フェデレーションビジネスとidaas_jics2014
TRANSCRIPT
エンタープライズ市場での フェデレーションビジネスと
ID管理サービス(IDaaS)のポイント
2014年1月15日
エクスジェン・ネットワークス(株)
代表取締役
江川 淳一
従業員
IT部門管理者
ID情報 マスタDB
オンプレミス
ファイル サーバ
業務システム ID情報DB
Active Directory
RDB
認
ID
①オンプレミス
1. エンタープライズ認証基盤(単独利用) 1
(認証方式) ローカル認証方式 (シングルサインオン) リバースプロキシー型、エージェント型 (プロビジョニング) CSV連携が中心
SSOサーバー
CSV
P
認証=密結合 ローカル認証
従業員
IT部門管理者
ID情報 マスタDB
オンプレミス
ファイル サーバ
業務システム ID情報DB
Active Directory
RDB
認
ID
1. エンタープライズ認証基盤(単独利用)
P
②プライベートクラウド連携
CSV
CSV
ID 情報
ID パスワード
2
プライベートクラウド
認証=密結合 ローカル認証
(認証方式) ローカル認証方式 (プロビジョニング) CSV連携が中心
従業員
IT部門管理者
ID情報 マスタDB
オンプレミス
ファイル サーバ
業務システム ID情報DB
Active Directory
RDB
認
ID
1. エンタープライズ認証基盤(単独利用)
P
③SaaS連携
(認証方式) SaaSでのローカル認証→ID & パスワード引き渡し (プロビジョニング) CSV連携→後始末問題
SaaS
GoogleApps salesforce.com
Office365
CSV
セキュリティ不安
CSV
ID 情報
ID パスワード
3
認証=密結合 ローカル認証
従業員
IT部門管理者
ID情報 マスタDB
オンプレミス
ファイル サーバ
業務システム ID情報DB
Active Directory
RDB
認
ID
1. エンタープライズ認証基盤(単独利用)
P
④SaaS連携(フェデレーション&API連携)
(認証方式) フェデレーション(OpenID Connect、SAML等)の認証利用 →SaaSにパスワード引き渡さず (プロビジョニング) APIベース(SCIM等)で最低限の情報の引き渡し →SaaSにCSV残らず
LDAP
SaaS
IdP
IdP 認証サーバ
フェデレーション
認証=疎結合 フェデレーション
GoogleApps salesforce.com
Office365
API連携
RP
CSV
ID 情報
ID
4
従業員
ID情報 マスタDB
情報共有企業B
Active Directory
RDB
認
ID
2. エンタープライズ認証基盤(情報共有)
P
ID 情報
従業員
IT部門管理者
ID情報 マスタDB
情報共有企業A
Active Directory
RDB
認
ID
P
IdP
LDAP
フェデレーション
API連携 CSV
CSV
①SaaS連携(フェデレーション&API連携)
SaaS
GoogleApps salesforce.com
Office365
共有情報 RP
LDAP
IdP フェデレーション
5
ID
IT部門管理者
情報共有相手のIDライフサイクル管理(IDの正当性)を信頼する
認証=疎結合 フェデレーション
トラスト 共有A→(統制説明先)→共有B 共有B→(統制説明先)→共有A
利用者の特定
2. エンタープライズ認証基盤(情報共有)
②ID情報の正当性を保つための要素
6
引き渡し手続き ポリシー RP
ID情報 DB
ID管理 システム ID情報
マスターDB
人事情報DB 人事
システム ID管理 システム
ID情報 DB
ID情報 DB
IdP
ID情報の鮮度維持 ID管理システム
IDライフサイクル管理ポリシー プロビジョニングポリシー
認証ポリシー 適切なアクセス 制御の維持
アクセス制御ポリシー
認証システム
アクセス制御システム
ID体系の定義
パスワードポリシー
従業員
IT部門管理者
ID情報 マスタDB
情報共有先企業
Active Directory
RDB
認
ID
2. エンタープライズ認証基盤(情報共有)
P
③プライベートクラウド
ID 情報
CSV
共有情報
従業員
IT部門管理者
ID情報 マスタDB
情報共有元企業
Active Directory
RDB
認
ID
P CSV
利用 申請書
