フェデレーションビジネスとidaas_jics2014

22
エンタープライズ市場での フェデレーションビジネスと ID管理サービス(IDaaS)のポイント 2014年1月15日 エクスジェン・ネットワークス(株) 代表取締役 江川 淳一

Upload: egawa-junichi

Post on 14-Jul-2015

649 views

Category:

Documents


5 download

TRANSCRIPT

エンタープライズ市場での フェデレーションビジネスと

ID管理サービス(IDaaS)のポイント

2014年1月15日

エクスジェン・ネットワークス(株)

代表取締役

江川 淳一

従業員

IT部門管理者

ID情報 マスタDB

オンプレミス

ファイル サーバ

業務システム ID情報DB

Active Directory

RDB

ID

①オンプレミス

1. エンタープライズ認証基盤(単独利用) 1

(認証方式) ローカル認証方式 (シングルサインオン) リバースプロキシー型、エージェント型 (プロビジョニング) CSV連携が中心

SSOサーバー

CSV

P

認証=密結合 ローカル認証

従業員

IT部門管理者

ID情報 マスタDB

オンプレミス

ファイル サーバ

業務システム ID情報DB

Active Directory

RDB

ID

1. エンタープライズ認証基盤(単独利用)

P

②プライベートクラウド連携

CSV

CSV

ID 情報

ID パスワード

2

プライベートクラウド

認証=密結合 ローカル認証

(認証方式) ローカル認証方式 (プロビジョニング) CSV連携が中心

従業員

IT部門管理者

ID情報 マスタDB

オンプレミス

ファイル サーバ

業務システム ID情報DB

Active Directory

RDB

ID

1. エンタープライズ認証基盤(単独利用)

P

③SaaS連携

(認証方式) SaaSでのローカル認証→ID & パスワード引き渡し (プロビジョニング) CSV連携→後始末問題

SaaS

GoogleApps salesforce.com

Office365

CSV

セキュリティ不安

CSV

ID 情報

ID パスワード

3

認証=密結合 ローカル認証

従業員

IT部門管理者

ID情報 マスタDB

オンプレミス

ファイル サーバ

業務システム ID情報DB

Active Directory

RDB

ID

1. エンタープライズ認証基盤(単独利用)

P

④SaaS連携(フェデレーション&API連携)

(認証方式) フェデレーション(OpenID Connect、SAML等)の認証利用 →SaaSにパスワード引き渡さず (プロビジョニング) APIベース(SCIM等)で最低限の情報の引き渡し →SaaSにCSV残らず

LDAP

SaaS

IdP

IdP 認証サーバ

フェデレーション

認証=疎結合 フェデレーション

GoogleApps salesforce.com

Office365

API連携

RP

CSV

ID 情報

ID

4

従業員

ID情報 マスタDB

情報共有企業B

Active Directory

RDB

ID

2. エンタープライズ認証基盤(情報共有)

P

ID 情報

従業員

IT部門管理者

ID情報 マスタDB

情報共有企業A

Active Directory

RDB

ID

P

IdP

LDAP

フェデレーション

API連携 CSV

CSV

①SaaS連携(フェデレーション&API連携)

SaaS

GoogleApps salesforce.com

Office365

共有情報 RP

LDAP

IdP フェデレーション

5

ID

IT部門管理者

情報共有相手のIDライフサイクル管理(IDの正当性)を信頼する

認証=疎結合 フェデレーション

トラスト 共有A→(統制説明先)→共有B 共有B→(統制説明先)→共有A

利用者の特定

2. エンタープライズ認証基盤(情報共有)

②ID情報の正当性を保つための要素

6

引き渡し手続き ポリシー RP

ID情報 DB

ID管理 システム ID情報

マスターDB

人事情報DB 人事

システム ID管理 システム

ID情報 DB

ID情報 DB

IdP

ID情報の鮮度維持 ID管理システム

IDライフサイクル管理ポリシー プロビジョニングポリシー

認証ポリシー 適切なアクセス 制御の維持

アクセス制御ポリシー

認証システム

アクセス制御システム

ID体系の定義

パスワードポリシー

従業員

IT部門管理者

ID情報 マスタDB

情報共有先企業

Active Directory

RDB

ID

2. エンタープライズ認証基盤(情報共有)

