SlideShare uma empresa Scribd logo

20141111 themi struct

マジセミ by (株)オープンソース活用研究所
マジセミ by (株)オープンソース活用研究所

会議の主旨 スマートデバイスの活用、ネット通販、IoTなど、生活のいたるところでITのが活用されています。一方、個人情報の漏洩事件が相次いでいます。 最近の、大手教育事業会社での大規模な個人情報漏洩事件は記憶に新しいところです。 企業は、社内の情報(データ)をいかに保護するか、そのセキュリティ対策を見直す必要に迫られています。 企業の情報システムを利用する際の「認証」や、「シングルサインオン」は、企業のセキュリティ対策の根幹です。 なぜなら、監査ログの記録や分析、アクセスコントロールなど、全てのセキュリティ対策は、利用者の特定からはじまり、「認証」や「シングルサインオン」がそれを担うからです。 「明日の認証会議」では、「認証」について様々な環境の変化や課題があるなかで、今はなく、遠い未来でもなく、「明日、何をするべきか」というテーマを選んで議論を進めて行きます。 また、要素技術や仕様についての細かい議論ではなく、利用者の視点に立った議論を行っていきます。 さらに、単なるセミナー、勉強会ではなく、参加者の皆様からも広く意見を集められるよう、事前にご意見や質問を集めて、登壇者に回答してもらう時間を取ります。 今回は、基本に立ち返り、「シングルサインオンの基本」について、ご紹介します。また、社員1万人の大企業による、OpenAM(シングルサインオン)と、Liferay(ポータル)の導入事例について、ご紹介します。 いまさら聞けない「シングルサインオンの基本」と、社員1万人の大企業におけるOpenAM導入事例紹介 ~Webアプリケーションに手をいれることなく、認証連携を実現する方法~ 株式会社オージス総研 サービス事業本部 テミストラクトソリューション部 情報セキュリティスペシャリスト 諸橋 純也 シングルサインオンは、企業におけるセキュリティ対策の根幹です。本セッションではシングルサインオンの役割や基本的な仕組みをご紹介するとともに、社員1万人の大企業におけるOpenAMの導入事例をご紹介します。とくに、通常ではシングルサイン対象のWebシステムの改修が必要になるところを、まったくそれに手をいれずにシングルサインオンを実現した方法について、ご紹介します。

