いま、エンタープライズidに求められるもの
TRANSCRIPT
![Page 1: いま、エンタープライズIdに求められるもの](https://reader030.vdocuments.site/reader030/viewer/2022020207/557ad454d8b42a200f8b530b/html5/thumbnails/1.jpg)
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
エクスジェン・ネットワークス (株 )江川淳一
OpenID Connectと SCIMのエンタープライズ活用
いま、エンタープライズ・デジタルアイデンティティに求められるもの
EIWG発表会 (2013/07/04)
![Page 2: いま、エンタープライズIdに求められるもの](https://reader030.vdocuments.site/reader030/viewer/2022020207/557ad454d8b42a200f8b530b/html5/thumbnails/2.jpg)
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
OpenID Connectと SCIMのエンタープライズ活用ガイドの構成
2
1.エンタプライズ ITにおけるフェデレーションと アイデンティティ・プロビジョニング標準 APIの有用性2.OpenID Connect技術解説3.SCIM技術解説
4.OpenID Connectと SCIMのエンタプライズ IT適用 ~コンシューマ ITとの違い /適用ガイドライン
5.OpenID Connectと SCIMの実装ユースケース ~cybozu.com/BAZA CLOUD/JTB-CWT
6.今後検討する必要のある関連技術 ~トラストフレームワーク /権限委譲
![Page 3: いま、エンタープライズIdに求められるもの](https://reader030.vdocuments.site/reader030/viewer/2022020207/557ad454d8b42a200f8b530b/html5/thumbnails/3.jpg)
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
1.クラウド事業者にとってのフェデレーションの有用性
3
クラウド事業者がクラウドビジネスを行う上での課題
クラウド利用者が抱くセキュリティ不安の払拭1
クラウド利用者が抱くセキュリティ不安とは
クラウドは内部統制 (リスクマネージメント )の範囲外
クラウド事業者の管理運用体制の説明不足
クラウド事業者に機密情報を預けることの不安
2
![Page 4: いま、エンタープライズIdに求められるもの](https://reader030.vdocuments.site/reader030/viewer/2022020207/557ad454d8b42a200f8b530b/html5/thumbnails/4.jpg)
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
1.クラウド事業者にとってのフェデレーションの有用性
4
コンシューマ IT環境での個人情報漏えい事件
機密情報の中でも ID情報は特に不安3
クラウド事業者がセキュリティ不安を払しょくするには
運用管理ポリシーの説明責任を果たす=透明性確保
4 クラウド利用者から預かる情報の削減(特にパスワード情報を預からない)
フェデレーションの利用
![Page 5: いま、エンタープライズIdに求められるもの](https://reader030.vdocuments.site/reader030/viewer/2022020207/557ad454d8b42a200f8b530b/html5/thumbnails/5.jpg)
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
2.クラウド利用者にとってのフェデレーションの有用性
5
クラウドサービスに対するシングル・サインオン
クラウド利用企業の技術的管理範囲外のサービスへのシングル・サインオンとなり、従来型のエージェント方式やリバースプロキシー方式での対応は困難
1
フェデレーションの利用
![Page 6: いま、エンタープライズIdに求められるもの](https://reader030.vdocuments.site/reader030/viewer/2022020207/557ad454d8b42a200f8b530b/html5/thumbnails/6.jpg)
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
2.クラウド利用者にとってのフェデレーションの有用性
6
共有する情報のオーナー企業にとって、従来型のローカール認証方式では、共有する企業の ID情報
(パスワード情報含む )を預かることになり、万が一の情報漏えい時の賠償責任リスクが高まる
サプライチェーン企業間における情報共有の増加
情報共有する企業にとって、従来型のローカール認証方式では、情報共有システム毎に ID情報が拡散
2
フェデレーションの利用
![Page 7: いま、エンタープライズIdに求められるもの](https://reader030.vdocuments.site/reader030/viewer/2022020207/557ad454d8b42a200f8b530b/html5/thumbnails/7.jpg)
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
クラウドサービス利用の拡張
3
2.クラウド利用者にとってのフェデレーションの有用性
7
フェデレーションの利用
セキュリティポリシーに応じた認証方式の適用
OpenID Connect
クラウドサービスの認証方式に依存しない、クラウド利用企業独自の認証基盤が構築される
![Page 8: いま、エンタープライズIdに求められるもの](https://reader030.vdocuments.site/reader030/viewer/2022020207/557ad454d8b42a200f8b530b/html5/thumbnails/8.jpg)
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
3.クラウド事業者にとっての アイデンティティ・プロビジョニング APIの有用性
8
コンテンツとしての ID情報処理
エンタープライズ系システムの特徴
複雑なアクセス制御処理1 事前のプロビジョニングを前提に設計
フェデレーションを利用しても、プロビジョニングも残る
![Page 9: いま、エンタープライズIdに求められるもの](https://reader030.vdocuments.site/reader030/viewer/2022020207/557ad454d8b42a200f8b530b/html5/thumbnails/9.jpg)
Copyright 2013 OpenID Foundation Japan - All Rights Reserved. 9
