20170718 csa 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(ujinawatakeru) work...
TRANSCRIPT
![Page 1: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/1.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会
社内のIdentityでAWSアカウントの管理を効率化
株式会社オージス総研サービス事業本部 テミストラクトソリューション部
⽒縄 武尊
![Page 2: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/2.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会
⾃⼰紹介
2
⽒縄 武尊 (Ujinawa Takeru)Work
株式会社オージス総研テミストラクトソリューション部 4年⽬認証・認可・ID管理・PKI
OpenID Foundation Japan EIWGメンバーPrivate
滋賀県彦根市 出⾝Twitter: @uji52
FavoriteSpec: OpenID Connect, OAuth2.0, SCIMAWS: IAM, CloudTrail, Lambda
![Page 3: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/3.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 3
私の仕事 : ThemiStruct (テミストラクト)
電⼦証明書発⾏・管理
ID管理
シングルサインオン認証基盤
AWSのPaaS上で動くアイデンティティ連携基盤
つくってます
![Page 4: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/4.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 4
AWSアカウント管理の苦労OpenAMとは認証連携⽅式OpenAMをセットアップして使ってみる
フェデレーションでアカウント管理効率UP SAMLによるフェデレーションOpenID Connectによるフェデレーション
フェデレーション技術と今後ID管理について
アジェンダ
![Page 5: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/5.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 5
AWSアカウント管理の苦労
![Page 6: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/6.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 6
アカウントの管理ユーザの追加・削除 (⼊社・退社)ユーザの属性変更 (異動)所属グループの管理 (組織構成の変更)
AWSアカウントの管理
![Page 7: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/7.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 7
IAM
![Page 8: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/8.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 8
IAM User
2017年6⽉後半頃の画⾯
![Page 9: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/9.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 9
⽉初
新メンバー加⼊
管理者
素早く対応しなきゃ利⽤者に不便って⾔われる!
![Page 10: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/10.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 10
ユーザの追加
![Page 11: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/11.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 11
ユーザの追加
![Page 12: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/12.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 12
グループへの参加
![Page 13: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/13.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 13
追加内容の確認
![Page 14: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/14.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 14
追加完了
![Page 15: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/15.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 15
OTPの設定
![Page 16: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/16.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 16
OTPの設定
![Page 17: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/17.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 17
⽉末
メンバー離脱
管理者
素早く対応しなきゃ辞めたのに⼊られてしまう!!
危ない!!
![Page 18: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/18.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 18
ユーザの削除
![Page 19: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/19.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 19
⽉末
メンバー異動
早く対応しないと不便だって⾔われる上に
権限が残ってて危ない!!
管理者
![Page 20: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/20.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 20
グループの付け替え
![Page 21: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/21.jpg)
© 2017 OGIS-RI Co., Ltd. 21
⽉末⽉初の忙しい時期にこんな処理ばっかり・・・
(作業漏れも許されない緊張感・・・)
![Page 22: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/22.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 22
ユーザの不満 (不便!)追加が遅れると不便だMFA有効化が⾯倒だそもそも認証するのが⾯倒だ
管理者の不満 (⾯倒!リスク!)⼿作業が多いMFAを強制できない作業を忘れたら企業に打撃を与える可能性がある
アカウント管理上の課題
![Page 23: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/23.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 23
社内に存在するユーザ情報のコピー⼿作業でIAMユーザを追加
アカウント管理上の課題の元になっていること
LDAP
IAM User
アカウント管理者
⾒る ⼿メンテ
![Page 24: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/24.jpg)
© 2017 OGIS-RI Co., Ltd. 24
この問題フェデレーションで
解決できる!!