プライベート クラウド
CSV
CSV
7
認証=密結合 ローカル認証
情報共有元(例:子会社)は共有先(例:親会社)のIDライフサイクル管理に従う
従業員
IT部門管理者
ID情報 マスタDB
情報共有先企業
Active Directory
RDB
認
ID
2. エンタープライズ認証基盤(情報共有)
P
ID 情報
CSV
共有情報
従業員
IT部門管理者
ID情報 マスタDB
情報共有元企業
Active Directory
RDB
認
ID
P
IdP
RP
LDAP
フェデレーション
API連携
プライベート クラウド
CSV
CSV
④プライベートクラウド利用(フェデレーション&API連携)
8
認証=疎結合 フェデレーション
トラスト 共有元→(統制説明先)→共有先
情報共有元のIDライフサイクル管理(IDの正当性)を信頼する
3. 拡大する疎結合な世界
BYOD ID情報
マスタDB
LDAP
ファイル サーバ
業務システム ID情報DB
Active Directory
RDB
認
IdP認証サーバ
IdP
ID
P
IT部門管理者
従業員
①コンシューマライゼーション(BYOD)
GoogleApps salesforce.com
Office365
RP
SaaS連携 認証
疎結合 デバイス疎結合
プライベート クラウド
RP
情報共有
認証 疎結合
9
3. 拡大する疎結合な世界
②コンシューマライゼーション(BYOI)
情報共有
GoogleApps salesforce.com
ID情報 マスタDB
LDAP
ファイル サーバ
業務システム ID情報DB
Active Directory
RDB
認
IdP認証サーバ
Office365 BYOD
IdP RP
認証 疎結合
プライベート クラウド
RP
ID
P
IT部門管理者
従業員
SaaS連携 デバイス疎結合
認証 疎結合
運用管理ポリシー 必須!
10
運用規則 企業→(遵守)→従業員
トラスト 企業→(統制説明先)→共有相手
J-SOX 企業→(統制説明先)→株主様
FaceBook Twitter
BYOI
ID 疎結合 結合していない時代
結合している時代
(1)ID情報の管理主体は企業である
(2)業務アプリがID情報を利用する
(3)ID情報/認証システムは企業内で利用する
OpenID Connect
フェデレーション
SCIM
プロビジョニング
パスワード情報封鎖
4. エンタープライズ市場でのフェデレーションビジネス
①エンタープライズ市場でのフェデレーション提案のポイント
11
添付資料(ID&ITManagement Conference 発表資料)をご参照ください。
4. エンタープライズ市場でのフェデレーションビジネス
認 LDAP
IdP RP
認 LDAP
IdP RP
認 LDAP IdP RP
②理想像 RP設計/構築
IdP設計/構築
クラウドが普及する
1企業が複数クラウドを 利用する
セキュリティ対策として IdP構築ニーズ高まる
RP構築ニーズ高まる
フェデレーションビジネス栄える
12
ID管理 システム
人事 システム
4. エンタープライズ市場でのフェデレーションビジネス
クラウド利用におけるセキュリティ リスク対策としてはSI費用が高価
③現状(エンタープライズクラウド普及前)
認
ID情報 マスタDB
人事 DB
Active Directory
LDAP
CSV
ID 情報
IdP RP
IdP設計/構築
RP設計/構築
利用企業からの要求が弱い状況で 認証ロジック改修の投資は困難
クラウド利用企業
クラウド
クラウド利用企業
クラウド
RP設計/構築
RP設計/構築
13
1.IT部門へのセキュリティ提案だけでは不十分。IT部門はITセキュリティリスク を十分理解している。IT部門が経営層を説得できるような提案が必要。 ①セキュリティリスクの分かり易い説明 ②クラウド利用も併せたコストメリット創出、成長戦略支援提案 ③最終形態を理想像として、そこへの過程も提案する 2.IdP設計/構築費用を安くする。 3.IDaaS(ID管理のクラウドサービス)の提案。 ①IdP設計/構築費用よりも安価なIdPサービスの提案 ②エンタープライズ市場でのフェデレーション展開なのでID管理サービスを 併せて提案すると効果ある ③ID情報マスターDBを適切に管理、維持できることの説明が必要 →サービス事業者としての信頼度
4. エンタープライズ市場でのフェデレーションビジネス