Software
1 de 31
Baixar para ler offline
CCooppyyrriigghhtt©© 2 200131 4 O GOIGS-IRSI- RCIo .C, Lot.,d .L tAdl.l r iAglhl trsi grehstesr vreedse. rved. いまさら聞けない「シングルサインオンの 基本」と、社員1万人の大企業における OpenAM導入事例紹介 ~Webアプリケーションに手をいれることなく、 認証連携を実現する方法~ 株式会社オージス総研 テミストラクトソリューション部
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 2 会社概要 代表者: 代表取締役社長 平山 輝 設 立: 1983年6月29日 資本金: 4億円 (大阪ガス株式会社100%出資) 事業内容: システム開発、プラットフォームサービス、 コンピュータ機器・ソフトウェアの販売、 コンサルティング、研修・トレーニング 主な事業所 本 社: 大阪府 大阪市西区千代崎3-南2-37 ICCビル 東京本社: 東京都 港区港南2-15-1 品川インターシティA棟 名古屋オフィス: 愛知県 名古屋市中区錦1-17-13 名興ビル 売上実績: 567億円 (連結) 298億円(単体) (2013年度) 従業員数: 3,104名 (連結) 1,283名 (単体) 関連会社: さくら情報システム(株)、 (株)宇部情報システム、 (株)システムアンサー、 OGIS International,Inc、上海欧計斯軟件有限公司(中国) オージス総研グループ 売上構成比 (連結) 取得許可認定 株式会社オージス総研
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオンの基礎 導入事例 テミストラクトの紹介 3 アジェンダ
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 4 シングルサインオンの基礎
CCooppyyrriigghhtt©© 2 200131 4 O GOIGS-IRSI- RCIo .C, Lot.,d .L tAdl.l r iAglhl trsi grehstesr vreedse. rved. 5 シングルサインオンとは シングルサインオンでない状態 シングルサインオン導入後 クラウドサービス グループウェア 業務システム クラウドサービス グループウェア 業務システム 各システムに 都度ログイン・・・ SSO 1回のログインで アクセス可能!
CCooppyyrriigghhtt©© 2 200131 4 O GOIGS-IRSI- RCIo .C, Lot.,d .L tAdl.l r iAglhl trsi grehstesr vreedse. rved. 6 なぜ、シングルサインオンが必要なのか 其の壱 ユーザーにとって・・・ システムが増える = 業務は楽になる + 認証は不便になる このシステムは このパスワードで・・・ ID/パスワードが増える 昨日もパスワード 変更したのに・・・ システム毎にパスワード変更 またログイン画面か・・・ システム毎にログイン ・ログインは一回でOK! ・ID/パスワードは一個覚えればOK! ・パスワード変更は一カ所でOK! つまり、ユーザの利便性が向上する! シングルサインオンを実現すると・・・
CCooppyyrriigghhtt©© 2 200131 4 O GOIGS-IRSI- RCIo .C, Lot.,d .L tAdl.l r iAglhl trsi grehstesr vreedse. rved. 7 なぜ、シングルサインオンが必要なのか 其の弐 認証・認可の実装は、意外と大変。 セキュアなシステムかどうかは、システム開発者の技量に依存する。 ・SSOシステムに任せれば、アクセス制御の一元管理が可能。 ⇒既存システムへのアプリ単位のアクセス制御を一カ所で管理できる。 ⇒新規システムを開発しても、アクセス制御の実装が楽になる。 ・認証のセキュリティレベル統一が可能。 つまり、セキュリティが向上し、開発/運用コスト削減に役立つ! アクセス制御が未実装 制御ルールがバラバラ あれ?ちゃんと制御できてる? 設定ミスしたかな・・・ シングルサインオンを実現すると・・・ 他部署の機密文書が 参照できてしまう・・・ 製造部 営業部用 アプリ
CCooppyyrriigghhtt©© 2 200131 4 O GOIGS-IRSI- RCIo .C, Lot.,d .L tAdl.l r iAglhl trsi grehstesr vreedse. rved. 8 なぜ、シングルサインオンが必要なのか 其の参 セキュリティや運用の観点では・・・ システムが増える = セキュリティリスクUP + 運用負荷UP ・ID/パスワードは一個だから、管理しやすい。 ⇒パスワード漏えいを回避するために、十分な対策をとれる。 ・認証ログを一カ所で管理でき、監査対象を一つにできる。 ⇒運用がシンプルになる。 つまり、セキュリティが向上し、運用負荷が下がる! パスワード多すぎて 覚えられないから 付箋にメモしておこう セキュリティリスク --------------- --------------- --------------- ID 12345 PW abcde ♪ 運用負荷 全アプリケーションの ログ管理なんてできない!! シングルサインオンを実現すると・・・
CCooppyyrriigghhtt©© 2 200131 4 O GOIGS-IRSI- RCIo .C, Lot.,d .L tAdl.l r iAglhl trsi grehstesr vreedse. rved. 9 シングルサインオンで目指すべき形 「社内アプリ」と「クラウドサービス」の両方を利用する構成で ・ユーザの利便性向上 ・セキュリティ向上 を実現するシングルサインオンが、将来目指すべき形。 RP SSO セキュリティ強化は SSOシステムだけやればOK 認証は一回だけ アプリの認証に パスワードを使わない
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオン実現のための「3ステップ」 10 シングルサインオン実現方式 ID/パスワード ワンタイム パスワード デスクトップ SSO Step1 エージェント型? リバースプロキシ型? SAML型? Step2 Step3 認証方法を決める 連携方式を決める SSO ? SSO ? アプリのログイン方式 を決める HTTPヘッダ連携? Cookie連携? 代理認証?
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. ユーザーが行う認証の方法を決定する 11 シングルサインオン実現方式 ~認証方法を決める~ 「セキュリティリスクの高さ」を考慮し、 「利便性」・「セキュリティ」・「コスト」 のバランスを考えて決定する 社内からしかアクセス できないのに、複雑な認証方法 社外から重要情報にアクセス するのに、簡単な認証方法 セキュアにしたはいいけど、 導入コストが高すぎる ワンタイム パスワード 統合Windows 認証 社外からは 多要素認証 証明書認証 ID/パスワード
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオン実現方式 ~認証方法を決める~ 証明書認証 認証サーバ 12 たとえば、 ・社内ユーザにとっての利便性を低下させたくない ・社外からアクセスには、セキュリティを高めたい ・社外からのアクセスのみ多要素認証させる ・多要素認証に証明書認証を使う •ブラウザにインストールしたクライ アント証明書をもとに、端末を認証 する。
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオン実現方式 ~認証方法を決める~ 13 たとえば、 ・社内からのアクセスしかない(社外公開していない) ・とにかく便利にしたい ・統合Windows認証にする 統合Windows認証 認証サーバ ① Windowsドメインログオン ActiveDirectory ② ドメインログオン情報を 使って認証(自動処理) •Windowsドメインにログオンして いれば、システムへのログインを自 動で行う認証方法 •ユーザがID/パスワードを入力する のは、ドメインログオン時のみ。
CCooppyyrriigghhtt©© 2 200131 4 O GOIGS-IRSI- RCIo .C, Lot.,d .L tAdl.l r iAglhl trsi grehstesr vreedse. rved. シングルサインオン実現方式 ~連携方式を決める~ 14  SSO対象アプリケーションと認証サーバをどのように連携 するかを決定する 社内アプリ アプリアクセスの手前で認証 ・エージェント型 ・リバースプロキシ型 クラウドサービス 認証情報を安全な方法で渡す ・フェデレーション型 SSO SSO
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオン実現方式 ~連携方式を決める~ 15 エージェント型 Webサーバー、アプリケーションサーバーに直接エージェントを導入する方法。 エージェントごとにSSOサーバーとの通信が発生する。 SSO対象 アプリ A SSO対象 アプリ B SSO 利用者 ログイン SSO対象アプリに アクセス SSO対象アプ リに認証済み 情報を連携 ① ② ③ 認証済みであれば アプリを利用可能 ④
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオン実現方式 ~連携方式を決める~ 16 リバースプロキシ型 リバースプロキシサーバーにエージェントを導入し、アプリケーションへのアク セスをリバースプロキシサーバー経由にする方法。 SSOサーバーとのやりとりをリバースプロキシサーバーに任せる。 SSO対象 アプリ A SSO対象 アプリ B リバースプロキシ SSO 利用者 アプリ A 用の 仮想ホスト OR 仮想パス アプリ B 用の 仮想ホスト OR 仮想パス ログイン リバースプロキシ サーバーにアクセス SSO対象アプ リに認証済み 情報を連携 ① ② ③ 認証済みであればSSO対 象アプリに接続 ④
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオン実現方式 ~連携方式を決める~ 17 フェデレーション型 安全な方法でクラウドサービスとのSSOを実現するために、SAMLやOpenID Connectなどのフェデレーション(認証連携)用のプロトコルを利用する方式。 利用者 利用者情報 なまえ 利用者 メール riyousha@ogis-ri.jp 電話 0x0-1234-5678 利用者情報 name themistruct mail riyousha@ogis-ri.jp address Tokyo Japan SSO クラウドサービス あらかじめ 属性情報が 一部連携 されている サービス利用開始 ① HTTP Redirect & POST ② POSTデータは ユーザー属性の やり取り開始の 手続きにあたる ユーザー認証 ③ HTTP Redirect & POST ④ POSTデータはユーザー 属性にあたる (この場合は“メール”情報) SSO成功 SAMLプロトコルを利用した認証連携の流れ
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオン実現方式 ~アプリのログイン方式を決める~ 18 SSO対象アプリケーション側でユーザーを認証する方法を 決定します。 アプリケーション側の 認証方法を改修可能か 属性情報連携方式 代理認証方式 SSOサーバーから受け取った情報をも とに認証する ・HTTPヘッダ連携 ・Cookie連携 アプリの認証方法を再現し、ユーザー の代わりにアプリ認証を行う ・Basic認証 ・From認証 YES NO
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオン実現方式 ~アプリのログイン方式を決める~ 19 代理認証方式 ユーザーが初めにログインする際にアクセスするURL(代理認証用URL)にて、 ID/パスワードを代わりに送信し、Cookie等の認証済み情報を取得する。 リバースプロキシ 代理認証用URL アプリ用の 仮想ホスト OR 仮想パス SSO 属性情報を エージェントに 連携 ② 代理認証用 URLにアクセス ① ユーザーの代わりに ID/パスワードを送信 ③ アプリから取得した Cookieをブラウザに セットし、ログイン後 URLにリダイレクト ④
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオンを導入すると、 •ユーザの利便性が向上する •セキュリティが向上する シングルサインオンを実現するためには、 •認証方法を決める •連携方式を決める •アプリのログイン方式を決める 連携方式には •社内アプリでは「エージェント型」「リバースプロキシ型」がある •クラウドサービスは「フェデレーション型」でSSO可能 代理認証方式で •アプリケーション改修せずにシングルサインオンできる 20 シングルサインオンの基礎 ~まとめ~
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 21 事例紹介
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 22 プロジェクトの概要 概要 : サービス業様 認証基盤構築プロジェクト バラバラの認証方式のアプリケーションに対して、 代理認証方式によりシングルサインオンを実現 ユーザー数 : 約 10,000 ユーザー(社外/社内) 接続アプリ数 : 約 30 システム ポイント : 社内ユーザーは統合Windows認証を利用可能とする。 外部サーバー(勤務日確認システム)から取得した、ア クセスしてきたユーザが勤務日かどうかの情報をもとに、 アクセス判定を行う仕組みを実装する。
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 23 プロジェクトでの課題 アプリ担当者が不明だったりして、仕様がわからない。つまり、 「アプリの改修はできない!」 「でもシングルサインオンは実現したい!」 リバースプロキシ型/代理認証方式を採用 実は… リバースプロキシ型/代理認証方式は、 やってみるまでできるかわからない。 ・リバースプロキシ型 コンテンツ変換がうまくいかない(画面が正常に表示されない) 場合がある。 ・代理認証方式 アプリが複雑な認証方法をしている等、代理認証の実装に 時間がかかるパターンが存在する。
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 各アプリケーションで認証の仕様が統一されていない SSOログイン用のID/パスワードとは異なるID/パスワード を使って代理認証を実現 •認証用DBに代理認証用のID/パスワードを暗号化してセット •代理認証時はパスワードを復号化してアプリに送信 24 構築のポイント 代理認証を実現するために実施すること アプリケーション 認証仕様の調査 代理認証を設定 接続検証 を、アプリの数分実施
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 特殊な認可方法の実装 •アクセスユーザが勤務日かどうかによってアクセス制御する 外部サーバにユーザ情報を問い合わせてアクセス制御を行うモ ジュールを新規に開発して対応。 統合Windows認証モジュールのバグ修正 •クライアント側のOS/ブラウザの組み合わせによっては、正常に動 作しないバグが存在 OGISでバグ修正を実施 25 構築のポイント OSSであるOpenAMだからこそ 実現できた
CCooppyyrriigghhtt©© 2 200131 4 O GOIGS-IRSI- RCIo .C, Lot.,d .L tAdl.l r iAglhl trsi grehstesr vreedse. rved.2 6 認証基盤 連携先システム 社外ユーザ 社内ユーザ 外部RPサーバ 内部RPサーバ Active Directory SSOサーバ 内部専用アプリケーション 外部公開アプリケーション DMZ 内部ネットワーク インターネット 最終的なシステム構成 ThemiStruct-WAM ID/パスワード認証 Windows統合認証 代理認証 代理認証 ユーザーがアクセス可能 かどうかを問い合わせる 勤務日確認システム
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 27 ThemiStruct のご紹介
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 28 ThemiStruct のご紹介 ThemiStructはシステムの “連携” を実現します。 シングル サインオン ID 配布・管理 サーバー 監視 ワンタイム パスワード 電子証明書 配布・管理 ワーク フロー ThemiStructは企業の様々なシステムの“連携”を実現する6つのIT基盤ソ リューションから成っています。企業を取り巻く様々なIT環境の変化と要 求にお応えできるよう、日々進化し続けています。 社内とクラウドをシームレスに つなぐシングルサインオン 電子証明書の「発行」と「管理」を シンプルに実現
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. OSSであるOpenAMがベースのソリューション •シングルサインオンを実現する機能が完備されている •機能拡張のためのフレームワークが提供されていて、拡張性が高い フレームワークで実装できなく個別実装でも、取り込みやすい ThemiStruct-WAMだからこそ •OpenAMと組み合わせて使えるモジュールが豊富 •導入実績が豊富で、具体的な構築イメージが提示できる •OpenAMはもちろん、ThemiStruct-WAM独自の部分全てにおいて サポートサービスが充実している 29 ThemiStruct-WAMの特徴
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. おわりに 30 シングルサインオンの目指す形は、 「アプリで認証・認可をしない」 ⇒アプリにはクレデンシャルを持たせない どうしても改修できないアプリは、存在する より最適な方法で、 代理認証方式によるシングルサインオンを実現
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 31 おわりに ご清聴ありがとうございました。

