IceWall Federationによる
Office365導入のための
乱立AD対応ソリューション
(オンプレミス型)のご紹介
日本ヒューレット・パッカード株式会社
テクノロジーコンサルティング事業統括
IceWallソフトウェア本部
2017年3月更新 ver.1.1
2
© Copyright 2015 Hewlett Packard Enterprise Development LP
クラウド導入におけるシングルサインオンの課題
要 望
現 実
ADとクラウドサービスとの
シングルサインオンを実現したい!
ADで認証したい
ADを統合せずに
Office 365とのシングルサインオンを実現したい
AD FSでOffice 365とのシングルサインオンを実現するには
ADの統合が必須とされているが・・・
Office
365
Salesforce
G Suite
(旧Google Apps)…
でも社内にADが乱立していて、
統合は無理・・・
信頼関係無
管理が別々
「野良AD」も存在
AD統合?
ドメイン統合?
ID統合?
無理!
4
© Copyright 2015 Hewlett Packard Enterprise Development LP
Salesforce
G Suite(旧Google Apps
)…
IceWall Federationが問題を解決
クラウドIDのドメインを
AA.COMに統一
ローカルドメイン
AA-CORP.COM
ローカルドメイン
AA.LOCAL
AD FS
AD FS
IceWall SSO
社内
社外
ローカルID
[email protected]
ローカルID
[email protected]
ローカルID
[email protected]
IceWall Federationが
認証要求を振り分け・中継 *
ユーザーはローカルのADにログインするだけで
Office 365にシングルサインオン。AD統合不要!
LDAPなどAD以外の
リポジトリは
IceWall SSOで対応
Office 365
認証要求
クラウドID
[email protected]
[email protected]
[email protected]
(クラウドID) →
(ローカルID)
[email protected] → [email protected]
[email protected]
→
[email protected]
[email protected] →
[email protected]
認証要求
認証要求
認証要求
ローカルドメイン
AA.CO.JP
* ユーザーは初回のログイン時に自分自身が存在するローカルドメインを1度だけ指定する必要があります。
2回目以降は自動的にローカルドメインが判断されます。
本ソリューションの特長
AD統合不要
• ADの統合が前提とならないため、導入が容易。
低コスト・長期保守
• 使用するIceWall製品は、ユーザー数に依存しないライセンス体系。
• IceWall製品の信頼性、長期サポートにより、長期安定稼働を実現。
拡張性
• 認証連携の標準規格(SAML等)を使用しているため、Office 365以
外にSalesforceやG Suite
(旧Google Apps)
等、多くのクラウドサービスも使
用可能
• IceWall SSO製品を追加すれば、AD以外のリポジトリ(LDAP、
Oracle、MySQLなど)にも拡張可能
• IceWall SSO製品を追加すれば、AD FSを導入せずにWindows環
境とのシングルサインオンも可能
6
© Copyright 2015 Hewlett Packard Enterprise Development LP
対象・前提条件
対応クラウドサービ
ス
Office365、および、SAML2.0による認証連携(フェデレーション)をサ
ポートしているクラウドサービス(Salesforce、G Suite
(旧Google Apps)
等)。
対応ブラウザ
Internet Explorer、Chrome、Firefox等
対応クライアント
(Office 365のみ)
Modern Authenticationに対応したクライアント アプリ。
・Outlook(2013以降)、Skype for Business等
*
• ローカル側のドメイン(リポジトリ)は、SAML 2.0のIdP(*)として構成されている必要がありま
す。
そのため、ADにはAD FSやIceWall SSOの導入が別途必要です。
LDAPやRDB等のリポジトリにはIceWall SSOの導入が別途必要です。
• クラウド側のIDは、ローカル側のIdPが作成するクレームに含まれている必要があります。
• ユーザーが初回ログイン時に指定したローカルドメイン名は、ファイルクッキーとしてユーザー
のPC上に保存されます。
• ローカル側のAD(リポジトリ)からクラウドサービス側へのIDプロビジョニングは別途必要です。
*IdP…Identity Providerの略。IDを管理して認証を行うサイト。
対象となるサービス・環境
前提条件
*詳細はOffice365認証連携 動作確認済アプリケーション一覧をご覧ください。
http://h50146.www5.hpe.com/products/software/security/icewall/federation/office365_application.html
8
© Copyright 2015 Hewlett Packard Enterprise Development LP
参考システム構成
対応OS: Red Hat Linux 6.1以降、7.1以降
IceWall Federation Agent
+ IceWall MCRP
(二重化構成)
IceWall Federation
(二重化構成)
Active Directory
+ AD FS
・・・・・
Office 365
社内
社外
※IceWall Federation Agent、IceWall MCRP、およびIceWall Federationは
同一筐体で動作させる構成も可能です。 (二重化の場合は全2台構成)
参考ライセンス
ライセンス
ライセンス数
参考価格
IceWall Federation Agent License
2
¥2,000,000
IceWall MCRP Standard Edition Server License
2
¥3,200,000
IceWall Federation Single Connection License
1
¥1,200,000
合 計
¥6,400,000
(二重化構成)
※ライセンスのご購入の際は、あわせて保守のご購入が必要となります。
※別途メディア費用が必要です。
10
© Copyright 2015 Hewlett Packard Enterprise Development LP
IceWall Federation Agentが
認証要求を指定リポジトリに振り分け *
応用:乱立AD対応ソリューション SSO編
社内
Single Sign On
SP
クラウドだけでなく社内Webアプリケーションも乱立AD対応
AD以外の
リポジトリも
対応可能
社内
Webアプリケーション
社外
SAML
ログオン
ローカルドメイン
AA-CORP.COM
ローカルドメイン
AA.LOCAL
AD FS
AD FS
IceWall SSO
ローカルID
[email protected]
ローカルID
[email protected]
ローカルID
[email protected]
ローカルドメイン
AA.CO.JP
IceWall Federation Agent
+ IceWall MCRP
12
© Copyright 2015 Hewlett Packard Enterprise Development LP
