IceWallソフトウェア認証連携（フェデレーション）ソリューションIceWallFederationのご紹介

(1)

IceWallソフトウェア

認証連携（フェデレーション）ソリューション

IceWall Federationの

ご紹介

日本ヒューレット・パッカード株式会社

テクノロジーコンサルティング事業統括

IceWallソフトウェア本部

2016年12月更新 ver.4.4

(2)

2

ユーザ個別にID/パスワードを 作成・更新されたら把握しきれない管理工数的にもセキュリティ的にも心配… ログの入手や管理はプロバイダーに依存… いざという時は迅速な対応が必要なのに… 社内のWebアプリも外部の Webサービスも同じように利用したい （シングルサインオンしたい）んだけど…

認証基盤

管理者

(5)

認証連携（フェデレーション）を利用することで、

パブリッククラウドへもセキュアなアクセス/シングルサインオンが実現できます。

認証連携（フェデレーション）による解決

ユーザー管理者

＋

社内システムからパブリッククラウドへシングルサインオン

統合認証基盤

（IceWall SSO）

社内システムからのアクセス（ログイン）のみとすることで、管理工数およびセキュリティリスクを軽減

オンプレミス /プライベートクラウド

（企業内）

パブリッククラウド

（企業外）

(6)

6 パブリッククラウドを利用する際の課題と

認証連携による解決

*パブリッククラウドへのダイレクトなアクセスを許可しない運用には、クラウドサービス側での設定が必要です。認証基盤、認証連携にその機能はありません。

パブリッククラウドを利用する際の課題

認証連携による解決

パブリッククラウドに対し、企業でのセキュリティポリシー整備及びルール化が未対応スモールスタートが可能なため、部門単位での契約となりセキュリティポリシー適用が困難ブラウザがあればログインできるため、どのよう なPCからもアクセス可能となってしまう。また、ロ グの集中管理も困難パブリッククラウドへのアクセスに統合認証基盤を使用することによって、認証におけるセキュリティポリシーを全社に適用可能に社内イントラネットからパブリッククラウドへの SSOを実現し、ユーザーの利便性、生産性の向 上が可能にパブリッククラウドへのアクセスを統合認証基盤 （社内イントラネット）経由にする*ことにより、ログ の集中管理が可能にパブリッククラウドにダイレクトにアクセスを許可 しない運用*によって社内に認証可能なPCから のみパブリッククラウドを使用させることも可能に パブリッククラウドのID、パスワードは別管理と なり、クラウド側のID消し忘れ等のリスクや運用 工数が増加。ユーザーの利便性も低下

(7)

【Tips】認証連携の仕組み(SAMLの場合)

IdP（Identity Provider）

【サイトA】

SP（Service Provider）

【サイトB】

■ユーザーはIdPにID,PWDなどを入力して認証を受ける ■認証を受けた後はSPに直接アクセスしてサービスを利用する信頼関係 ■SPはIdPから送られた認証情報を受けて、ユーザーにアクセスを許可する。 ※IdPとSP間の送受信はSAML, Shibboleth, OpenIDなどの標準仕様が使用される

① IdP【サイトA】にログイン

② ユーザーが

認証済みであること

をIdPからSPへ伝達

③ SP【サイトB】に、

ID/パスワードの入力なしで

アクセス可能に

ユーザー

ユーザーのID/パスワードが登録済み IdP（Identity Provider）: IDを管理して認証を行うサイト SP（Service Provider）: 実際のサービスを提供するサイト

あらかじめIdPとSP間で

信頼関係を結ぶ

■IdPはユーザーを認証し SPに認証情報（IDや属性情報）を送るリバースプロキシサーバー 認証サーバー/ 認証DB IceWall SSO ソリューション Federation サーバー

(8)

8 【Tips】認証連携の仕組み(OpenIDの場合)

OP（OpenID Provider）

【サイトA】

■OPはユーザー情報（ID,PWDなど）を管理する ■ユーザーはOPにID,PWDなどを入力して認証を受ける ■RPがOPに認証を依頼し、認証結果を受け取る ■サイト間の通信にはOpenID 2.0を使用する OP（OpenID Provider） : IDを管理して認証を行うサイト RP （Relying Party） : 実際のサービスを提供するサイト

①RPにアクセス

③ OPにログイン

④認証結果の

検証を要求

②RPからOPへ

認証を要求

ユーザーのID/パスワードが登録済みリバースプロキシサーバー 認証サーバー/ 認証DB IceWall SSO ソリューション Federation サーバー

ユーザー

■ユーザーがRPにアクセスする。 ■認証を受けるOPを、RPの画面上で選択する。

RP（Relying Party）

【サイトB】

(9)

IceWall Federation/

(10)

10 IceWall Federation / IceWall Federation Agent

IceWall Federation/ IceWall Federation Agentは、パブリッククラウドやプライベートクラウド環境と

認証連携（フェデレーション）により、シングルサインオンを実現します。

IdP

認証連携 Google Apps

SP

salesforce.com

SP

パブリッククラウド

プライベートクラウド

ADFSに対応したサービス

SP

IceWall Federation Agentを使用して SAML SP化したアプリケーション ユーザーは IdPにログインすれば SPも利用可能に IdPはSPにユーザー属性や認証済であることなど認証連携に必要な情報を譲渡 IceWall Federation Agent

IdP（Identity Provider） : IDを管理して認証を行うサイト

SP （Service Provider） : 実際のサービスを提供するサイト Office 365

SP

IceWall Federation IceWall SSO 基本構成

SP

ユーザー

IceWall SSO 10.0のご購入で、IceWall Federationも追加費用無しでご使用いただけます。 IceWall Federation Agentは別途ご購入が必要です。

