O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

フェデレーションビジネスとIDaaS_JICS2014

  • Seja o primeiro a comentar

フェデレーションビジネスとIDaaS_JICS2014

  1. 1. エンタープライズ市場での フェデレーションビジネスと ID管理サービス(IDaaS)のポイント 2014年1月15日 エクスジェン・ネットワークス(株) 代表取締役 江川 淳一
  2. 2. 1. エンタープライズ認証基盤(単独利用) 1 ①オンプレミス 認証=密結合 オンプレミス ローカル認証 SSOサーバー 従業員 認 P IT部門管理者 ID情報 マスタDB CSV ファイル サーバ ID Active Directory 業務システム ID情報DB RDB (認証方式) ローカル認証方式 (シングルサインオン) リバースプロキシー型、エージェント型 (プロビジョニング) CSV連携が中心
  3. 3. 1. エンタープライズ認証基盤(単独利用) 2 ②プライベートクラウド連携 オンプレミス 従業員 プライベートクラウド ID 情報 認 P IT部門管理者 ID パスワード ID情報 マスタDB CSV CSV ファイル サーバ ID Active Directory 業務システム ID情報DB RDB (認証方式) ローカル認証方式 (プロビジョニング) CSV連携が中心 認証=密結合 ローカル認証
  4. 4. 1. エンタープライズ認証基盤(単独利用) 3 ③SaaS連携 SaaS オンプレミス 従業員 GoogleApps salesforce.com ID Office365 情報 認 P ID情報 マスタDB IT部門管理者 ID ID パスワード CSV Active Directory ファイル サーバ CSV RDB 業務システム ID情報DB 認証=密結合 ローカル認証 セキュリティ不安 (認証方式) SaaSでのローカル認証→ID & パスワード引き渡し (プロビジョニング) CSV連携→後始末問題
  5. 5. 1. エンタープライズ認証基盤(単独利用) 4 ④SaaS連携(フェデレーション&API連携) SaaS オンプレミス 従業員 認 P IT部門管理者 フェデレーション IdP API連携 ID情報 マスタDB CSV ファイル サーバ ID Active Directory 業務システム ID情報DB RDB LDAP RP GoogleApps salesforce.com ID Office365 情報 ID 認証=疎結合 フェデレーション IdP 認証サーバ (認証方式) フェデレーション(OpenID Connect、SAML等)の認証利用 →SaaSにパスワード引き渡さず (プロビジョニング) APIベース(SCIM等)で最低限の情報の引き渡し →SaaSにCSV残らず
  6. 6. 2. エンタープライズ認証基盤(情報共有) 5 ①SaaS連携(フェデレーション&API連携) 情報共有企業A 従業員 認 P IT部門管理者 ID フェデレーション トラスト IdP 共有A→(統制説明先)→共有B 共有B→(統制説明先)→共有A ID情報 マスタDB Active Directory 認証=疎結合 CSV RDB LDAP 情報共有相手のIDライフサイクル管理(IDの正当性)を信頼する フェデレーション 情報共有企業B 従業員 認 P IT部門管理者 ID IdP フェデレーション RP ID 情報 ID情報 マスタDB Active Directory SaaS ID CSV RDB LDAP API連携 共有情報 GoogleApps salesforce.com Office365
  7. 7. 2. エンタープライズ認証基盤(情報共有) ②ID情報の正当性を保つための要素 6 ID体系の定義 認証システム パスワードポリシー アクセス制御システム 適切なアクセス 制御の維持 認証ポリシー アクセス制御ポリシー 引き渡し手続き ポリシー 利用者の特定 人事 システム 人事情報DB ID管理 システム ID情報 マスター DB IDライフサイクル管理ポリシー ID管理 システム ID情報 DB RP ID情報 DB ID情報 DB IdP プロビジョニングポリシー ID管理システム ID情報の鮮度維持