![Page 25: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/25.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 25
異なるシステム間で、安全にID情報を連携する仕組み
フェデレーション(ID連携)
フェデレーションLDAP
認証基盤
IAM Userユーザ情報の取得
・認証結果・ユーザ情報
![Page 26: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/26.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 26
異なるシステム間で、安全にID情報を連携する仕組み
フェデレーション(ID連携)
ユーザ情報の取得 フェデレーション
LDAP
IAM User
・認証結果・ユーザ情報
![Page 27: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/27.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 27
AWSアカウント管理の苦労OpenAMとは ID連携⽅式OpenAMをセットアップして使ってみる
フェデレーションでアカウント管理効率UP SAMLによるフェデレーションOpenID Connectによるフェデレーション
フェデレーション技術と今後ID管理について
アジェンダ
![Page 28: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/28.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 28
ForgeRock社が開発元のOSSOpenAMとは(ざっくり)
認証 認証結果・ID情報連携
アプリケーション利⽤
SSO
App
![Page 29: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/29.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 29
エージェント⽅式リバースプロキシ⽅式代理認証⽅式フェデレーション⽅式
ID連携⽅式
![Page 30: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/30.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 30
従来のID連携⽅式
http://www.ogis-ri.co.jp/pickup/themistruct/note/note_sso01.html
![Page 31: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/31.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 31
http://www.ogis-ri.co.jp/pickup/themistruct/note/note_sso01.html
![Page 32: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/32.jpg)
© 2017 OGIS-RI Co., Ltd. 32
OpenAMをセットアップしてみよう
![Page 33: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/33.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 33
Community Edition
https://forgerock.github.io/openam-community-edition/
OpenID Connectの機能にやや不⾜アリ
OpenAM 11.0.0
![Page 34: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/34.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 34
OpenAM パブリックリポジトリ
https://stash.forgerock.org/projects/OPENAM
ビルドする必要があるがOpenID Connectの機能は充実
(今回はこちらを採⽤)
OpenAM 13.0.0
![Page 35: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/35.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 35
セットアップのトップ画⾯
![Page 36: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/36.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 36
規約を読んで同意
![Page 37: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/37.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 37
管理アカウントのパスワードを⼊⼒
![Page 38: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/38.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 38
サーバの情報やCookieのドメインを指定
(基本的に初期値が⼊っている)
![Page 39: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/39.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 39
OpenAMの設定を保管するストアの選択
![Page 40: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/40.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 40
OpenAMを利⽤するユーザのストアを設定
(今回はデモ・検証⽤なのでOpenAMのデータストアを利⽤)
![Page 41: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/41.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 41
冗⻑構成を取る場合の設定
![Page 42: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/42.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 42
デデフォルトポリシーエージェントのパスワード(今回は使⽤しない)
![Page 43: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/43.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 43
設定を確認する
![Page 44: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/44.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 44
セットアップ進捗確認
![Page 45: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/45.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 45
設定完了後にログイン画⾯に遷移
![Page 46: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/46.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 46
ログイン画⾯
![Page 47: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/47.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 47
管理画⾯
![Page 48: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/48.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 48
設定項⽬の紹介(⼀部)・Authentication・Agents
![Page 49: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/49.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 49
認証連鎖の設定
![Page 50: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/50.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 50
フェデレーション先の設定
![Page 51: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/51.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 51
13.0.0のバージョンにはバグがある認証情報の連携同意画⾯が表⽰できないXUI/libs/text.jsの21⾏⽬に改修が必要
defaultPort = hasLocation && (location.port || (defaultProtocol === 'https' ? '443' : '80')),
フェデレーション型(OIDC)を利⽤する際の注意点
