び機能がSmartOn IDで利用できるかを確認します。 認証トークン内のどの部分をSmartOn IDで利用する一意のIDとするかを決定しま す。(カード設計社やご購入元とご相談ください。) トークン登録方法を決定します。-(後述P.11) SmartOn IDへの移行作業の流れ 1. 2. 3. 4. 5. 6. 7. 8. SmartOn ID ACLサーバー及びSmartOn ID マネージャーを新規に構築する。 SmartOn ID マネージャーに最新のアップデートパックを適用する。 既存のSmartOn NEO ACLサーバーをV2.8対応のスキーマに拡張する。 SmartOn NEO ACLサーバーから設定情報をCSVファイルとしてエクスポートする。 SmartOn NEO ACLサーバーからエクスポートしたCSVファイルをコンバートする。 コンバートしたCSVファイルをSmartOn ID ACLサーバーにインポートする。 インポート後に必要な設定を行う。 SmartOn IDクライアントの展開を行う。-(後述P.13) 8 データ移行について SmartOn NEO で設定した情報をCSVファイル変換ツールを使用することで、 SmartOn IDへ情報の引き継ぎが可能です。(※一部の設定情報は引き継ぎができませ ん。詳細は、移行手順書をご確認ください。) データ移行の簡易イメージ SmartOn NEOのインポートエクスポートツール(※)を使用し、SmartOn NEO ACLサーバーから既存の情報をCSVでエクスポートします。そのCSVファイルを CSVファイル変換ツールでSmartOn IDで認識できるCSVファイルに変換します。 その後SmartOn ID のインポートエクスポートツール(※)でSmartOn ID ACLサー バーにインポートします。 (※CSVファイル変換ツールに付属しています。) SmartOn NEO ACLサーバー インポート コンバート エクスポート NEO CSVファイル 変換ツール データ移行の簡易イメージ図 9 ID SmartOn ID ACLサーバー SmartOn IDで設定が必要な項目 以下項目はSmartOn ID移行後に、設定が必要です。 設定一覧 補足 ID読込先の設定 認証トークン内のどこの領域をトークン IDにするか設定します。 トークン登録 SmartOn IDで利用するトークンを登録 します。(後述P.11) ディスク設定の接続先ACLサーバー設定 の変更 接続先ACLサーバーをSmartOn IDの ACLサーバーに変更します。 初期アカウントの設定 (後述P.12) サブマネージャーライセンスの新規発行 (※サブマネージャーを利用される場合) SmartOn ID用のサブマネージャーの設 定を行います。 10 トークンの登録について SmartOn IDを利用する際は必ずトークンを登録する必要 があります。 SmartOn IDでトークン登録を行う方法 方法1:CSVを使って一括でトークンIDを登録 • IDとして読み込む領域のデータ(トークンID)を、一覧でお持ちの場合のみ利用可能です。 インポートエクスポートツールを利用します。トークンの回収は不要です。 方法2:初回ログオン時にユーザー自身がトークン登録 • 管理者が各ユーザーにSmartOnユーザー名と初期パスワードを通知し、ユーザーが初 回ログオン時に登録することができます。トークンの回収は不要です。 方法3:SmartOn IDマネージャーに個々に登録 • トークンを回収する必要があります。 11 初期アカウントとは SmartOn IDでは、「初期アカウント」の登録が必要です。 SmartOn IDクライアントがACLサーバーへ初めて認証を行う際、今認証しようとしている SmartOnユーザー情報のない状態でアクセスします。(認証時、SmartOnユーザー名の入力を求め ないため。)この際、ACLサーバーの基盤であるActive Directoryにアクセスするためには、ディレ クトリ参照権限のあるユーザーのID/PWが必要です。初回はキャッシュ情報が無いためディスク に予めユーザーのID/PWを設定しておきます。これが「初期アカウント」です。 接続に成功後、トークンが有効かどうか、トークンIDを元にしたユーザーの照会を行います。