Recomendados

Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用マジセミ by (株)オープンソース活用研究所
 
20141111 明日の認証会議資料(寺田)
20141111 明日の認証会議資料(寺田)20141111 明日の認証会議資料(寺田)
20141111 明日の認証会議資料(寺田)マジセミ by (株)オープンソース活用研究所
 
Otrsによるシステム運用管理の導入事例
Otrsによるシステム運用管理の導入事例Otrsによるシステム運用管理の導入事例
Otrsによるシステム運用管理の導入事例IO Architect Inc.
 
Otrs&OTOBO_document 20210402
Otrs&OTOBO_document 20210402Otrs&OTOBO_document 20210402
Otrs&OTOBO_document 20210402IO Architect Inc.
 
オープンソース統合運用管理ツール『Hinemos』 --- その利便性及びインシデント管理について ---
オープンソース統合運用管理ツール『Hinemos』 --- その利便性及びインシデント管理について ---オープンソース統合運用管理ツール『Hinemos』 --- その利便性及びインシデント管理について ---
オープンソース統合運用管理ツール『Hinemos』 --- その利便性及びインシデント管理について ---Open Source Software Association of Japan
 
Otrs導入事例セミナー
Otrs導入事例セミナーOtrs導入事例セミナー
Otrs導入事例セミナーIO Architect Inc.
 
OTRS紹介資料
OTRS紹介資料OTRS紹介資料
OTRS紹介資料IO Architect Inc.
 
OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化
OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化
OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化IO Architect Inc.
 