④現時点でのフェデレーションビジネス戦略
OIDFJのEIWG(ワーキンググループ)支援(予定) ①サンプルライブラリの作成 ②IdP⇔RP相互接続性の確認
14
5. エンタープライズ認証基盤
主 CSV
①IDaaS:フェデレーション(クラウドSSO)型
人事 システム
人事 DB
CSV
IDMなし
ID管理 システム
人事 システム
IDMあり
人事 DB
ID情報 マスタDB
Active Directory
LDAP
Active Directory
CSV
オンプレIDM→パッケージソフト
クラウドIDM→クラウドサービス
IDaaS
LDAP
ID管理 サービス
IdP
従 RP
ID情報 マスタDB
クラウド 連携
オンプレ連携 (IN)
ID 情報
RP
ID 情報
RP
ID 情報
15
クラウドSSO→クラウドサービス
ハイブリッド
5. エンタープライズ認証基盤
IDaaS
LDAP
ID管理 サービス
IdP
主
②IDaaS:ID管理巻き取り型
RP
人事 システム
人事 DB
CSV
IDMなし
ID情報 マスタDB
人事 システム
IDMあり
人事 DB
Active Directory
LDAP (RDB)
Active Directory
LDAP
ID管理 システム
従 滅
さらに、BYOD巻き取り
クラウド 連携
オンプレ連携 (IN/OUT)
ID 情報
RP
ID 情報
RP
ID 情報
16
オンプレIDM→クラウドサービス
クラウドIDM→クラウドサービス
クラウドSSO→クラウドサービス
(1)ID情報の管理主体は企業である
・フェデレーションの前に、クラウドサービス利用契約に応じた プロビジョニングが必要
ID情報
業務サービスB
ID情報 マスター
サービス利用契約
ライセンス数:xx 利用サービス:xx
RP IdP ID情報
ID管理 システム
Federation
クラウドサービス利用企業 クラウドサービス提供企業
(添付資料)エンタープライズ市場でのフェデレーション 17
(1)ID情報の管理主体は企業である
・人事イベント(定期的な組織改編や一斉の人事異動)に応じてID情報の ライフサイクル運用が発生する ・ID情報管理システムだけでなく人事システムでのID情報DBの管理、 運用方法も重要
ID情報
ID管理 システム
IdP RP
クラウドサービス利用企業
ID情報 マスター
人事システム ID情報
人事 システム
ID管理 システム Federation
業務サービスB
クラウドサービス提供企業
(添付資料)エンタープライズ市場でのフェデレーション 18
(1)ID情報の管理主体は企業である
・クラウドサービスのID情報メンテナンス機能として、UIの提供だけ ではなく、プロビジョニングAPIを提供して欲しい
・クラウドサービス利用企業→クラウドサービス提供企業への要望 1. 利用企業内のID管理システムとの統合要求
・CSVファイルの後始末処理に不安を感じる →プロビジョニングAPIがあると良い
2. クラウドサービス提供企業にCSVを渡す不安
→連携先クラウドサービス毎にAPIが異なっているより、標準化された アイデンティティ・プロビジョニングAPIが存在するほうが良い
(添付資料)エンタープライズ市場でのフェデレーション 19
・業務アプリは個人のID情報だけでなく、組織情報も用いてアクセス 制御を行う。これらの情報は認証処理の前にプロビジョニング されていることを前提にアプリ設計がなされている。
・営業支援システムやスケジュール共有システムのようにID情報自体 が業務アプリのコンテンツとなっている場合が多い ( ’ user not in presence’ logics) →フェデレーションの前にプロビジョニングが必要
(2)業務アプリがID情報を利用する
(添付資料)エンタープライズ市場でのフェデレーション 20
(3)ID情報/認証システムは企業内で利用する
組織外からIdPへのアクセス
・ネットワーク境界(ファイヤーウォール)で利用企業内は保護され、 RPからIdPへの通信は制限される →フェデレーションの処理フローで複数の選択肢を持つ (例)OpenID Connect =Implicit flow →プロビジョニングの併用
RP
クラウドサービス利用企業
Federation
業務サービスB
組織内からの利用
IdP
ID情報
クラウドサービス提供企業
(添付資料)エンタープライズ市場でのフェデレーション 21