  8. 8. 2. エンタープライズ認証基盤(情報共有) ③プライベートクラウド 認証=密結合 情報共有元企業 従業員 ローカル認証 認 P IT部門管理者 ID 利用 申請書 7 ID情報 マスタDB Active Directory CSV CSV RDB 情報共有元(例:子会社)は共有先(例:親会社)のIDライフサイクル管理に従う 情報共有先企業 従業員 ID 情報 認 P IT部門管理者 ID 共有情報 ID情報 マスタDB Active Directory プライベート クラウド CSV CSV RDB
  9. 9. 2. エンタープライズ認証基盤(情報共有) 8 ④プライベートクラウド利用(フェデレーション&API連携) 認証=疎結合 情報共有元企業 従業員 認 P IT部門管理者 ID フェデレーション トラスト IdP 共有元→(統制説明先)→共有先 ID情報 マスタDB Active Directory CSV RDB LDAP フェデレーション 情報共有元のIDライフサイクル管理(IDの正当性)を信頼する API連携 情報共有先企業 従業員 RP 認 P IT部門管理者 ID ID 情報 ID情報 マスタDB Active Directory CSV CSV RDB プライベート クラウド 共有情報
  10. 10. 3. 拡大する疎結合な世界 9 ①コンシューマライゼーション(BYOD) デバイス 疎結合 BYOD 従業員 認証 疎結合 GoogleApps salesforce.com Office365 LDAP P ID情報 マスタDB ID IT部門管理者 RP IdP 認 Active Directory ファイル サーバ SaaS連携 IdP認証サーバ RDB 情報共有 業務システム ID情報DB 認証 疎結合 プライベート クラウド RP
  11. 11. 3. 拡大する疎結合な世界 10 ②コンシューマライゼーション(BYOI) デバイス 疎結合 従業員 認証 疎結合 BYOI ID 疎結合 ID情報 マスタDB ID FaceBook Twitter IT部門管理者 GoogleApps salesforce.com Office365 LDAP P BYOD RP IdP 認 Active Directory ファイル サーバ SaaS連携 IdP認証サーバ RDB 情報共有 業務システム ID情報DB プライベート クラウド 認証 疎結合 RP 結合していない時代 J-SOX 運用規則 企業→(遵守)→従業員 運用管理ポリシー 必須! 企業→(統制説明先)→株主様 結合している時代 トラスト 企業→(統制説明先)→共有相手
  12. 12. 4. エンタープライズ市場でのフェデレーションビジネス 11 ①エンタープライズ市場でのフェデレーション提案のポイント (1)ID情報の管理主体は企業である (2)業務アプリがID情報を利用する (3)ID情報/認証システムは企業内で利用する フェデレーション プロビジョニング OpenID Connect SCIM パスワード情報封鎖 添付資料(ID&ITManagement Conference 発表資料)をご参照ください。
  13. 13. 4. エンタープライズ市場でのフェデレーションビジネス 12 IdP設計/構築 ②理想像 RP設計/構築 LDAP 認 IdP RP IdP RP IdP RP LDAP 認 認 LDAP クラウドが普及する 1企業が複数クラウドを 利用する セキュリティ対策として IdP構築ニーズ高まる フェデレーションビジネス栄える RP構築ニーズ高まる
  14. 14. 4. エンタープライズ市場でのフェデレーションビジネス 13 ③現状(エンタープライズクラウド普及前) IdP設計/構築 クラウド利用企業 クラウド利用におけるセキュリティ リスク対策としてはSI費用が高価 ID情報 マスタDB 人事 システム 人事 DB CSV クラウド利用企業 RP設計/構築 クラウド 利用企業からの要求が弱い状況で 認証ロジック改修の投資は困難 ID管理 システム Active Directory クラウド LDAP 認 IdP RP設計/構築 RP RP設計/構築 ID 情報
  15. 15. 4. エンタープライズ市場でのフェデレーションビジネス 14 ④現時点でのフェデレーションビジネス戦略 1.IT部門へのセキュリティ提案だけでは不十分。IT部門はITセキュリティリスク を十分理解している。IT部門が経営層を説得できるような提案が必要。 ①セキュリティリスクの分かり易い説明 ②クラウド利用も併せたコストメリット創出、成長戦略支援提案 ③最終形態を理想像として、そこへの過程も提案する 2.IdP設計/構築費用を安くする。 OIDFJのEIWG(ワーキンググループ)支援(予定) ①サンプルライブラリの作成 ②IdP⇔RP相互接続性の確認 3.IDaaS(ID管理のクラウドサービス)の提案。 ①IdP設計/構築費用よりも安価なIdPサービスの提案 ②エンタープライズ市場でのフェデレーション展開なのでID管理サービスを 併せて提案すると効果ある ③ID情報マスターDBを適切に管理、維持できることの説明が必要 →サービス事業者としての信頼度