Recomendados

Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用マジセミ by (株)オープンソース活用研究所
 
20141111 明日の認証会議資料(寺田)
20141111 明日の認証会議資料(寺田)20141111 明日の認証会議資料(寺田)
20141111 明日の認証会議資料(寺田)マジセミ by (株)オープンソース活用研究所
 
Otrsによるシステム運用管理の導入事例
Otrsによるシステム運用管理の導入事例Otrsによるシステム運用管理の導入事例
Otrsによるシステム運用管理の導入事例IO Architect Inc.
 
Otrs&OTOBO_document 20210402
Otrs&OTOBO_document 20210402Otrs&OTOBO_document 20210402
Otrs&OTOBO_document 20210402IO Architect Inc.
 
オープンソース統合運用管理ツール『Hinemos』 --- その利便性及びインシデント管理について ---
オープンソース統合運用管理ツール『Hinemos』 --- その利便性及びインシデント管理について ---オープンソース統合運用管理ツール『Hinemos』 --- その利便性及びインシデント管理について ---
オープンソース統合運用管理ツール『Hinemos』 --- その利便性及びインシデント管理について ---Open Source Software Association of Japan
 
Otrs導入事例セミナー
Otrs導入事例セミナーOtrs導入事例セミナー
Otrs導入事例セミナーIO Architect Inc.
 
OTRS紹介資料
OTRS紹介資料OTRS紹介資料
OTRS紹介資料IO Architect Inc.
 
OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化
OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化
OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化IO Architect Inc.
 
OTRS x jobschedulerでリリース管理 - 20160912セミナー資料
OTRS x jobschedulerでリリース管理 - 20160912セミナー資料OTRS x jobschedulerでリリース管理 - 20160912セミナー資料
OTRS x jobschedulerでリリース管理 - 20160912セミナー資料IO Architect, Inc.
 
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHPリスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHPRWSJapan
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現Tatsuo Kudo
 
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なことIO Architect Inc.
 
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...Tatsuo Kudo
 
オープンソースのOTRSで、ITIL準拠の運用管理ができるって、本当ですか?どこから始めればよいですか?OTRS勉強会
オープンソースのOTRSで、ITIL準拠の運用管理ができるって、本当ですか?どこから始めればよいですか?OTRS勉強会オープンソースのOTRSで、ITIL準拠の運用管理ができるって、本当ですか?どこから始めればよいですか?OTRS勉強会
オープンソースのOTRSで、ITIL準拠の運用管理ができるって、本当ですか?どこから始めればよいですか?OTRS勉強会マジセミ by (株)オープンソース活用研究所
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17Tatsuo Kudo
 
Otrs4の新機能
Otrs4の新機能Otrs4の新機能
Otrs4の新機能IO Architect Inc.
 
ハイブリッド時代のID基盤構成の基礎
ハイブリッド時代のID基盤構成の基礎ハイブリッド時代のID基盤構成の基礎
ハイブリッド時代のID基盤構成の基礎Naohiro Fujie
 
APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUAPIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUTatsuo Kudo
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門Hiroyuki Wada
 
ADFS クレームルール言語 Deep Dive
ADFS クレームルール言語 Deep DiveADFS クレームルール言語 Deep Dive
ADFS クレームルール言語 Deep DiveSuguru Kunii
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」Tatsuya (達也) Katsuhara (勝原)
 
OTRSで業務ワークフローの実現と最新バージョン6の紹介
OTRSで業務ワークフローの実現と最新バージョン6の紹介OTRSで業務ワークフローの実現と最新バージョン6の紹介
OTRSで業務ワークフローの実現と最新バージョン6の紹介IO Architect Inc.
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...junichi anno
 
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
20171011_ID-based Securityにおける中核サービスとしてのAzure Active DirectoryID-Based Security イニシアティブ
 
DevConf.cz 2020参加報告
DevConf.cz 2020参加報告DevConf.cz 2020参加報告
DevConf.cz 2020参加報告Hitachi, Ltd. OSS Solution Center.
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向Tatsuo Kudo
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門Hiroyuki Wada
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理Naohiro Fujie
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインTakashi Yahata
 
Single sign-on system requiring authorization
Single sign-on system requiring authorizationSingle sign-on system requiring authorization
Single sign-on system requiring authorizationH MM
 

Mais conteúdo relacionado

Mais procurados

OTRS x jobschedulerでリリース管理 - 20160912セミナー資料
OTRS x jobschedulerでリリース管理 - 20160912セミナー資料OTRS x jobschedulerでリリース管理 - 20160912セミナー資料
OTRS x jobschedulerでリリース管理 - 20160912セミナー資料IO Architect, Inc.
 
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHPリスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHPRWSJapan
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現Tatsuo Kudo
 
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なことIO Architect Inc.
 
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...Tatsuo Kudo
 
オープンソースのOTRSで、ITIL準拠の運用管理ができるって、本当ですか?どこから始めればよいですか?OTRS勉強会
オープンソースのOTRSで、ITIL準拠の運用管理ができるって、本当ですか?どこから始めればよいですか?OTRS勉強会オープンソースのOTRSで、ITIL準拠の運用管理ができるって、本当ですか?どこから始めればよいですか?OTRS勉強会
オープンソースのOTRSで、ITIL準拠の運用管理ができるって、本当ですか?どこから始めればよいですか?OTRS勉強会マジセミ by (株)オープンソース活用研究所
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17Tatsuo Kudo
 
ハイブリッド時代のID基盤構成の基礎
ハイブリッド時代のID基盤構成の基礎ハイブリッド時代のID基盤構成の基礎
ハイブリッド時代のID基盤構成の基礎Naohiro Fujie
 
APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUAPIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUTatsuo Kudo
 
ADFS クレームルール言語 Deep Dive
ADFS クレームルール言語 Deep DiveADFS クレームルール言語 Deep Dive
ADFS クレームルール言語 Deep DiveSuguru Kunii
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」Tatsuya (達也) Katsuhara (勝原)
 
OTRSで業務ワークフローの実現と最新バージョン6の紹介
OTRSで業務ワークフローの実現と最新バージョン6の紹介OTRSで業務ワークフローの実現と最新バージョン6の紹介
OTRSで業務ワークフローの実現と最新バージョン6の紹介IO Architect Inc.
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...junichi anno
 
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
20171011_ID-based Securityにおける中核サービスとしてのAzure Active DirectoryID-Based Security イニシアティブ
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向Tatsuo Kudo
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門Hiroyuki Wada
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理Naohiro Fujie
 

Mais procurados (20)

