IceWallとArubaが切り開く新たな統合認証基盤

IceWall SSOクラウド&モバイル最新ソリューションのご紹介

日本ヒューレット・パッカード株式会社2016年3月

Hewlett Packard Enterprise Day 2016

シングルサインオン（SSO）とは–複数の異なるアプリケーションを使用する際、1回のログイン（ユーザー認証）だけでアクセスを可能にするソリューション

2

SSO導入済みSSO未導入

LOG IN

IDPW

LOG IN

IDPW

LOG IN

IDPW

アプリケーション使用時

ID/パスワードの入力は 1回だけ!!

異なるアプリを使う度に ID/パスワードの入力が 必要…

WebアプリA

WebアプリAWebアプリB

WebアプリC

WebアプリB WebアプリC

統合認証基盤LOG IN

IDPW

Webアプリ

認証モジュールIceWallサーバーからの要求を受け、認証DB上の認証認可情報と照合し、アクセスログを記録。

IceWall SSO

ユーザー

POINT2

リバースプロキシ

すべてのトランザクションがIceWallサーバーを通過。

認証認可チェックし、アタックを防御。

POINT1

Webアプリケーションエージェントの配布が不要。OSやWebアプリに制約が少ない 。※

POINT3

IceWall SSO の基本構成

Webアプリ

Webアプリ

IceWallサーバー

認証サーバー認証DB

クラウドサービス

Network

パブリッククラウド/プライベートクラウドとの認証連携も可能。

アクセスコントロール4A・認証 ・認可・管理 ・監査証跡

※エージェント方式にも対応

モバイルSSOソリューション

IceWall SSOとは「シングルサインオン」と「アクセスコントロールの4A」を実現する ソリューションです。エージェントレスでOSやWebアプリケーションに制限の少ないリバースプロキシ方式を主体としています。

3

安心・安全・高品質な IceWall SSO

4

– 国内市場シェアNo.1 のシングルサインオンソリューションです

2013年SSO国内市場シェア比較

*1 売上金額ベース SSO市場 No1 日本ヒューレット・パッカード：46.9%出典： ITR「ITR Market View：アイデンティティ／アクセス管理市場 2015」（平成27年5月刊） を基に日本ヒューレット・パッカードが作成。

安心• 市場シェアNo.1• 日本国内で開発・保守• 長期サポートによる投資の保護

安全• 完全二重化• ミッションクリティカル環境での実績多数• 強固なセキュリティ

高品質• 国際セキュリティ標準ISO15408取得• お客様ニーズに柔軟対応• 高い処理性能

46.9%

12.7%

8.8%

6.2%

3.9%3.5%

17.9%

日本HPA社

B社

C社

D社

E社

その他

IceWall SSO

日本ヒューレット・パッカード

SSO市場シェアNO.1(*1)

IceWall SSO導入実績(一部)