  16. 16. 5. エンタープライズ認証基盤 15 ①IDaaS:フェデレーション(クラウドSSO)型 オンプレIDM→パッケージソフト IDMなし 人事 システム 人事 DB Active Directory クラウドIDM→クラウドサービス クラウドSSO→クラウドサービス CSV IDaaS CSV ID 情報 IDMあり 人事 システム 人事 DB CSV ID情報 マスタDB ID情報 マスタDB ID管理 システム Active Directory ハイブリッド 主 オンプレ連携 (IN) ID管理 サービス 従 RP ID 情報 クラウド 連携 RP LDAP IdP ID 情報 LDAP RP
  17. 17. 5. エンタープライズ認証基盤 16 ②IDaaS:ID管理巻き取り型 オンプレIDM→クラウドサービス IDMなし Active Directory 人事 システム 人事 DB クラウドIDM→クラウドサービス クラウドSSO→クラウドサービス IDaaS CSV ID 情報 IDMあり 人事 システム 人事 DB ID情報 マスタDB LDAP (RDB) オンプレ連携 (IN/OUT) ID管理 システム 従 Active Directory ID管理 サービス 主 RP ID 情報 クラウド 連携 RP 滅 LDAP IdP ID 情報 LDAP RP さらに、BYOD巻き取り
  18. 18. (添付資料)エンタープライズ市場でのフェデレーション 17 (1)ID情報の管理主体は企業である ・フェデレーションの前に、クラウドサービス利用契約に応じた プロビジョニングが必要 クラウドサービス提供企業 クラウドサービス利用企業 サービス利用契約 業務サービス B ライセンス数:xx 利用サービス:xx ID情報 ID情報 マスター ID管理 システム ID情報 IdP Federation RP
  19. 19. (添付資料)エンタープライズ市場でのフェデレーション 18 (1)ID情報の管理主体は企業である ・人事イベント(定期的な組織改編や一斉の人事異動)に応じてID情報の ライフサイクル運用が発生する ・ID情報管理システムだけでなく人事システムでのID情報DBの管理、 運用方法も重要 クラウドサービス提供企業 クラウドサービス利用企業 人事 システム 人事システム ID情報 ID管理 システム ID情報 マスター ID管理 システム IdP Federation RP ID情報 業務サービス B
  20. 20. (添付資料)エンタープライズ市場でのフェデレーション 19 (1)ID情報の管理主体は企業である ・クラウドサービス利用企業→クラウドサービス提供企業への要望 1. 利用企業内のID管理システムとの統合要求 ・クラウドサービスのID情報メンテナンス機能として、UIの提供だけ ではなく、プロビジョニングAPIを提供して欲しい 2. クラウドサービス提供企業にCSVを渡す不安 ・CSVファイルの後始末処理に不安を感じる →プロビジョニングAPIがあると良い →連携先クラウドサービス毎にAPIが異なっているより、標準化された アイデンティティ・プロビジョニングAPIが存在するほうが良い
  21. 21. (添付資料)エンタープライズ市場でのフェデレーション 20 (2)業務アプリがID情報を利用する ・業務アプリは個人のID情報だけでなく、組織情報も用いてアクセス 制御を行う。これらの情報は認証処理の前にプロビジョニング されていることを前提にアプリ設計がなされている。 ・営業支援システムやスケジュール共有システムのようにID情報自体 が業務アプリのコンテンツとなっている場合が多い ( ’ user not in presence’ logics) →フェデレーションの前にプロビジョニングが必要
  22. 22. (添付資料)エンタープライズ市場でのフェデレーション 21 (3)ID情報/認証システムは企業内で利用する ・ネットワーク境界(ファイヤーウォール)で利用企業内は保護され、 RPからIdPへの通信は制限される →フェデレーションの処理フローで複数の選択肢を持つ (例)OpenID Connect =Implicit flow →プロビジョニングの併用 クラウドサービス提供企業 クラウドサービス利用企業 組織外からIdPへのアクセス IdP ID情報 Federation RP 組織内からの利用 業務サービス B

×