こちらからダウンロード

第16回
CSA 勉強会
IAM管理の最新動向
2015年9月25日
エクスジェンネットワークス株式会社
代表取締役 江川 淳一
[email protected]
Copyright© 2015 EXGEN NETWORKS Co.,LTD. All Rights Reserved.
1. クラウド普及による新たなセキュリティ対策
1.1 クラウド普及
クラウドサービス事業者
クラウドサービス利用企業
業務システムA
機密情報
機密情報をクラウド
事業者に預けたくな
い
業務サービスB
クラウド利用
機密情報
クラウド利用企業の
機密情報を預かりた
くない
ミッションクリティカルな業務のクラウドサービス利用進む
セキュリティ・ポリシーによる統制力が及ぶ範囲外に機密情報
を預けることを前提とした、新たなセキュリティ対策が必要
クラウド事業者に預けないで済む機密情報は何かあるか?
1
1. クラウド普及による新たなセキュリティ対策
1.コンシューマ市場でのフェデレーション活用例
1.2 コンシューマ市場でのフェデレーション活用例
1
2
入力
ログイン
3
4
選択
SSO
2
1. クラウド普及による新たなセキュリティ対策
1.2 コンシューマ市場でのフェデレーション活用例
6
5
選択
フェデレーションの役割と効果
属性情報自動入力
①認証=複数のWebサイトへのシングルサインオン
②ID情報連携=属性情報の自動入力
3
1. クラウド普及による新たなセキュリティ対策
1.3 エンタープライズ市場でのフェデレーション応用
ローカル認証方式
クラウドサービス事業者
クラウドサービス利用企業
業務システムA
業務サービスB
クラウド利用
ID情報
ID情報
フェデレーションによる認証情報連携
業務サービスC
ID情報
(一部)
IdP
フェデレーション
RP
ID情報
(一部)
セキュリティ・ポリシーの及ぶ範囲内にID情報
の一部を残す
4
1. クラウド普及による新たなセキュリティ対策
1.3 エンタープライズ市場でのフェデレーション応用
クラウドサービス利用企業
ID管理
システム
クラウドサービス事業者
1
IdP
ID情報
(全部の情報)
4
API
3
ID情報
(一部の情報)
RP
5
2
6
1 【プロビジョニング】アイデンティティ(ユーザ)情報の事前登録
2 【アクセス試行】クラウドサービスへのアクセス
3 【認証要求】クラウドサービス事業者から利用企業への認証処理の委譲
4 【認証処理】エンドユーザによる認証処理
5 【IDトークン返却】クラウドサービスへの認証結果の連携
6 【クラウドサービス利用】エンドユーザによるクラウドサービス利用
5
2. エンプラ市場でのフェデレーション利用のポイント
2.1 ID管理システムの必要性①~コンシューマ市場との違いから
IdP
個人
UI
ID情報
UI
RP
企業
プロビジョニング併用でのID情報連携が必要
・サービス利用契約に応じたライセンス数分のIDの事前配布。
・営業支援システムやスケジュール共有システムのようにID
情報自体が業務アプリのコンテンツとなっている場合が
セキュリティ
多い。
ポリシー
人事
システム
API
ID管理
システム
ID情報
RP
人事システム
ID情報
IdP
AD
ID情報
マスター
ID情報
API
ID情報
RP
6
2. エンプラ市場でのフェデレーション利用のポイント
2.1 ID管理システムの必要性②~コンシューマ市場との違いから
IdP
個人
UI
ID情報
UI
RP
企業
源泉DB
IDライフサイクル管理
・定期的な人事異動や組織改編への対応。
セキュリティ
ポリシー
人事
システム
API
ID管理
システム
ID情報
RP
人事システム
ID情報
IdP
AD
ID情報
マスター
ID情報
API
ID情報
RP
7
2. エンプラ市場でのフェデレーション利用のポイント
2.1 ID管理システムの必要性③~コンシューマ市場との違いから
IdP
個人
UI
ID情報
UI
RP
企業
内部統制対策としての認証基盤整備の一環
・IDはセキュリティポリシーに準拠してIT部門の管理者により
運用管理される従業員ID管理。
セキュリティ
ポリシー
人事
システム
API
ID管理
システム
ID情報
RP
人事システム
ID情報
IdP
AD
ID情報
マスター
ID情報
API
ID情報
RP
8
2. エンプラ市場でのフェデレーション利用のポイント
2.1 ID管理システムの必要性④~コンシューマ市場との違いから
IdP
個人
UI
ID情報
UI
RP
企業
既存システムIDとの統合運用管理が必要
・クラウドサービスで利用するIDは社内の既存システムで
利用するIDも含めた統合運用管理が必要。
セキュリティ
ポリシー
人事
システム
API
ID管理
システム
ID情報
RP
人事システム
ID情報
IdP
AD
ID情報
マスター
ID情報
API
ID情報
RP
9
3. 認証基盤システム概要
3.1 認証基盤システム整備の目的
様々なシステムのユーザ情報を正
しく整える必要が..
しかもリアルタイムに...
源泉情報
ID
システム毎にパスワードを
変更する必要が...
P
認
何度もログインが必要、
何種もパスワードを覚える
必要が...