OTRS x jobschedulerでリリース管理 - 20160912セミナー資料
OTRS x jobschedulerでリリース管理 - 20160912セミナー資料OTRS x jobschedulerでリリース管理 - 20160912セミナー資料
OTRS x jobschedulerでリリース管理 - 20160912セミナー資料
 
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHPリスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
 
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと
 
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
 
オープンソースのOTRSで、ITIL準拠の運用管理ができるって、本当ですか?どこから始めればよいですか?OTRS勉強会
オープンソースのOTRSで、ITIL準拠の運用管理ができるって、本当ですか?どこから始めればよいですか?OTRS勉強会オープンソースのOTRSで、ITIL準拠の運用管理ができるって、本当ですか?どこから始めればよいですか?OTRS勉強会
オープンソースのOTRSで、ITIL準拠の運用管理ができるって、本当ですか?どこから始めればよいですか?OTRS勉強会
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
 
Otrs4の新機能
Otrs4の新機能Otrs4の新機能
Otrs4の新機能
 
ハイブリッド時代のID基盤構成の基礎
ハイブリッド時代のID基盤構成の基礎ハイブリッド時代のID基盤構成の基礎
ハイブリッド時代のID基盤構成の基礎
 
APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUAPIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAU
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門
 
ADFS クレームルール言語 Deep Dive
ADFS クレームルール言語 Deep DiveADFS クレームルール言語 Deep Dive
ADFS クレームルール言語 Deep Dive
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」
 
OTRSで業務ワークフローの実現と最新バージョン6の紹介
OTRSで業務ワークフローの実現と最新バージョン6の紹介OTRSで業務ワークフローの実現と最新バージョン6の紹介
OTRSで業務ワークフローの実現と最新バージョン6の紹介
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
 
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
 
DevConf.cz 2020参加報告
DevConf.cz 2020参加報告DevConf.cz 2020参加報告
DevConf.cz 2020参加報告
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理
 

Destaque

OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインTakashi Yahata
 
Single sign-on system requiring authorization
Single sign-on system requiring authorizationSingle sign-on system requiring authorization
Single sign-on system requiring authorizationH MM
 
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014Takashi Yahata
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向Tatsuo Kudo
 
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティOAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティHiroshi Hayakawa
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~Tatsuo Kudo
 
ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13Nov Matake
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014Nov Matake
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜Masaru Kurahayashi
 
今更聞けないOAuth2.0
今更聞けないOAuth2.0今更聞けないOAuth2.0
今更聞けないOAuth2.0Takahiro Sato
 

Destaque (10)

OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
 
Single sign-on system requiring authorization
Single sign-on system requiring authorizationSingle sign-on system requiring authorization
Single sign-on system requiring authorization
 
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向
 
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティOAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティ
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
 
ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
 
今更聞けないOAuth2.0
今更聞けないOAuth2.0今更聞けないOAuth2.0
今更聞けないOAuth2.0
 

Semelhante a 20141111 themi struct

Androidアプリ内蔵広告 徹底解析 公開用
Androidアプリ内蔵広告 徹底解析 公開用Androidアプリ内蔵広告 徹底解析 公開用
Androidアプリ内蔵広告 徹底解析 公開用Lumin Hacker
 
ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実Naohiro Fujie
 
デバイスの運用で使える AWS IoTサービスの紹介
デバイスの運用で使える AWS IoTサービスの紹介デバイスの運用で使える AWS IoTサービスの紹介
デバイスの運用で使える AWS IoTサービスの紹介Amazon Web Services Japan
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018Shinichiro Kosugi
 
WisePoint Shibboleth presentation at Oosaka
WisePoint Shibboleth presentation at Oosaka WisePoint Shibboleth presentation at Oosaka
WisePoint Shibboleth presentation at Oosaka Katsumi Yamashita
 
CLT-009_Windows 10 アプリとシングルサインオン ~Microsoft Passport の意義とその実装方法~
CLT-009_Windows 10 アプリとシングルサインオン ~Microsoft Passport の意義とその実装方法~CLT-009_Windows 10 アプリとシングルサインオン ~Microsoft Passport の意義とその実装方法~
CLT-009_Windows 10 アプリとシングルサインオン ~Microsoft Passport の意義とその実装方法~decode2016
 
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要オラクルエンジニア通信
 
FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界Kazuhito Shibata
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Hitachi, Ltd. OSS Solution Center.
 
使ってみようAzure activedirectory
使ってみようAzure activedirectory使ってみようAzure activedirectory
使ってみようAzure activedirectoryTsukasa Kato
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてOpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてTakashi Yahata
 
120124 jgc information systems conference be st_pro to salesforce
120124 jgc information systems conference be st_pro to salesforce120124 jgc information systems conference be st_pro to salesforce
120124 jgc information systems conference be st_pro to salesforceMasato Fujioka
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsTatsuo Kudo
 
「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめjunichi anno
 
Security days 2015
Security days 2015Security days 2015
Security days 2015Manabu Kondo
 
20090101 男it番長 知っ得。情報基盤強化税制
20090101 男it番長 知っ得。情報基盤強化税制20090101 男it番長 知っ得。情報基盤強化税制
20090101 男it番長 知っ得。情報基盤強化税制小島 規彰
 

Semelhante a 20141111 themi struct (20)

Shibbolethご説明資料
Shibbolethご説明資料Shibbolethご説明資料
Shibbolethご説明資料
 
Androidアプリ内蔵広告 徹底解析 公開用
Androidアプリ内蔵広告 徹底解析 公開用Androidアプリ内蔵広告 徹底解析 公開用
Androidアプリ内蔵広告 徹底解析 公開用
 
ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実
 
デバイスの運用で使える AWS IoTサービスの紹介
デバイスの運用で使える AWS IoTサービスの紹介デバイスの運用で使える AWS IoTサービスの紹介
デバイスの運用で使える AWS IoTサービスの紹介
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
 
WisePoint Shibboleth presentation at Oosaka
WisePoint Shibboleth presentation at Oosaka WisePoint Shibboleth presentation at Oosaka
WisePoint Shibboleth presentation at Oosaka
 
20171011_最新のハイブリッドID管理基盤パターン
20171011_最新のハイブリッドID管理基盤パターン20171011_最新のハイブリッドID管理基盤パターン
20171011_最新のハイブリッドID管理基盤パターン
 