BtoB/ BtoCシステムからイントラネットまで、様々な業種の

リーディングカンパニーおよびプロジェクトの認証基盤として数

多く採用されています。

※ 総務省が進める「ICT街づくり推進事業」の一環として実施する実証事業

お客様名 ユーザー数 備考

イーヒルズ（株）様（森ビルグループ）

5万 ビジネスポータル

エヌ・ティ・ティ・コミュニケーションズ(株)様 数十万 クラウドサービス

(株)エヌ・ティ・ティ・データ様 無制限 保険共同ゲートウェイ

(株)損害保険ジャパン様 数万 代理店システム

(株)東京証券取引所様 6万 情報提供サービス

KDDI (株)様 － ファイル交換サービス

三菱UFJインフォメーションテクノロジー(株)様 3万 マーケットプレイス

大手損保 10万～ 代理店システム

金融会社 数万 －

流通会社 3000 －

お客様名 ユーザー数 備考

「柏の葉スマートシティ」プロジェクト様※

－ －

(株)エヌ・ティ・ティ・ドコモ様 数百万 Federation導入あり

(株)三菱東京UFJ銀行様 数百万 －

全国労働者共済生活協同組合連合会様

数十万イントラネットシステムへの導入もあり

証券会社 10万～ －

お客様名 ユーザー数 備考

(株)アット東京様 数百 －

佐賀県庁様 4000 －

JFEスチール(株)様 6万BtoBシステムへの導入もありFederation導入あり

住友商事(株)様 1.3万 －

ソネット(株)様 数千 －

トヨタ自動車(株)様 十数万エクストラネットへの導入もありFederation導入あり

伊藤忠テクノソリューションズ様

数万 －

新聞社 5000 －

製造業 数万 －

製造業 数千 －

大学 1000～ Federation導入あり

保険会社 10万 －

ユーティリティ会社 数万 －

BtoC / GtoC システム

BtoB システム

イントラネットシステム

5

Session維持+完全二重化

以下のすべての機器が同時に障害が発生したとしてもユーザセッションを維持します。

認証DB

クライアントPC Load Balancer IceWallサーバー

認証サーバーActive/Standby

認証DBサーバー

認証DB

N台構成による冗長化。1台がダウンしてもセッションは維持

レプリケーションによる冗長化

レプリケーションによる冗長化。1台が

ダウンしてもセッションは維持。認証サーバー分散化オプションによる分散化。

認証DBが完全停止

中でもログイン中のユーザーは処理の維持が可能。

IceWall SSOには再起動などによる長時間の切替もありません。

マイナンバー事例

7

サービス業 A社様の事例

・マイナンバー関連アプリケーションへのアクセス管理を強化するためにIceWallを導入

細かなアクセス権限の設定、アクセス証跡の管理を集中して行う。・さらに他のアプリケーションにも拡張。

8

Phase1 マイナンバー情報へのアクセスコントロールアクセス権現を持つ経理担当者はIceWallを経由してマイナンバー情報にアクセス。その他の必要なアプリにもシングルサインオン。

人事マスター

給与計算アプリ

VDI IceWall

マイナンバー情報

経理担当者マイナンバー情報へのアクセス権現あり

その他のWebアプリ追加認証(生体認証)

サービス業 A社様の事例

9

Phase2 統合認証基盤として全社横断的に拡大。

シングルサインオン＆アクセスコントロールの範囲をその他の部門へも拡大。

その他のWebアプリ

IceWall

別部門担当者

その他のWebアプリ

給与計算アプリ

VDI

全社の統合認証基盤

人事マスター

マイナンバー情報

その他のWebアプリ

Federation

10

社外ユーザー（Remote）

Public Cloud

社内ユーザーOn Premise/Private Cloud

クラウド&モバイル時代こそ必要とされる統合認証基盤

高いユーザービリティとセキュリティを兼ね備えた統合認証ソリューションが必要な時代に

モバイルSSO認証連携Federation

統合認証基盤

11

IceWall Federation / IceWall Federation Agent

IdP

認証連携

Google Apps

SP

salesforce.com

SP

パブリッククラウド

プライベートクラウド

Active DirectoryFederation Serviceに対応したサービス

SPIceWall

Federation Agentを使用してSAML SP化したアプリケーション

SP

IceWall SSO基本構成

LoginUserIDPasswd

ユーザーはIdPにログインすれば

SPも利用可能に

IdPはSPにユーザー属性や

認証済であることなど認証連携に必要な情報を

譲渡

IceWallFederation Agent

IdP（Identity Provider） : IDを管理して認証を行うサイトSP （Service Provider） : 実際のサービスを提供するサイト

Office 365

SP

クライアントPC

IceWallFederation

IceWall Federation/ IceWall Federation Agentは、パブリッククラウドやプライベートクラウド環境と認証連携（フェ

デレーション）により、シングルサインオンを実現します。

IceWall SSO 10.0のご購入で、IceWall Federationも追加費用無しでご使用いただけます。IceWall Federation Agentは別途ご購入が必要です。

12

IceWall Federationとは

接続確認ができているサービスの最新状況は弊社Webページをご確認ください。またWebページに記載 されている以外でも、接続を希望されるクラウドサービスがある際はお気軽にお問い合わせ下さい。また、OAuth2.0対応モジュールを開発中です。

IceWall Federation※は、認証連携におけるIdP(Id Provider)機能を提供するものです。SaaSサービス等SP(Service Provider)とのシングルサインオンを実現します。

出張なび Bulas Fileforce福利厚生倶楽部BoxHPE Service Anywhere

Google Apps Salesforce Platform Office 365 クリプト便cybozu.comKDDI Knowledge Suite（GRIDY）

2015年11月現在、SPとして接続が確認できているサービス/ソフトウェア

ShibbolethのSPWindows Azure SharePoint ADFS 2.0

他、多数

「Office 365」との連携機能でマイクロソフトの認定を取得

IceWallはマイクロソフトの「Works with Office 365 - Identity program」の認証連携「サードパーティーIDプロバイダー」として、国産製品としては初の認定製品です。

13

IceWall New Solutions

14

IceWall New Solutions

1. Aruba ClearPass 連携モデル

2. Fintech3. リアルタイムWeb利用分析ソリューション

15

1. IceWall SSO Aruba ClearPass 認証連携ユースケース

・デパートの店舗内Wireless Accessを会員向Webサイトに誘導

Customers

Identity Provider (IdP) IceWall SSO

IceWall Federation

ClearPassPolicy

Manager① 店舗内でWirelessアクセス

③会員サイトにRedirect

Service Provider (SP)

④会員サイトで認証

②認証

デパート会員サイト

Internet

認証DB

16

⑤認証済情報

⑥お得情報

アクセスポイント

FinTech

決済

家計・残高

融資

会計金融情報

ビットコイン

投資・保険

2. FinTech = 金融（Finance） ＋ 技術（Technology）Fintech（フィンテック、FinTech、Financial technology）とは、テクノロジーを駆使して金融サービスを生み出したり、

見直したりする動きのことである。外部に公開した形で開発されることもあるため、オープンイノベーションの一環であるともされる。(https://ja.wikipedia.org/wiki/Fintechより)