クラウド利用企業からの企業内の ID管理システムとの統合要求
2 ID情報メンテナンス機能として、 UI提供だけではなく、プロビジョニング API提供が必要
個別に開発するより、標準化されたアイデンティティ・プロビジョニング APIが
存在するほうが良い
3.クラウド事業者にとっての アイデンティティ・プロビジョニング APIの有用性
![Page 10: いま、エンタープライズIdに求められるもの](https://reader030.vdocuments.site/reader030/viewer/2022020207/557ad454d8b42a200f8b530b/html5/thumbnails/10.jpg)
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
クラウドサービスの ID情報一括受け入れがCSV連携だけの場合
1 CSVファイルの後始末処理に不安を感じる
アイデンティティ・プロビジョニング APIが存在すると良い
10
クラウドサービス利用拡張時のコスト面から、標準化されたアイデンティティ・プロビジョニング
APIが存在するほうが良い
SCIM(System for Cross-domain Identity Management)
4.クラウド利用者にとっての アイデンティティ・プロビジョニング APIの有用性
![Page 11: いま、エンタープライズIdに求められるもの](https://reader030.vdocuments.site/reader030/viewer/2022020207/557ad454d8b42a200f8b530b/html5/thumbnails/11.jpg)
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
ーサービス上のデータの管理は組織が行う• 認可 (アクセス制御 )情報や利用者の識別情報を事前に保持する必要がある
組織内ネットワーク
インターネット
OPRP
RP
RP
クラウド・サービス
組織内からの利用
管理者
認可・識別に必要な属性情報ID情報
管理
利用者
組織外からの OPへのアクセス
IdM
→SCIMにより、事前にユーザ情報のプロビジョングを行う
〔エンタープライズ特有の事情〕ーネットワーク境界で組織内を“保護”している
▪RPから OPの通信は制限される
→OpenID Connectの処理フローに複数の選択肢を持たせる→SCIMにより、事前にユーザ情報のプロビジョングを行う
5.エンタープライズ適用における考慮点
11
![Page 12: いま、エンタープライズIdに求められるもの](https://reader030.vdocuments.site/reader030/viewer/2022020207/557ad454d8b42a200f8b530b/html5/thumbnails/12.jpg)
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
OP
End User
ID情報企業
従業員サービス
雇用契約はあるが、個人情報の取り扱いに関しての配慮も必要 (特に EUでの利用がある場合な
ど)
業務情報
RP
ID情報
サービス事業者は利用企業の多くの情報を預かる→リスク対策が必要
アプリケーションによってはプロビジョニングやフェデレーションでやりとりされない個人情報のやり取りも発生する→個人情報保護の配慮が必要
〔 ID情報の取り扱い〕
5.エンタープライズ適用における考慮点
12
![Page 13: いま、エンタープライズIdに求められるもの](https://reader030.vdocuments.site/reader030/viewer/2022020207/557ad454d8b42a200f8b530b/html5/thumbnails/13.jpg)
Copyright 2013 OpenID Foundation Japan - All Rights Reserved. 13
Trust Framework Provider(トラストフレームワーク提
供者 )
監査人 Relying Party(サービス提供者 )
OpenID Provider(認証サービス提供
者 )
利用者
契約 契約
認証
認定
認定
監査
利用先生 /学生
大学
電子ジャーナルeLearning
学認 (NII)
PubMedOIX
ICAM
(TFPAP)
Policy Maker(ポリシー策定者 )
〔トラストの目的〕 RPがサービスを提供する場合に OPを評価する。〔何故、必要か?〕フェデレーションのように、完全な分散環境でサービスを提供する場 合、 RPが OPを制御できない以上、 IDの品質について何らかの評価が必要であるため
6.トラストフレームワーク (学認モデル )
![Page 14: いま、エンタープライズIdに求められるもの](https://reader030.vdocuments.site/reader030/viewer/2022020207/557ad454d8b42a200f8b530b/html5/thumbnails/14.jpg)
Copyright 2013 OpenID Foundation Japan - All Rights Reserved. 14
Policy Maker(ポリシー策定者 )
Trust Framework Provider(トラストフレームワーク提
供者 )
監査人 Relying Party(サービス提供者 )
OpenID Provider(認証サービス提供
者 )
利用者
契約 契約
認証
認定
認定
監査
利用
クラウド利用者 クラウド事業者
LoP
共有する情報のオーナー
LoA
情報を共有する企業に対してトラストを主張できる
第三者機関ではない(今のところ)
IT統制
IDライフサイクル管理
ID管理ポリシー
Trusted DB
厳格な受け渡し
ID/PWD更新管理
サービスポリシー
7.トラストフレームワーク (エンタープライズモデル )
![Page 15: いま、エンタープライズIdに求められるもの](https://reader030.vdocuments.site/reader030/viewer/2022020207/557ad454d8b42a200f8b530b/html5/thumbnails/15.jpg)
Copyright 2013 OpenID Foundation Japan - All Rights Reserved. 15
Claims ProviderOpenID Provider
認証情報 属性情報 委譲ポリシ
AuthorizationEndPoint
TokenEndPoint
UserInfoEndPoint
Delegation Provider
PolicyDecisionEndPoint
Relying Party(SaaS)
OpenID Connect
SCIM
【機能 1】委譲ポリシの記述
【機能 2】委譲ポリシと属性情報にもとづく認可の判断
【機能 3】判断結果にもとづくアクセス制御
【課題 1】委譲ポリシの記述ルール
【課題 2】通信プロトコル等の未定義
【課題 3】通信プロトコル等の未定義
8.クラウドサービスにおける権限委譲のコンセプト