https://forum.forgerock.com/topic/openam-with-openid-service-provider-over-https/https://bugster.forgerock.org/jira/browse/OPENAM-8371
![Page 52: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/52.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 52
AWSアカウント管理の苦労OpenAMとは認証連携⽅式OpenAMをセットアップして使ってみる
フェデレーションでアカウント管理効率UP SAMLによるフェデレーションOpenID Connectによるフェデレーション
フェデレーション技術と今後ID管理について
アジェンダ
![Page 53: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/53.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 53
フェデレーションでID管理の悩み解決
![Page 54: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/54.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 54
ユーザの不満 (不便!)追加が遅れると不便だMFA有効化が⾯倒だそもそも認証するのが⾯倒だ
管理者の不満 (⾯倒!リスク!)⼿作業が多いMFAを強制できない作業を忘れたら企業に打撃を与える可能性がある
アカウント管理上の課題
![Page 55: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/55.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 55
社内に存在するユーザ情報のコピー⼿作業でIAMユーザを追加
アカウント管理上の課題の元になっていること
LDAP
IAM User
アカウント管理者
⾒る ⼿メンテ
![Page 56: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/56.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 56
異なるシステム間で、安全にID情報を連携する仕組み
フェデレーション(ID連携)
フェデレーションLDAP
ユーザ情報の取得
・認証結果・ユーザ情報
![Page 57: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/57.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 57
⼀時的セキュリティ認証情報を持つ、信頼されたユーザーを作成および提供
STS (Security Token Service)のAssumeRole
フェデレーション
LDAP
⼀時的なユーザ作成
ユーザ情報の取得
![Page 58: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/58.jpg)
© 2017 OGIS-RI Co., Ltd. 58
これらを組み合わせたら社内のID情報で
AWSのユーザ管理を代⽤できる(AssumeRoleWithSAML)
![Page 59: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/59.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 59
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html
AWS公式ドキュメント有り
![Page 60: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/60.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 60
SAML IdP (Identity Provider) Identity情報の連携元(今回はOpenAM)
SAML IdPとSAML SP
フェデレーション
LDAP
⼀時的なユーザ作成
SAML SP(Service Provider) Identity情報の連携先(今回はAWS)
ユーザ情報の取得
![Page 61: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/61.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 61
SAML IdPを構成するOpenAMをSAML IdPとして構成する
SAML IdP, SPのメタデータを取得するOpenAMのIdPメタデータを取得AWSのSPメタデータを取得
互いに相⼿の設定を⾏うOpenAMにSAML SP(AWS)を登録するAWSにSAML IdP(OpenAM)を登録する
設定の流れ
![Page 62: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/62.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 62
SAML IdPを構成するOpenAMをSAML IdPとして構成する
SAML IdP, SPのメタデータを取得するOpenAMのIdPメタデータを取得AWSのSPメタデータを取得
互いに相⼿の設定を⾏うOpenAMにSAML SP(AWS)を登録するAWSにSAML IdP(OpenAM)を登録する
設定の流れ
![Page 63: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/63.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 63
SAMLの設定
![Page 64: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/64.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 64
SAML IdPの登録
![Page 65: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/65.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 65
SAML IdPの登録
署名鍵の設定は重要!
![Page 66: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/66.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 66
IdPの登録完了
![Page 67: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/67.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 67
SAML IdPを構成するOpenAMをSAML IdPとして構成する
SAML IdP, SPのメタデータを取得するOpenAMのIdPメタデータを取得AWSのSPメタデータを取得
互いに相⼿の設定を⾏うOpenAMにSAML SP(AWS)を登録するAWSにSAML IdP(OpenAM)を登録する
設定の流れ✔
![Page 68: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/68.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 68
OpenAM(SAML IdP)のメタデータの取得
(後でAWSに登録する)
https://xxxxxxxxxxx/openam/saml2/jsp/exportmetadata.jsp
![Page 69: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/69.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 69
AWS(SAML SP)のメタデータの取得
(後でOpenAMに登録する)
https://signin.aws.amazon.com/static/saml-metadata.xml
![Page 70: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/70.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 70
SAML IdPを構成するOpenAMをSAML IdPとして構成する
SAML IdP, SPのメタデータを取得するOpenAMのIdPメタデータを取得AWSのSPメタデータを取得
互いに相⼿の設定を⾏うOpenAMにSAML SP(AWS)を登録するAWSにSAML IdP(OpenAM)を登録する
設定の流れ✔
✔
![Page 71: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/71.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 71
AWS(SAML SP)の登録
![Page 72: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/72.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 72
メタデータの登録
![Page 73: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/73.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 73
登録情報の確認
![Page 74: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/74.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 74