CLT-009_Windows 10 アプリとシングルサインオン ~Microsoft Passport の意義とその実装方法~
CLT-009_Windows 10 アプリとシングルサインオン ~Microsoft Passport の意義とその実装方法~CLT-009_Windows 10 アプリとシングルサインオン ~Microsoft Passport の意義とその実装方法~
CLT-009_Windows 10 アプリとシングルサインオン ~Microsoft Passport の意義とその実装方法~
 
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
 
FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
 
使ってみようAzure activedirectory
使ってみようAzure activedirectory使ってみようAzure activedirectory
使ってみようAzure activedirectory
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてOpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
 
電子証明書を使ったOffice 365の認証強化
電子証明書を使ったOffice 365の認証強化電子証明書を使ったOffice 365の認証強化
電子証明書を使ったOffice 365の認証強化
 
120124 jgc information systems conference be st_pro to salesforce
120124 jgc information systems conference be st_pro to salesforce120124 jgc information systems conference be st_pro to salesforce
120124 jgc information systems conference be st_pro to salesforce
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
 
「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ
 
Salesforce Identity
Salesforce IdentitySalesforce Identity
Salesforce Identity
 
Security days 2015
Security days 2015Security days 2015
Security days 2015
 
20090101 男it番長 知っ得。情報基盤強化税制
20090101 男it番長 知っ得。情報基盤強化税制20090101 男it番長 知っ得。情報基盤強化税制
20090101 男it番長 知っ得。情報基盤強化税制
 

Mais de マジセミ by (株)オープンソース活用研究所

Mais de マジセミ by (株)オープンソース活用研究所 (9)

idempiereセミナー資料ver1.2
idempiereセミナー資料ver1.2idempiereセミナー資料ver1.2
idempiereセミナー資料ver1.2
 
【第1.5回勉強会】後編 alfrescoの基本操作
【第1.5回勉強会】後編 alfrescoの基本操作【第1.5回勉強会】後編 alfrescoの基本操作
【第1.5回勉強会】後編 alfrescoの基本操作
 
【Alfresco勉強会】インストール手順書(windows azure)
【Alfresco勉強会】インストール手順書(windows azure)【Alfresco勉強会】インストール手順書(windows azure)
【Alfresco勉強会】インストール手順書(windows azure)
 
20141018 osc tokyo2014講演(配布用)
20141018 osc tokyo2014講演(配布用)20141018 osc tokyo2014講演(配布用)
20141018 osc tokyo2014講演(配布用)
 
「Diameter勉強会 3」講義用スライド配布用 20141020
「Diameter勉強会 3」講義用スライド配布用 20141020「Diameter勉強会 3」講義用スライド配布用 20141020
「Diameter勉強会 3」講義用スライド配布用 20141020
 
【20140521 第1回勉強会】後編 alfrescoの基本操作
【20140521 第1回勉強会】後編 alfrescoの基本操作【20140521 第1回勉強会】後編 alfrescoの基本操作
【20140521 第1回勉強会】後編 alfrescoの基本操作
 
【20140521 第1回勉強会】前編 alfrescoのインストール
【20140521 第1回勉強会】前編 alfrescoのインストール【20140521 第1回勉強会】前編 alfrescoのインストール
【20140521 第1回勉強会】前編 alfrescoのインストール
 
「明日の認証会議 3」講演用スライド 20141002(配布用)
「明日の認証会議 3」講演用スライド 20141002(配布用)「明日の認証会議 3」講演用スライド 20141002(配布用)
「明日の認証会議 3」講演用スライド 20141002(配布用)
 
20141002 明日の認証会議資料(寺田)(配布用)
20141002 明日の認証会議資料(寺田)(配布用)20141002 明日の認証会議資料(寺田)(配布用)
20141002 明日の認証会議資料(寺田)(配布用)
 