P

③プライベートクラウド

ID 情報

CSV

共有情報

従業員

IT部門管理者

ID情報 マスタDB

情報共有元企業

Active Directory

RDB

ID

P CSV

利用 申請書

プライベート クラウド

CSV

CSV

7

認証=密結合 ローカル認証

情報共有元(例:子会社)は共有先(例:親会社)のIDライフサイクル管理に従う

従業員

IT部門管理者

ID情報 マスタDB

情報共有先企業

Active Directory

RDB

ID

2. エンタープライズ認証基盤(情報共有)

P

ID 情報

CSV

共有情報

従業員

IT部門管理者

ID情報 マスタDB

情報共有元企業

Active Directory

RDB

ID

P

IdP

RP

LDAP

フェデレーション

API連携

プライベート クラウド

CSV

CSV

④プライベートクラウド利用(フェデレーション&API連携)

8

認証=疎結合 フェデレーション

トラスト 共有元→(統制説明先)→共有先

情報共有元のIDライフサイクル管理(IDの正当性)を信頼する

3. 拡大する疎結合な世界

BYOD ID情報

マスタDB

LDAP

ファイル サーバ

業務システム ID情報DB

Active Directory

RDB

IdP認証サーバ

IdP

ID

P

IT部門管理者

従業員

①コンシューマライゼーション(BYOD)

GoogleApps salesforce.com

Office365

RP

SaaS連携 認証

疎結合 デバイス疎結合

プライベート クラウド

RP

情報共有

認証 疎結合

9

3. 拡大する疎結合な世界

②コンシューマライゼーション(BYOI)

情報共有

GoogleApps salesforce.com

ID情報 マスタDB

LDAP

ファイル サーバ

業務システム ID情報DB

Active Directory

RDB

IdP認証サーバ

Office365 BYOD

IdP RP

認証 疎結合

プライベート クラウド

RP

ID

P

IT部門管理者

従業員

SaaS連携 デバイス疎結合

認証 疎結合

運用管理ポリシー 必須!

10

運用規則 企業→(遵守)→従業員

トラスト 企業→(統制説明先)→共有相手

J-SOX 企業→(統制説明先)→株主様

FaceBook Twitter

BYOI

ID 疎結合 結合していない時代

結合している時代

(1)ID情報の管理主体は企業である

(2)業務アプリがID情報を利用する

(3)ID情報/認証システムは企業内で利用する

OpenID Connect

フェデレーション

SCIM

プロビジョニング

パスワード情報封鎖

4. エンタープライズ市場でのフェデレーションビジネス

①エンタープライズ市場でのフェデレーション提案のポイント

11

添付資料(ID&ITManagement Conference 発表資料)をご参照ください。

4. エンタープライズ市場でのフェデレーションビジネス

認 LDAP

IdP RP

認 LDAP

IdP RP

認 LDAP IdP RP

②理想像 RP設計/構築

IdP設計/構築

クラウドが普及する

1企業が複数クラウドを 利用する

セキュリティ対策として IdP構築ニーズ高まる

RP構築ニーズ高まる

フェデレーションビジネス栄える

12

ID管理 システム

人事 システム

4. エンタープライズ市場でのフェデレーションビジネス

クラウド利用におけるセキュリティ リスク対策としてはSI費用が高価

③現状(エンタープライズクラウド普及前)

ID情報 マスタDB

人事 DB

Active Directory

LDAP

CSV

ID 情報

IdP RP

IdP設計/構築

RP設計/構築

利用企業からの要求が弱い状況で 認証ロジック改修の投資は困難

クラウド利用企業

クラウド

クラウド利用企業

クラウド

RP設計/構築

RP設計/構築

13

1.IT部門へのセキュリティ提案だけでは不十分。IT部門はITセキュリティリスク を十分理解している。IT部門が経営層を説得できるような提案が必要。 ①セキュリティリスクの分かり易い説明 ②クラウド利用も併せたコストメリット創出、成長戦略支援提案 ③最終形態を理想像として、そこへの過程も提案する 2.IdP設計/構築費用を安くする。 3.IDaaS(ID管理のクラウドサービス)の提案。 ①IdP設計/構築費用よりも安価なIdPサービスの提案 ②エンタープライズ市場でのフェデレーション展開なのでID管理サービスを 併せて提案すると効果ある ③ID情報マスターDBを適切に管理、維持できることの説明が必要 →サービス事業者としての信頼度