IdPとSPが登録されていることを確認
![Page 75: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/75.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 75
AWS側に連携する属性を修正
![Page 76: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/76.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 76
OpenAMからAWS側に連携する属性のマッピングを追加
uid→RoleSessionName(AWS側でのユーザ名)address→Role(付与するロールのID)(LDAP上に属性を新たに定義するのがベスト)
![Page 77: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/77.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 77
![Page 78: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/78.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 78
メタデータの登録
![Page 79: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/79.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 79
登録されていることを確認
![Page 80: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/80.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 80
付与するロールを作成
![Page 81: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/81.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 81
SAML⽤のポリシを選択
![Page 82: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/82.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 82
簡単な属性による制御も可能
![Page 83: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/83.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 83
ロールの信頼ポリシの作成
![Page 84: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/84.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 84
付与するポリシのアタッチ
![Page 85: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/85.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 85
ポリシーの作成を完了する
![Page 86: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/86.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 86
SAML IdPを構成するOpenAMをSAML IdPとして構成する
SAML IdP, SPのメタデータを取得するOpenAMのIdPメタデータを取得AWSのSPメタデータを取得
互いに相⼿の設定を⾏うOpenAMにSAML SP(AWS)を登録するAWSにSAML IdP(OpenAM)を登録する
設定の流れ✔
✔
✔
![Page 87: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/87.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 87
OpenAMにテスト⽤のユーザを作成
![Page 88: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/88.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 88
テストに使うユーザを作成住所の属性にAWSのロール名を追加(LDAP上に新たに定義した属性に差し込むのがベスト)
![Page 89: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/89.jpg)
© 2017 OGIS-RI Co., Ltd. 89
これで設定完了OpenAMがSAML IdP
AWSがSAML SPになった
![Page 90: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/90.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 90
https://xxxxxxxxxx/openam/idpssoinit?metaAlias=/idp&spEntityID=urn:amazon:webservices
AWSに連携する為のURLにアクセスし認証を⾏う
![Page 91: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/91.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 91
認証後にAWSのコンソール画⾯に遷移
![Page 92: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/92.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 92
ユーザのアクティビティもCloudTrailで記録可能
ユーザ名にはOpenAMのuidが⼊る
CloudTrail
![Page 93: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/93.jpg)
© 2017 OGIS-RI Co., Ltd. 93
もっと細かい情報を元に割り当てられるロールを判断し
最初のロールを与えたい
![Page 94: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/94.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 94
⼀時的セキュリティ認証情報を持つ、信頼されたユーザーを作成および提供
STS (Security Token Service)のAssumeRoleWithSAML
LDAP
⼀時的なユーザ作成
フェデレーションユーザ情報の取得
![Page 95: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/95.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 95
⼀時的セキュリティ認証情報を持つ、信頼されたユーザーを作成および提供
STS (Security Token Service)のAssumeRole
LDAP
⼀時的なユーザフェデレーション
フェデレーションブローカー
ユーザ情報の取得
![Page 96: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/96.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 96
フェデレーションで渡る情報(SAML)<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
ID="s2f01e008563013ee4043c33de620d7bb6c064f0a3"Version="2.0"IssueInstant="2017-07-04T09:28:17Z"Destination="https://signin.aws.amazon.com/saml">
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">https://openam.demo.themistruct.com:443/openam
</saml:Issuer><samlp:Status xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><samlp:StatusCode xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
Value="urn:oasis:names:tc:SAML:2.0:status:Success"></samlp:StatusCode>
</samlp:Status><saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="s2f4af5fea34dafd4f098102dd07951d40832e2200"IssueInstant="2017-07-04T09:28:17Z"Version="2.0">
<saml:Issuer>https://openam.demo.themistruct.com:443/openam