20141111 themi struct

  • 1. CCooppyyrriigghhtt©© 2 200131 4 O GOIGS-IRSI- RCIo .C, Lot.,d .L tAdl.l r iAglhl trsi grehstesr vreedse. rved. いまさら聞けない「シングルサインオンの 基本」と、社員1万人の大企業における OpenAM導入事例紹介 ~Webアプリケーションに手をいれることなく、 認証連携を実現する方法~ 株式会社オージス総研 テミストラクトソリューション部
  • 2. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 2 会社概要 代表者: 代表取締役社長 平山 輝 設 立: 1983年6月29日 資本金: 4億円 (大阪ガス株式会社100%出資) 事業内容: システム開発、プラットフォームサービス、 コンピュータ機器・ソフトウェアの販売、 コンサルティング、研修・トレーニング 主な事業所 本 社: 大阪府 大阪市西区千代崎3-南2-37 ICCビル 東京本社: 東京都 港区港南2-15-1 品川インターシティA棟 名古屋オフィス: 愛知県 名古屋市中区錦1-17-13 名興ビル 売上実績: 567億円 (連結) 298億円(単体) (2013年度) 従業員数: 3,104名 (連結) 1,283名 (単体) 関連会社: さくら情報システム(株)、 (株)宇部情報システム、 (株)システムアンサー、 OGIS International,Inc、上海欧計斯軟件有限公司(中国) オージス総研グループ 売上構成比 (連結) 取得許可認定 株式会社オージス総研
  • 3. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオンの基礎 導入事例 テミストラクトの紹介 3 アジェンダ
  • 4. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 4 シングルサインオンの基礎
  • 5. CCooppyyrriigghhtt©© 2 200131 4 O GOIGS-IRSI- RCIo .C, Lot.,d .L tAdl.l r iAglhl trsi grehstesr vreedse. rved. 5 シングルサインオンとは シングルサインオンでない状態 シングルサインオン導入後 クラウドサービス グループウェア 業務システム クラウドサービス グループウェア 業務システム 各システムに 都度ログイン・・・ SSO 1回のログインで アクセス可能!
  • 6. CCooppyyrriigghhtt©© 2 200131 4 O GOIGS-IRSI- RCIo .C, Lot.,d .L tAdl.l r iAglhl trsi grehstesr vreedse. rved. 6 なぜ、シングルサインオンが必要なのか 其の壱 ユーザーにとって・・・ システムが増える = 業務は楽になる + 認証は不便になる このシステムは このパスワードで・・・ ID/パスワードが増える 昨日もパスワード 変更したのに・・・ システム毎にパスワード変更 またログイン画面か・・・ システム毎にログイン ・ログインは一回でOK! ・ID/パスワードは一個覚えればOK! ・パスワード変更は一カ所でOK! つまり、ユーザの利便性が向上する! シングルサインオンを実現すると・・・
  • 7. CCooppyyrriigghhtt©© 2 200131 4 O GOIGS-IRSI- RCIo .C, Lot.,d .L tAdl.l r iAglhl trsi grehstesr vreedse. rved. 7 なぜ、シングルサインオンが必要なのか 其の弐 認証・認可の実装は、意外と大変。 セキュアなシステムかどうかは、システム開発者の技量に依存する。 ・SSOシステムに任せれば、アクセス制御の一元管理が可能。 ⇒既存システムへのアプリ単位のアクセス制御を一カ所で管理できる。 ⇒新規システムを開発しても、アクセス制御の実装が楽になる。 ・認証のセキュリティレベル統一が可能。 つまり、セキュリティが向上し、開発/運用コスト削減に役立つ! アクセス制御が未実装 制御ルールがバラバラ あれ?ちゃんと制御できてる? 設定ミスしたかな・・・ シングルサインオンを実現すると・・・ 他部署の機密文書が 参照できてしまう・・・ 製造部 営業部用 アプリ
  • 8. CCooppyyrriigghhtt©© 2 200131 4 O GOIGS-IRSI- RCIo .C, Lot.,d .L tAdl.l r iAglhl trsi grehstesr vreedse. rved. 8 なぜ、シングルサインオンが必要なのか 其の参 セキュリティや運用の観点では・・・ システムが増える = セキュリティリスクUP + 運用負荷UP ・ID/パスワードは一個だから、管理しやすい。 ⇒パスワード漏えいを回避するために、十分な対策をとれる。 ・認証ログを一カ所で管理でき、監査対象を一つにできる。 ⇒運用がシンプルになる。 つまり、セキュリティが向上し、運用負荷が下がる! パスワード多すぎて 覚えられないから 付箋にメモしておこう セキュリティリスク --------------- --------------- --------------- ID 12345 PW abcde ♪ 運用負荷 全アプリケーションの ログ管理なんてできない!! シングルサインオンを実現すると・・・
  • 9. CCooppyyrriigghhtt©© 2 200131 4 O GOIGS-IRSI- RCIo .C, Lot.,d .L tAdl.l r iAglhl trsi grehstesr vreedse. rved. 9 シングルサインオンで目指すべき形 「社内アプリ」と「クラウドサービス」の両方を利用する構成で ・ユーザの利便性向上 ・セキュリティ向上 を実現するシングルサインオンが、将来目指すべき形。 RP SSO セキュリティ強化は SSOシステムだけやればOK 認証は一回だけ アプリの認証に パスワードを使わない
  • 10. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオン実現のための「3ステップ」 10 シングルサインオン実現方式 ID/パスワード ワンタイム パスワード デスクトップ SSO Step1 エージェント型? リバースプロキシ型? SAML型? Step2 Step3 認証方法を決める 連携方式を決める SSO ? SSO ? アプリのログイン方式 を決める HTTPヘッダ連携? Cookie連携? 代理認証?
  • 11. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. ユーザーが行う認証の方法を決定する 11 シングルサインオン実現方式 ~認証方法を決める~ 「セキュリティリスクの高さ」を考慮し、 「利便性」・「セキュリティ」・「コスト」 のバランスを考えて決定する 社内からしかアクセス できないのに、複雑な認証方法 社外から重要情報にアクセス するのに、簡単な認証方法 セキュアにしたはいいけど、 導入コストが高すぎる ワンタイム パスワード 統合Windows 認証 社外からは 多要素認証 証明書認証 ID/パスワード
  • 12. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオン実現方式 ~認証方法を決める~ 証明書認証 認証サーバ 12 たとえば、 ・社内ユーザにとっての利便性を低下させたくない ・社外からアクセスには、セキュリティを高めたい ・社外からのアクセスのみ多要素認証させる ・多要素認証に証明書認証を使う •ブラウザにインストールしたクライ アント証明書をもとに、端末を認証 する。
  • 13. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオン実現方式 ~認証方法を決める~ 13 たとえば、 ・社内からのアクセスしかない(社外公開していない) ・とにかく便利にしたい ・統合Windows認証にする 統合Windows認証 認証サーバ ① Windowsドメインログオン ActiveDirectory ② ドメインログオン情報を 使って認証(自動処理) •Windowsドメインにログオンして いれば、システムへのログインを自 動で行う認証方法 •ユーザがID/パスワードを入力する のは、ドメインログオン時のみ。
  • 14. CCooppyyrriigghhtt©© 2 200131 4 O GOIGS-IRSI- RCIo .C, Lot.,d .L tAdl.l r iAglhl trsi grehstesr vreedse. rved. シングルサインオン実現方式 ~連携方式を決める~ 14  SSO対象アプリケーションと認証サーバをどのように連携 するかを決定する 社内アプリ アプリアクセスの手前で認証 ・エージェント型 ・リバースプロキシ型 クラウドサービス 認証情報を安全な方法で渡す ・フェデレーション型 SSO SSO
  • 15. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオン実現方式 ~連携方式を決める~ 15 エージェント型 Webサーバー、アプリケーションサーバーに直接エージェントを導入する方法。 エージェントごとにSSOサーバーとの通信が発生する。 SSO対象 アプリ A SSO対象 アプリ B SSO 利用者 ログイン SSO対象アプリに アクセス SSO対象アプ リに認証済み 情報を連携 ① ② ③ 認証済みであれば アプリを利用可能 ④