「ユーザ利便性の向上」「管理効率の向上」
「管理品質の確保」「セキュリティリスクの低減」
10
3. 認証基盤システム概要
3.2 認証基盤システム概要図
源泉情報
ID
P
認
IDM
IDライフ
サイクル管理
連携
ID情報
マスター
(認証サーバ)
認証基盤システム構成
①ID情報マスター
SSO
②ID管理システム
(IDライフサイクル管理& ID連携( プロビジョニング))
③シングル・サインオンシステム
11
4. IDaaS概要
4.1 IDaaSの出現(US)
SaaSへのシングル・サインオン
12
4. IDaaS概要
(注)Webに公開されている情報をもとに江川が考察を加えました。
4.2 OktaのIDaaS
専業SaaS
エンドユーザ
IDaaS
LDAP
IdP
AD
管理者
RP
AD連携
1.オンプレ⇒IDaaS
2.IDaaS⇒オンプレ
(SCIM)
$4~$8/月
クラウド用
ID情報マスタ
RP
RP
エンドユーザ
RP
RP
1000以上のSaaSに
対するSSOが主機能
25のSaaSに対する
プロビジョニング
RP
RP
ID情報
13
4. IDaaS概要
4.3 IDaaSの機能
エンドユーザ
①シングル・サインオン・サービス
(多要素認証 & フェデレーション)
②ID管理サービス
源泉ID情報
DB
ワーク
フロー
IDライフ
サイクル管理
ID情報
プロビジョニング
マスターDB
③インフラ提供
IaaS
PaaS
SaaS
プライベート
クラウド
オン
プレミス
④インフラ&サービス監視
14
5. 日本のIDaaS
5.1 ID Federation(NTTコミュニケーションズ)
Microsoft Office365、Salesforce、box、GoogleApps等のメジャーなクラウド型ア
プリケーション(SaaS)はもちろんのこと、その他、NTT Comが提供するSaaS、
他社が提供するSaaSを含め多様なSaaSへのシングルサインオンを実現します。
15
5. 日本のIDaaS
5.1 ID Federation(NTTコミュニケーションズ)
IaaS
PaaS
エンドユーザ
源泉ID情報
DB
ワーク
フロー
IDaaS
シングル・サインオン
(多要素認証 & フェデレーション)
IDライフ
サイクル管理
ID情報 プロビジョニング
マスターDB
SaaS
プライベート
クラウド
オン
プレミス
インフラ監視
16
5. 日本のIDaaS
5.1 ID Federation(NTTコミュニケーションズ)
IaaS
PaaS
エンドユーザ
源泉ID情報
DB
ワーク
フロー
IDaaS
シングル・サインオン
(多要素認証 & フェデレーション)
IDライフ
サイクル管理
ID情報 プロビジョニング
マスターDB
SaaS
プライベート
クラウド
オン
プレミス
インフラ監視
17
5. 日本のIDaaS
5.2 Business ID (KDDI)
連携サービス: 「Google Drive for Work」、「Google Apps for Work」、
「Office 365 with KDDI」、「KDDI ChatWork」、「KDDI Knowledge Suite」
18
5. 日本のIDaaS
5.2 Business ID (KDDI)
IaaS
PaaS
エンドユーザ
源泉ID情報
DB
ワーク
フロー
IDaaS
シングル・サインオン
(多要素認証 & フェデレーション)
IDライフ
サイクル管理
ID情報 プロビジョニング
マスターDB
SaaS
プライベート
クラウド
オン
プレミス
インフラ監視
19
5. 日本のIDaaS
5.2 Business ID (KDDI)
IaaS
PaaS
エンドユーザ
源泉ID情報
DB
ワーク
フロー
IDaaS
シングル・サインオン
(多要素認証 & フェデレーション)
IDライフ
サイクル管理
ID情報 プロビジョニング
マスターDB
SaaS
プライベート
クラウド
オン
プレミス
インフラ監視
20
5. 日本のIDaaS
5.3 extic(EXGEN Trusted Identity Center)
シングルサインオン
【SSO】 OpenAM/Shibboleth
【IDM】CIM(Java)
ID情報マスタDB
(PostgreSQL)
OpenLDAP
プロビジョニング
【ポータル】 extic ポータル
シングル
サインオン
認証
メンテ
GUI
CSV
CSV
利用者
管理者
AD
パスワード
フック
AD PW
Hook
Active
Directory
LDAP
UNIX
コマンド
オンプレミス
21
5. 日本のIDaaS
5.3 extic(EXGEN Trusted Identity Center)
①EXGEN社がサービス提供
②ターゲットは大学
③まずAWS版、その後Azure版(それぞれの良さを訴える)
プレミアムサポートや包括ライセンス契約の有無
③日本のエンタープライズクラウド市場で要求されるIDaaS構成を探る
④機能構成
1)IDM:CIM(Java)
2)SSO:OpenAM /SAML(Shibboleth) IdP
3)ID情報マスターDB(PostgreSQL)
4)多様素認証(今後、実装予定)
5)ログ管理(認証ログとIDメンテログの統合管理) (今後、実装予定)
6)クラウドインフラ監視(Xseed社+Deep Security)
7)ID運用管理ヘルプデスク(Xseed社+ID運用管理手順書)
22
6. 情報共有機会の増大に対する認証方式
情報共有企業A
現
状
情報オーナー企業C
情報共有
システム
(ローカル認証)
ID発行
ローカル認証
~システム利用
情報共有企業B
ID情報
情報共有企業A
理
想
論
ID情報
ID未発行
IdP
フェデレーション
RP
情報共有企業B
ID情報
情報共有企業A
禁
じ
手
情報オーナー企業C
ID情報
IdP
・共有システムの改修が大変
・ID、パスワードが情報オーナー企業にわたり、
F/Wの外から認証が戻ってくることになる
情報オーナー企業C
ID情報
情報共有
システム
(LDAP
外部認証)
情報共有企業B
ID未発行
ID情報
情報共有
システム
(フェデレー
ション対応)
ID情報
23