</saml:Issuer><ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:SignedInfo><ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/><ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/><ds:Reference URI="#s2f4af5fea34dafd4f098102dd07951d40832e2200"><ds:Transforms><ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/><ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms><ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/><ds:DigestValue>nqlTXRSmseaMQu9/22W8vH5Ipk0=
</ds:DigestValue></ds:Reference>
</ds:SignedInfo><ds:SignatureValue>Mh9XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXkvGJsFXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX3jjO9LXXXXXXXXXXXXXXXX=
</ds:SignatureValue><ds:KeyInfo><ds:X509Data><ds:X509Certificate>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
</ds:X509Certificate></ds:X509Data>
</ds:KeyInfo></ds:Signature><saml:Subject><saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"
NameQualifier="https://xxxxxxxxxxxxxxxxx:443/openam"SPNameQualifier="urn:amazon:webservices">
6EubdGBN8rgKS27r6YC/zP9stl5U</saml:NameID><saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"><saml:SubjectConfirmationData NotOnOrAfter="2017-07-04T09:38:17Z"
Recipient="https://signin.aws.amazon.com/saml"/></saml:SubjectConfirmation>
</saml:Subject><saml:Conditions NotBefore="2017-07-04T09:18:17Z" NotOnOrAfter="2017-07-04T09:38:17Z"><saml:AudienceRestriction><saml:Audience>urn:amazon:webservices
</saml:Audience></saml:AudienceRestriction>
</saml:Conditions><saml:AuthnStatement AuthnInstant="2017-07-04T09:24:38Z"
SessionIndex="s28d49f5aa82b83dc41b6ebeb2cd49c1495e357601"><saml:AuthnContext><saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</saml:AuthnContextClassRef></saml:AuthnContext>
</saml:AuthnStatement><saml:AttributeStatement><saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/RoleSessionName"><saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">uji52
</saml:AttributeValue></saml:Attribute><saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/Role"><saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:type="xs:string">
arn:aws:iam::xxxxxxxxxxxx:role/SAMLAssume,arn:aws:iam::xxxxxxxxxxxx:saml-provider/xxxxxxxxxxxxxxxxx</saml:AttributeValue>
</saml:Attribute></saml:AttributeStatement>
</saml:Assertion></samlp:Response>
全100行
<saml:AttributeStatement><saml:Attribute
Name="https://aws.amazon.com/SAML/Attributes/RoleSessionName">
<saml:AttributeValue>uji52
</saml:AttributeValue>
拡⼤
必要な属性の抽出がやや⾯倒
![Page 97: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/97.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 97
フェデレーションで渡る情報(OpenID Connect)
{"iss": "http://server.example.com","sub": "uji52","aud": "s6BhdRkqt3","nonce": "n-0S6_WzA2Mj","exp": 1311281970,"iat": 1311280970
}
JSON形式で必要な属性の抽出が
⾮常に簡単
![Page 98: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/98.jpg)
© 2017 OGIS-RI Co., Ltd. 98
OpenID Conectなら認証情報の属性ベースで
権限のハンドリングがやり易い
![Page 99: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/99.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 99
![Page 100: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/100.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 100
![Page 101: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/101.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 101
AWSコンソール
フェデレーションブローカー
⑤⼀時ユーザの情報
④判定
⑥AWSコンソールにサインイン
STSAssumeRole
①認証
②情報取得名前所属チーム認証した時間etc…
③フェデレーション
MFAの強制も可能
![Page 102: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/102.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 102
ユーザの不満 (不便!)追加が遅れると不便だMFA有効化が⾯倒だそもそも認証するのが⾯倒だ
管理者の不満 (⾯倒!リスク!)⼿作業が多いMFAを強制できない作業を忘れたら企業に打撃を与える可能性がある
アカウント管理上の課題✔
✔
![Page 103: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/103.jpg)
© 2017 OGIS-RI Co., Ltd. 103
アカウント管理から開放された!
![Page 104: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/104.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 104
AWSアカウント管理の苦労OpenAMとは認証連携⽅式OpenAMをセットアップして使ってみる
フェデレーションでアカウント管理効率UP SAMLによるフェデレーションOpenID Connectによるフェデレーション
フェデレーション技術と今後ID管理について
アジェンダ
![Page 105: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/105.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 105
ユーザーの属性情報を使ったコントロール
社内の認証基盤 フェデレーションブローカー
![Page 106: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/106.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 106
ユーザーの属性情報を使ったコントロール
社内の認証基盤 フェデレーションブローカー
フェデレーション
(ID情報)
![Page 107: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/107.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 107
ユーザーの属性情報を使ったコントロール
社内の認証基盤 フェデレーションブローカー(ID情報)
ユーザーの属性を活⽤して、付与する権限を
コントロールフェデレーション
![Page 108: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/108.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 108
ユーザーの属性情報を使ったコントロール
社内の認証基盤 フェデレーションブローカー(ID情報)
ユーザーの属性を活⽤して、付与する権限を
コントロール
?
