いま、エンタープライズidに求められるもの

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

エクスジェン・ネットワークス (株 )江川淳一

OpenID Connectと SCIMのエンタープライズ活用

いま、エンタープライズ・デジタルアイデンティティに求められるもの

EIWG発表会 (2013/07/04)


OpenID Connectと SCIMのエンタープライズ活用ガイドの構成

2

1.エンタプライズ ITにおけるフェデレーションと　アイデンティティ・プロビジョニング標準 APIの有用性2.OpenID Connect技術解説3.SCIM技術解説

4.OpenID Connectと SCIMのエンタプライズ IT適用　~コンシューマ ITとの違い /適用ガイドライン　

5.OpenID Connectと SCIMの実装ユースケース　~cybozu.com/BAZA CLOUD/JTB-CWT　

6.今後検討する必要のある関連技術　~トラストフレームワーク /権限委譲　


1.クラウド事業者にとってのフェデレーションの有用性

3

クラウド事業者がクラウドビジネスを行う上での課題

クラウド利用者が抱くセキュリティ不安の払拭1

クラウド利用者が抱くセキュリティ不安とは

クラウドは内部統制 (リスクマネージメント )の範囲外

クラウド事業者の管理運用体制の説明不足

クラウド事業者に機密情報を預けることの不安

2


1.クラウド事業者にとってのフェデレーションの有用性

4

コンシューマ IT環境での個人情報漏えい事件

機密情報の中でも ID情報は特に不安3

クラウド事業者がセキュリティ不安を払しょくするには

運用管理ポリシーの説明責任を果たす＝透明性確保

4 クラウド利用者から預かる情報の削減(特にパスワード情報を預からない）

フェデレーションの利用


2.クラウド利用者にとってのフェデレーションの有用性

5

クラウドサービスに対するシングル・サインオン

クラウド利用企業の技術的管理範囲外のサービスへのシングル・サインオンとなり、従来型のエージェント方式やリバースプロキシー方式での対応は困難

1




6

共有する情報のオーナー企業にとって、従来型のローカール認証方式では、共有する企業の ID情報

(パスワード情報含む )を預かることになり、万が一の情報漏えい時の賠償責任リスクが高まる

サプライチェーン企業間における情報共有の増加

情報共有する企業にとって、従来型のローカール認証方式では、情報共有システム毎に ID情報が拡散

2



クラウドサービス利用の拡張

3


7


セキュリティポリシーに応じた認証方式の適用

OpenID Connect

クラウドサービスの認証方式に依存しない、クラウド利用企業独自の認証基盤が構築される


3.クラウド事業者にとっての　　　アイデンティティ・プロビジョニング APIの有用性

8

コンテンツとしての ID情報処理

エンタープライズ系システムの特徴

複雑なアクセス制御処理1 事前のプロビジョニングを前提に設計

フェデレーションを利用しても、プロビジョニングも残る

Copyright 2013 OpenID Foundation Japan - All Rights Reserved. 9

クラウド利用企業からの企業内の ID管理システムとの統合要求

2 ID情報メンテナンス機能として、 UI提供だけではなく、プロビジョニング API提供が必要

個別に開発するより、標準化されたアイデンティティ・プロビジョニング APIが

存在するほうが良い

3.クラウド事業者にとっての　　　アイデンティティ・プロビジョニング APIの有用性


クラウドサービスの ID情報一括受け入れがCSV連携だけの場合

1 CSVファイルの後始末処理に不安を感じる

アイデンティティ・プロビジョニング APIが存在すると良い

10

クラウドサービス利用拡張時のコスト面から、標準化されたアイデンティティ・プロビジョニング

APIが存在するほうが良い

SCIM(System for Cross-domain Identity Management)

4.クラウド利用者にとっての　　　アイデンティティ・プロビジョニング APIの有用性


ーサービス上のデータの管理は組織が行う• 認可 (アクセス制御 )情報や利用者の識別情報を事前に保持する必要がある

組織内ネットワーク

　　インターネット

OPRP

RP

RP

クラウド・サービス

　　　　　　　　　　　　　組織内からの利用

管理者

認可・識別に必要な属性情報ID情報

管理

利用者

組織外からの OPへのアクセス

IdM

→SCIMにより、事前にユーザ情報のプロビジョングを行う

〔エンタープライズ特有の事情〕ーネットワーク境界で組織内を“保護”している

▪RPから OPの通信は制限される

→OpenID Connectの処理フローに複数の選択肢を持たせる→SCIMにより、事前にユーザ情報のプロビジョングを行う

5.エンタープライズ適用における考慮点

11


OP

End User

ID情報企業

従業員サービス

雇用契約はあるが、個人情報の取り扱いに関しての配慮も必要 (特に EUでの利用がある場合な

ど）

業務情報

RP

ID情報

サービス事業者は利用企業の多くの情報を預かる→リスク対策が必要

アプリケーションによってはプロビジョニングやフェデレーションでやりとりされない個人情報のやり取りも発生する→個人情報保護の配慮が必要

〔 ID情報の取り扱い〕

5.エンタープライズ適用における考慮点

12


Trust Framework Provider(トラストフレームワーク提

供者 )

監査人 Relying Party(サービス提供者 )

OpenID Provider(認証サービス提供

者 )

利用者

契約契約

認証

認定

認定

監査

利用先生 /学生

大学

電子ジャーナルeLearning

学認 (NII)

PubMedOIX

ICAM

(TFPAP)

Policy Maker(ポリシー策定者 )

〔トラストの目的〕 RPがサービスを提供する場合に OPを評価する。〔何故、必要か？〕フェデレーションのように、完全な分散環境でサービスを提供する場　　合、 RPが OPを制御できない以上、 IDの品質について何らかの評価が必要であるため

6.トラストフレームワーク (学認モデル )


Policy Maker(ポリシー策定者 )

Trust Framework Provider(トラストフレームワーク提

供者 )

監査人 Relying Party(サービス提供者 )

OpenID Provider(認証サービス提供

者 )

利用者

契約契約

認証

認定

認定

監査

利用

クラウド利用者クラウド事業者

LoP

共有する情報のオーナー

LoA

情報を共有する企業に対してトラストを主張できる

第三者機関ではない(今のところ）

IT統制

IDライフサイクル管理

ID管理ポリシー

Trusted DB

厳格な受け渡し

ID/PWD更新管理

サービスポリシー

7.トラストフレームワーク (エンタープライズモデル )


Claims ProviderOpenID Provider

認証情報属性情報委譲ポリシ

AuthorizationEndPoint

TokenEndPoint

UserInfoEndPoint

Delegation Provider

PolicyDecisionEndPoint

Relying Party(SaaS)

OpenID Connect

SCIM

【機能 1】委譲ポリシの記述

【機能 2】委譲ポリシと属性情報にもとづく認可の判断

【機能 3】判断結果にもとづくアクセス制御

【課題 1】委譲ポリシの記述ルール

【課題 2】通信プロトコル等の未定義

【課題 3】通信プロトコル等の未定義

8.クラウドサービスにおける権限委譲のコンセプト

いま、エンタープライズidに求められるもの

Documents