  • 16. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオン実現方式 ~連携方式を決める~ 16 リバースプロキシ型 リバースプロキシサーバーにエージェントを導入し、アプリケーションへのアク セスをリバースプロキシサーバー経由にする方法。 SSOサーバーとのやりとりをリバースプロキシサーバーに任せる。 SSO対象 アプリ A SSO対象 アプリ B リバースプロキシ SSO 利用者 アプリ A 用の 仮想ホスト OR 仮想パス アプリ B 用の 仮想ホスト OR 仮想パス ログイン リバースプロキシ サーバーにアクセス SSO対象アプ リに認証済み 情報を連携 ① ② ③ 認証済みであればSSO対 象アプリに接続 ④
  • 17. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオン実現方式 ~連携方式を決める~ 17 フェデレーション型 安全な方法でクラウドサービスとのSSOを実現するために、SAMLやOpenID Connectなどのフェデレーション(認証連携)用のプロトコルを利用する方式。 利用者 利用者情報 なまえ 利用者 メール riyousha@ogis-ri.jp 電話 0x0-1234-5678 利用者情報 name themistruct mail riyousha@ogis-ri.jp address Tokyo Japan SSO クラウドサービス あらかじめ 属性情報が 一部連携 されている サービス利用開始 ① HTTP Redirect & POST ② POSTデータは ユーザー属性の やり取り開始の 手続きにあたる ユーザー認証 ③ HTTP Redirect & POST ④ POSTデータはユーザー 属性にあたる (この場合は“メール”情報) SSO成功 SAMLプロトコルを利用した認証連携の流れ
  • 18. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオン実現方式 ~アプリのログイン方式を決める~ 18 SSO対象アプリケーション側でユーザーを認証する方法を 決定します。 アプリケーション側の 認証方法を改修可能か 属性情報連携方式 代理認証方式 SSOサーバーから受け取った情報をも とに認証する ・HTTPヘッダ連携 ・Cookie連携 アプリの認証方法を再現し、ユーザー の代わりにアプリ認証を行う ・Basic認証 ・From認証 YES NO
  • 19. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオン実現方式 ~アプリのログイン方式を決める~ 19 代理認証方式 ユーザーが初めにログインする際にアクセスするURL(代理認証用URL)にて、 ID/パスワードを代わりに送信し、Cookie等の認証済み情報を取得する。 リバースプロキシ 代理認証用URL アプリ用の 仮想ホスト OR 仮想パス SSO 属性情報を エージェントに 連携 ② 代理認証用 URLにアクセス ① ユーザーの代わりに ID/パスワードを送信 ③ アプリから取得した Cookieをブラウザに セットし、ログイン後 URLにリダイレクト ④
  • 20. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. シングルサインオンを導入すると、 •ユーザの利便性が向上する •セキュリティが向上する シングルサインオンを実現するためには、 •認証方法を決める •連携方式を決める •アプリのログイン方式を決める 連携方式には •社内アプリでは「エージェント型」「リバースプロキシ型」がある •クラウドサービスは「フェデレーション型」でSSO可能 代理認証方式で •アプリケーション改修せずにシングルサインオンできる 20 シングルサインオンの基礎 ~まとめ~
  • 21. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 21 事例紹介
  • 22. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 22 プロジェクトの概要 概要 : サービス業様 認証基盤構築プロジェクト バラバラの認証方式のアプリケーションに対して、 代理認証方式によりシングルサインオンを実現 ユーザー数 : 約 10,000 ユーザー(社外/社内) 接続アプリ数 : 約 30 システム ポイント : 社内ユーザーは統合Windows認証を利用可能とする。 外部サーバー(勤務日確認システム)から取得した、ア クセスしてきたユーザが勤務日かどうかの情報をもとに、 アクセス判定を行う仕組みを実装する。
  • 23. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 23 プロジェクトでの課題 アプリ担当者が不明だったりして、仕様がわからない。つまり、 「アプリの改修はできない!」 「でもシングルサインオンは実現したい!」 リバースプロキシ型/代理認証方式を採用 実は… リバースプロキシ型/代理認証方式は、 やってみるまでできるかわからない。 ・リバースプロキシ型 コンテンツ変換がうまくいかない(画面が正常に表示されない) 場合がある。 ・代理認証方式 アプリが複雑な認証方法をしている等、代理認証の実装に 時間がかかるパターンが存在する。
  • 24. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 各アプリケーションで認証の仕様が統一されていない SSOログイン用のID/パスワードとは異なるID/パスワード を使って代理認証を実現 •認証用DBに代理認証用のID/パスワードを暗号化してセット •代理認証時はパスワードを復号化してアプリに送信 24 構築のポイント 代理認証を実現するために実施すること アプリケーション 認証仕様の調査 代理認証を設定 接続検証 を、アプリの数分実施
  • 25. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 特殊な認可方法の実装 •アクセスユーザが勤務日かどうかによってアクセス制御する 外部サーバにユーザ情報を問い合わせてアクセス制御を行うモ ジュールを新規に開発して対応。 統合Windows認証モジュールのバグ修正 •クライアント側のOS/ブラウザの組み合わせによっては、正常に動 作しないバグが存在 OGISでバグ修正を実施 25 構築のポイント OSSであるOpenAMだからこそ 実現できた
  • 26. CCooppyyrriigghhtt©© 2 200131 4 O GOIGS-IRSI- RCIo .C, Lot.,d .L tAdl.l r iAglhl trsi grehstesr vreedse. rved.2 6 認証基盤 連携先システム 社外ユーザ 社内ユーザ 外部RPサーバ 内部RPサーバ Active Directory SSOサーバ 内部専用アプリケーション 外部公開アプリケーション DMZ 内部ネットワーク インターネット 最終的なシステム構成 ThemiStruct-WAM ID/パスワード認証 Windows統合認証 代理認証 代理認証 ユーザーがアクセス可能 かどうかを問い合わせる 勤務日確認システム
  • 27. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 27 ThemiStruct のご紹介
  • 28. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 28 ThemiStruct のご紹介 ThemiStructはシステムの “連携” を実現します。 シングル サインオン ID 配布・管理 サーバー 監視 ワンタイム パスワード 電子証明書 配布・管理 ワーク フロー ThemiStructは企業の様々なシステムの“連携”を実現する6つのIT基盤ソ リューションから成っています。企業を取り巻く様々なIT環境の変化と要 求にお応えできるよう、日々進化し続けています。 社内とクラウドをシームレスに つなぐシングルサインオン 電子証明書の「発行」と「管理」を シンプルに実現
  • 29. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. OSSであるOpenAMがベースのソリューション •シングルサインオンを実現する機能が完備されている •機能拡張のためのフレームワークが提供されていて、拡張性が高い フレームワークで実装できなく個別実装でも、取り込みやすい ThemiStruct-WAMだからこそ •OpenAMと組み合わせて使えるモジュールが豊富 •導入実績が豊富で、具体的な構築イメージが提示できる •OpenAMはもちろん、ThemiStruct-WAM独自の部分全てにおいて サポートサービスが充実している 29 ThemiStruct-WAMの特徴
  • 30. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. おわりに 30 シングルサインオンの目指す形は、 「アプリで認証・認可をしない」 ⇒アプリにはクレデンシャルを持たせない どうしても改修できないアプリは、存在する より最適な方法で、 代理認証方式によるシングルサインオンを実現
  • 31. Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 31 おわりに ご清聴ありがとうございました。