１．技術環境の変化

２．従来金融機関が行ってきた分野への新規の参入

３．既存金融機関の参入

17

2. APIビジネスを取り巻く状況なぜAPIが必要なのか？

24% 15%

Source: Mind Commerce, Telecom Network API Marketplace, June 2013

WebサービスのAPI利用 モバイルアプリのAPI利用

2018年には 68%に増加と予測

インターネット上では、既に多数のAPIサービスが存在

サービス事業者はインターネット上のAPIを組み合わせた新サービスを模索

魅力的な新サービスを生み出す = APIの開発と提供が必要

新サービスの早期実現

外部サービス事業者との協業

既存サービスの販売加速

API : 様々な機能をアプリケーションの中から利用しやすい形でまとめたもの。(Application Programming Interface)ここでは、HTTPベースのリクエスト/レスポンスで、外部から簡単に機能を呼び出すためのSOAP/RESTインタフェースを指す。

18

2. Web APIサービス全体像

– Public API と Protect API は、サービス提供方法やシステム化要件が異なる

19

API利用業者

アプリ開発者

（個人、企業）

Protect API

API

API

API

API ・・・

Public APIホームページ

一般公開情報

その他サービスAPI

API

API

一般的に公開可能な情報、サービスを提供するAPI

特定サービスをご契約して頂いているお客様に対し、各種情報やサービスを提供するAPIを各システムで構築（各システムに密接に関わるためCloud化はハードル高）

APIAccess

Management

Settlements

Payments

Financial Data

認証認可が必須！

アプリケーション

ブラウザーIceWall SSOフォワーダー

（1）ログイン画面よりID/パスワードを入力して送信（POST）

（2） 「HTTP Redirect」 によるAP画面への遷移

（3） Cookieによるログインセッションの維持

Webブラウザの認証認可は、Cookie,Redirectが前提

WebAPIの認証認可はWebAPIの方式と異なる

LOG IN

「Cookie: IW_INFO=ABCD…..」

「Set-Cookie: IW_INFO=ABCD…..」

APIアクセス

マネージメントＸ Ｘ

APサーバー

Redirect Cookie

Web APIサーバー

2. Web API の認証認可

リクエストヘッダー

....……………..○

（IceWall SSO基本構成）

（WebAPI通信には存在しない）

20

2. WebAPIアクセスマネージメントソリューションIceWall SSO スマートデバイスオプション

各種スマートデバイス（アプリケーション）から送られる「ID情報」による認証を可能にするIceWall SSOのオプション製品

Web APIサーバー

RPサーバー

認証サーバー認証DB

WebAPI用のアプリケーション

だけでなく、多様なクライアントに対応

スマートフォン

タブレットPC

フィーチャーフォン

NFCSubject: C=JP, O=Any Corporation, OU=…….. …… OU=EDI Service Project, OU=ABC00000012, CN=HP TAROU

アプリケーション

ID No1userPWD efg!1

証明書

IceWall SSO

•ヘッダー情報

• BASIC認証ヘッダー

• 証明書情報など

※IceWall SSO スマートデバイスオプションは、サーバーライセンスとして提供されます。（ユーザー数には依存しません）

「ID情報」

IceWall SSOスマートデバイス

オプション（※）

21

A-token

2. IceWall Federation OIDC-OPモジュール

2016年8月リリース予定

Resource Server#2(リソース#2)

Resource Server#1(UserInfo)

Resource Server#3(リソース#3)

RP#1(Relying Party)

RP#2

OPLOGIN

IDPWD

OIDC規定

OIDC規定外

dfw

certd1

OIDC-OP

dfw+

mod

certd2

(SSO用)

(code、アクセストークン用)

dfw-RP

認証TBL

OIDC TBL

R-token

A-token

code

(利用者の同意、トークン保存用)

code

A-token

R-tokencode

① ID-token

③

②

22

*OIDC Open ID ConnectOpenid Provider

3. IceWall SSO + HPE Vertica Analytics Platform によるリアルタイムWeb利用分析ソリューション

各種DB（プロファイル）

IceWall SSO

画像ログ削除正規化• ホスト名抽出• IPアドレス＝＞地域• URL整形

統合• Profile• グループ化• 販売データ

処理• ソート• 順序付け

収集

収集

IceWall ETL Tool(提供予定)

ブラウザー

キャンペーンとして反映

CRM

展開

営業

プロモーション

Salesforceロード

アクション選択自由な分析ツールa

リアルタイム解析データウエアハウス

データ整形高速データロード

高度な分析用データソース

可視化

分析

レポート

BIツールフォワーダー

認証サーバー

HPE VerticaAnalytics Platform

システム分析用プロジェクション

ビジネス分析用プロジェクション

CABロード

CAB

23

3. 可視化ツールTableauによるダッシュボード例

情報は動的に更新可能

24

ありがとうございましたAccelerating next ― 未来を加速する

25