フェデレーション
![Page 109: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/109.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 109
フェデレーション技術で伝搬される情報
ID情報
属性情報
認証情報
• ユーザー名• 所属コード
• 発⾏元• 発⾏した時間• 認証⼿段
![Page 110: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/110.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 110
フェデレーション技術で伝搬される情報
• ユーザー名• 所属コード
• 発⾏元• 発⾏した時間• 認証⼿段
ID情報
属性情報
認証情報
![Page 111: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/111.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 111
「認証情報の発⾏元 (issuer)」でコントロール
社内の認証基盤 フェデレーションブローカーID情報
認証情報の発⾏元
フェデレーション
![Page 112: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/112.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 112
「認証情報の発⾏元 (issuer)」でコントロール
社内の認証基盤 フェデレーションブローカー
社内の認証基盤で認証していないと
サインインさせない
ID情報
認証情報の発⾏元
フェデレーション
![Page 113: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/113.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 113
フェデレーション技術で伝搬される情報
• ユーザー名• 所属コード
• 発⾏元• 発⾏した時間• 認証⼿段
ID情報
属性情報
認証情報
![Page 114: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/114.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 114
「認証情報を発⾏した時間 (iat)」でコントロール
社内の認証基盤 フェデレーションブローカーID情報
認証情報を発⾏した時間
フェデレーション
![Page 115: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/115.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 115
「認証情報を発⾏した時間 (iat)」でコントロール
社内の認証基盤 フェデレーションブローカー
営業時間外はサインインさせない
ID情報
認証情報を発⾏した時間
フェデレーション
![Page 116: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/116.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 116
フェデレーション技術で伝搬される情報
• ユーザー名• 所属コード
• 発⾏元• 発⾏した時間• 認証⼿段
ID情報
属性情報
認証情報
![Page 117: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/117.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 117
「認証⼿段 (acrやamr)」でコントロール
社内の認証基盤 フェデレーションブローカーID情報
認証⼿段
フェデレーション
![Page 118: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/118.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 118
「認証⼿段 (acrやamr)」でコントロール
社内の認証基盤 フェデレーションブローカーID情報
認証⼿段
社内の認証基盤で多要素認証をしないとサインインさせないフェデレーション
![Page 119: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/119.jpg)
© 2017 OGIS-RI Co., Ltd. 119
アイデンティティ情報でセキュリティを実装できる
アイデンティティ情報をシステム間で連携できる
![Page 120: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/120.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 120
Identity Is the New Perimeter (ID業界話)
ネットワーク型の防御 アイデンティティ型の防御
![Page 121: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/121.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 121
認証基盤 + フェデレーション + IAMフェデレーションでアカウント管理の効率化メンテナンス漏れによるインシデントを回避
アイデンティティフェデレーションでセキュリティの実装ができるIdentity Is the New Perimeter
おわりに
![Page 122: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/122.jpg)
© 2017 OGIS-RI Co., Ltd. 122
最後にちょっと宣伝
![Page 123: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/123.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会
AWSのPaaS上で動くアイデンティティ連携基盤≠OpenAM、OpenIDM ≠IDaaSオージス総研⾃社商品
新しい統合認証プラットフォーム作ってます
123
![Page 124: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/124.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会
膨⼤なトラフィック 認証基盤の役割増加 提供するサービス・システムの増加 ユーザー数・デバイス数の増加 API利⽤の増加
スパイクアクセス キャンペーンやニュースサイト掲載などにより定常的なアクセスと⽐較し、
予想不可な⼤量のアクセスが発⽣する
システム停⽌を回避 認証基盤役割の増加に伴い、システム停⽌や遅延による機会損失が⼤きくなり、
事業継続性や機会損失回避など可⽤性要求のレベルが格段にUPした
スピードスタート・スモールスタート 短期間でビジネスをスタートさせたり、事業規模に応じてスタート、柔軟にスケールできる必要がある
「⾮機能要求」のレベルがアップ
124
![Page 125: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/125.jpg)
© 2017 OGIS-RI Co., Ltd.
これまで: ⾼度な基盤設計。⼊念な可⽤性、性能のテスト。プロジェクトの巨⼤化。
125
![Page 126: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/126.jpg)
© 2017 OGIS-RI Co., Ltd.
これから: 基盤の設計、テストは不要。プロジェクトの迅速なスタートアップ。
126
![Page 127: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/127.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会
OpenID Certified になりました。
オージス総研の ThemiStruct Identity Platform はOpenID Connect™ プ ロ ト コ ル の OP Basic, OPImplicit, OP Config の3つのプロファイルに適合したOpenID Certified™ 実装です。
http://openid.net/certification/
127
![Page 128: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/128.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 128
![Page 129: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/129.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 129
![Page 130: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/130.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会
ご清聴ありがとうございました
【お問い合わせ先】株式会社オージス総研
TEL: 03-6712-1201 / 06-6871-7998mail: [email protected]
130
![Page 131: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/131.jpg)
© 2017 OGIS-RI Co., Ltd.