そ の端末の2回目以降の認証には、初期アカウントではなくSmartOn認証で取得したSmartOnユー ザー名・パスワードを使用して接続を行います。 SmartOn NEOの場合は、認証トークンより取り出したSmartOnユーザー名/パスワードを用いて ACLサーバーにアクセスするため、初期アカウントは必要ありませんでした。 ①初期アカウントでのLDAP接続 ②SmartOn認証 ③ACL情報ダウンロード SmartOn IDクライアント ディスク設定のプロパティ画面-初期アカウントの設定- SmartOn ID ACLサーバー 注意:ACLサーバーでアカウントのパスワード期限があると、期限が切れたときにパスワード変更が出来な いために認証に失敗します。初期アカウント用ユーザーはパスワード期限を無期限に設定してください。 初期アカウントに持たせるべき権限などは、SmartOn ID管理者ガイド 8.5.7章「初期アカウントの設定」 をご参照ください。 12 クライアント展開について SmartOn IDクライアントの展開方法 以下2つの方法があります。 • • SmartOn NEOクライアントのアンインストール後に、SmartOn IDクライアントのインストール SmartOn NEOクライアントにSmartOn IDクライアントの強制上書きインストール – 1XGate機能がインストールされている場合は、強制上書きインストールはできません。 認証デバイスの変更がある場合の展開方法 1. 2. 3. 4. SmartOn NEOクライアントをアンインストール 既存のデバイスドライバをアンインストール SmartOn IDで使用するデバイスドライバのインストール SmartOn IDのクライアントをインストール SmartOn NEO→SmartOn ID移行時に、モジュールアップデート機能はご利 用いただけません。 インストール時に管理者権限を与えたディスクを発行する機能もあります。 通常、SmartOnクライアントのインストールにはローカルの管理者権限が必要となりますが、ここにロー カルの管理者権限を持つユーザーのアカウント、パスワードを指定してディスクを発行すると、インス トーラを起動したユーザーの権限ではなく、指定したアカウントの権限でインストールを実行することが できます。 13 SmartOn NEO 1XGate機能をご利用の場合 本機能は、SmartOn NEOの独自機能です。 SmartOn IDではWindows標準サプリカ ント等への移行をご検討ください。 ご注意事項 802.1x認証設計の見直しが必要になります。 設計の見直しやWindows標準サプリカントについてのお問い合せは、Microsoft社や販売代理 店へお願い致します。 Windows標準サプリカントのシングルサインオン機能(ネットワーク認証とWindowsログオ ンを同時に行う機能)はご利用いただけません。この機能は、Windows標準Credential Provider(Windowsのログオン画面の機能モジュール名)を利用しますが、SmartOn IDは Credential Providerを専用のものに置き換えているためです。 その他、ご注意点を弊社FAQサイトにて公開しております。下記ご参照ください。 • FAQ No.5454 SmartOn 1XGate利用ユーザーが Windows 標準サプリカントに移行する際の制限事 項/注意事項について – https://secure.okbiz.okwave.jp/faq-soliton/faq/show/5454 ※上記FAQは、SmartOn NEO年間サポートサービスご契約者様専用FAQです。ご契約者様専用アカウン トでログイン後、上記FAQをご覧ください。 14 補足事項 SmartOn NEOのPINに対する以下のポリシーをSmartOn IDで実現す る場合、SmartOn ID ACLサーバーの基盤ADのグループポリシーの 設定を利用し、パスワードポリシーを決めてください。 オブジェクト 機能、項目名 ユーザー・OU PINの有効期間 ユーザー・OU PINの変更禁止期間 ユーザー・OU 認証PINロックまでの回数 ユーザー・OU 最少のPINの長さ ※詳細は、SmartOn ID管理者ガイド 2.2章「ドメインセキュリティーポリシーについて」をご参照ください。 15 (最終ページ)
© Copyright 2024 ExpyDoc