4. エンタープライズ市場でのフェデレーションビジネス

④現時点でのフェデレーションビジネス戦略

OIDFJのEIWG(ワーキンググループ)支援(予定) ①サンプルライブラリの作成 ②IdP⇔RP相互接続性の確認

14

5. エンタープライズ認証基盤

主 CSV

①IDaaS:フェデレーション(クラウドSSO)型

人事 システム

人事 DB

CSV

IDMなし

ID管理 システム

人事 システム

IDMあり

人事 DB

ID情報 マスタDB

Active Directory

LDAP

Active Directory

CSV

オンプレIDM→パッケージソフト

クラウドIDM→クラウドサービス

IDaaS

LDAP

ID管理 サービス

IdP

従 RP

ID情報 マスタDB

クラウド 連携

オンプレ連携 (IN)

ID 情報

RP

ID 情報

RP

ID 情報

15

クラウドSSO→クラウドサービス

ハイブリッド

5. エンタープライズ認証基盤

IDaaS

LDAP

ID管理 サービス

IdP

②IDaaS:ID管理巻き取り型

RP

人事 システム

人事 DB

CSV

IDMなし

ID情報 マスタDB

人事 システム

IDMあり

人事 DB

Active Directory

LDAP (RDB)

Active Directory

LDAP

ID管理 システム

従 滅

さらに、BYOD巻き取り

クラウド 連携

オンプレ連携 (IN/OUT)

ID 情報

RP

ID 情報

RP

ID 情報

16

オンプレIDM→クラウドサービス

クラウドIDM→クラウドサービス

クラウドSSO→クラウドサービス

(1)ID情報の管理主体は企業である

・フェデレーションの前に、クラウドサービス利用契約に応じた プロビジョニングが必要

ID情報

業務サービスB

ID情報 マスター

サービス利用契約

ライセンス数:xx 利用サービス:xx

RP IdP ID情報

ID管理 システム

Federation

クラウドサービス利用企業 クラウドサービス提供企業

(添付資料)エンタープライズ市場でのフェデレーション 17

(1)ID情報の管理主体は企業である

・人事イベント(定期的な組織改編や一斉の人事異動)に応じてID情報の ライフサイクル運用が発生する ・ID情報管理システムだけでなく人事システムでのID情報DBの管理、 運用方法も重要

ID情報

ID管理 システム

IdP RP

クラウドサービス利用企業

ID情報 マスター

人事システム ID情報

人事 システム

ID管理 システム Federation

業務サービスB

クラウドサービス提供企業

(添付資料)エンタープライズ市場でのフェデレーション 18

(1)ID情報の管理主体は企業である

・クラウドサービスのID情報メンテナンス機能として、UIの提供だけ ではなく、プロビジョニングAPIを提供して欲しい

・クラウドサービス利用企業→クラウドサービス提供企業への要望 1. 利用企業内のID管理システムとの統合要求

・CSVファイルの後始末処理に不安を感じる →プロビジョニングAPIがあると良い

2. クラウドサービス提供企業にCSVを渡す不安

→連携先クラウドサービス毎にAPIが異なっているより、標準化された アイデンティティ・プロビジョニングAPIが存在するほうが良い

(添付資料)エンタープライズ市場でのフェデレーション 19

・業務アプリは個人のID情報だけでなく、組織情報も用いてアクセス 制御を行う。これらの情報は認証処理の前にプロビジョニング されていることを前提にアプリ設計がなされている。

・営業支援システムやスケジュール共有システムのようにID情報自体 が業務アプリのコンテンツとなっている場合が多い ( ’ user not in presence’ logics) →フェデレーションの前にプロビジョニングが必要

(2)業務アプリがID情報を利用する

(添付資料)エンタープライズ市場でのフェデレーション 20

(3)ID情報/認証システムは企業内で利用する

組織外からIdPへのアクセス

・ネットワーク境界(ファイヤーウォール)で利用企業内は保護され、 RPからIdPへの通信は制限される →フェデレーションの処理フローで複数の選択肢を持つ (例)OpenID Connect =Implicit flow →プロビジョニングの併用

RP

クラウドサービス利用企業

Federation

業務サービスB

組織内からの利用

IdP

ID情報

クラウドサービス提供企業

(添付資料)エンタープライズ市場でのフェデレーション 21