フロー補⾜
![Page 132: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/132.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会
Code Flow
クライアント端末
RP(Relying Party)
OP(OpenID Provider)
⑤認可コード
132
④認可コード連携
②認証要求⑥ID Token
![Page 133: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/133.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 133
認可Code Flow
クライアント端末 RP(Relying Part) OP(OpenID Provider)アクセス
OPへリダイレクト・response_type=code・client_id=クライアントID・redirect_uri=認証後に戻る場所・scope=取得したい情報・nonce=replay atack対策・state=コールバック主の特定etc…
![Page 134: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/134.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 134
認可Code Flow
クライアント端末 Relying Party OpenID Provider
認証情報送信
認証画⾯返却
redirect_uri にリダイレクト・code=認可コード・state=渡されたstate値
上の値を持ってOPへリダイレクト
![Page 135: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/135.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会 135
認可Code Flow
クライアント端末 Relying Party OpenID Provider
ID TokenとAccess Tokenを返却
取得したコードを⽤いてID Token, Access Tokenを要求
Access Tokenを⽤いてUser Infoの情報を要求
User Infoの情報を返却
ユーザ向けのサービスを提供
渡された情報を持ってリダイレクト
![Page 136: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/136.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会
認証情報の正体(OpenID ConnectのID Token)
eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJ1amk1MiIsImF1ZCI6ImNsaWVudF9pZCIsImlzcyI6Imh0dHA6Ly9vcC5leGFtcGxlLmNvbSIsImV4cCI6IjE0Mzk5NDYzNjAiLCJub25jZSI6IkFCQ0QxMjM0IiwiaWF0IjoiMTQzOTk0NjAwMCJ9.S2GTMObgH956hjE6Pf7LEL1+CyiobH8tVImvxsVqx1fAZkFNZGP4aVv5jjNj2Ldwt/LoGJs8Er0YZSfKPWI1cdmEr+NtYeRyljbQvCRhg3T4aZpBfzBcwABj8DQxbv0uNuV0s4eHS0OMM7LVJnXk/kzdCeM/cwlzz0Vor0aYdAg=
引用 http://openid.net/specs/openid-connect-core-1_0.html
ヘッダ.ペイロード.署名JWT(JSON Web Token)形式
136
![Page 137: 20170718 CSA 発表用 - ogis-ri.co.jp · ⾃⼰紹介 2 ⽒縄武尊(UjinawaTakeru) Work 株式会社オージス総研 テミストラクトソリューション部 4年⽬ 認証・認可・ID管理・PKI](https://reader034.vdocuments.site/reader034/viewer/2022043008/5f9963efc49a7e7ec47e6fa1/html5/thumbnails/137.jpg)
© 2017 OGIS-RI Co., Ltd. 2017/7/18 第34回 CSA 勉強会
ID Tokenの中⾝(例)ヘッダ(署名に⽤いる情報){
"typ":"JWT","alg":"RS256"
}
ペイロード(ID Tokenの情報){
"sub":"uji52","aud":"client_id","iss":"http://op.example.com","nonce":"ABCD1234","iat": "1439946000""exp":"1439946360"
}
137
eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9
eyJzdWIiOiJ1amk1MiIsImF1ZCI6ImNsaWVudF9pZCIsImlzcyI6Imh0dHA6Ly9vcC5leGFtcGxlLmNvbSIsImV4cCI6IjE0Mzk5NDYzNjAiLCJub25jZSI6IkFCQ0QxMjM0IiwiaWF0IjoiMTQzOTk0NjAwMCJ9
S2GTMObgH956hjE6Pf7LEL1+CyiobH8tVImvxsVqx1fAZkFNZGP4aVv5jjNj2Ldwt/LoGJs8Er0YZSfKPWI1cdmEr+NtYeRyljbQvCRhg3T4aZpBfzBcwABj8DQxbv0uNuV0s4eHS0OMM7LVJnXk/kzdCeM/cwlzz0Vor0aYdAg=
+
署名