(11)

IceWall Federationとは

※IceWall FederationはIceWall SSO 10.0 購入で標準提供されます。

接続確認ができているサービスの最新状況は弊社Webページをご確認ください。

IceWall Federation

※

は、認証連携における

IdP(Id Provider)

機能を提供

するものです。

SaaSサービス等SP(Service Provider)とのシングルサインオ

ンを実現します。

 Bulas  Fileforce  福利厚生倶楽部  Box  SECURE DELIVER  GigaCC  e-革新サービス  Google Apps  Salesforce Platform  Office 365  クリプト便  cybozu.com

 KDDI Knowledge Suite（GRIDY）  出張なび

2016年12月現在、SPとして接続が確認できているサービス/ソフトウェア

 HPE Service Anywhere  Aruba ClearPass  ShibbolethのSP  Windows Azure  SharePoint  ADFS 2.0

他、多数

(12)

12 IceWall Federationの強み

安心・迅速な環境構築を担保する「接続保証」

一般的な認証連携（フェデレーション）

機能提供製品

導入時

特定の対象サービス（SP）のインタフェースに合わせ、SAML等、適用する標準仕様の詳細を理解 し、自身で設定・接続検証をする必要があります。

運用時

万が一、本番運用において障害が発生した場合、個々の標準仕様におけるエラーは、自身で解析してから各社製品窓口に問い合わせる必要があります。

導入時

日本ヒューレット・パッカードにて適切な標準仕様を用い、各サービス（SP）単位での接続検証をしている ため、安心かつ迅速に環境構築を行うことができます。

運用時

接続検証された対象サービス（SP）との接続において障害が発生した場合、日本ヒューレット・パッカードから問題解決のためのサポートを受けることができます。

IceWall Federation

認証連携（フェデレーション）機能を提供する製品の多くは、SAML等の「標準仕様に対応」していま

すが、各サービスとの接続確認/検証はユーザー任せという製品も少なくありません。IceWall

Federationは

各仕様ではなく、実際の各サービスとの接続検証を行っている

ため、安心・迅速な環

境構築が可能です。

(13)

Office 365との認証連携

IceWall SSOの認証(ログイン)でOffice 365にアクセスできます

ユーザー

リバースプロキシサーバー 認証サーバー/ 認証DB IceWall SSO ソリューション Federation サーバー

③サービスには

直接アクセス

①認証は

IceWall SSOで行う

Office 365

Webブラウザー デスクトップアプリ ・Outlookクライアント ・Lyncクライアント ・その他クライアント

②Office365と

IceWallSSOが

認証連携

（WS-Federation） 他のWeb AP (※) ※ Webブラウザーからのアクセスでは、 他のWebアプリケーションともシングルサインオンができます。 アプリ

Office 365のサービス

・Outlook ・Lync ・SharePoint ・Word/Excel/ PowerPoint Online など LOG IN ID PW

(14)

14 IceWallはOffice 365との認証連携にも強い

*「IceWall Federation 3.0 Patch 8」のインストールが必要です。 *他のサービス/アプリについて検証の状況についてはお問い合わせ下さい。 PCデスクトップアプリによるアクセス Outlook Lync Word/Excel/PowerPoint/OneNote スマートフォンアプリケーションによるアクセスメールアプリスケジュールアプリアドレス帳アプリ Lync

「Office 365」との連携機能で

マイクロソフトの認定を取得

IceWallはマイクロソフトの「Works with Office 365 - Identity program」の

認証連携「サードパーティーIDプロバイダー」として、

国産製品としては初の認定製品です。

Webブラウザーによるアクセス

Outlook Web App (OWA) Lync Web App

Word/Excel/PowerPoint/OneNote Online SharePointチームサイト

OneDrive (Webブラウザー)

(15)

※IceWall FederationをIceWall SSOと同一サーバー上で稼働させることも可能です。

ユーザー各種クラウドサービス

IceWall Federationを利用してIdPサイトを構築する際の基本的な構成です。

IceWall 認証サーバー IceWall SSO IceWall サーバー IceWall Federation サーバー

IdP

IceWall Federation

IceWall Federation 基本構成

SP

Webアプリ 認証連携（SAMLなど）

(16)

16 IceWall Federation Agentとは

※本モジュールをインストールしたアプリケーションはSAML SPになります。

※連携可能なIdPで認証したユーザーに対してセッションを発行し、

IceWall Federation Agentを導入したアプリケーションへのアクセスを許可します。

IceWall Federation Agent

※

は、認証連携における

SP

(Service Provider)機能

を提供するものです。

Webサーバーを容易にSP化させるためのエージェント機能を

提供します。

(17)

SPでユーザー情報は保持せず、IdPから送られる認証結果やユーザー情報をもとにアプ

リケーションを利用する場合の基本構成例です。

IdP

IceWall Federation

IceWall Federation Agent 基本構成例

SP

Webアプリ

IceWall Federation Agent を導入した Webサーバー

IceWall Federation Agent

認証連携（SAML）

(18)

18 IdP

IceWall Federation Webアプリ

SPでもユーザー情報を保持し、IdPから受け取る認証結果とは別に、SP側で管理された

ユーザー情報を使用してアプリケーションを利用する場合の応用構成例です。

IceWall Federation Agent 応用構成例

SP

IceWall Federation Agentと IceWall MCRPを導入した Webサーバー

IceWall Federation Agent

＋ IceWall MCRP

SP側でユーザー 情報を管理する 認証DB

※この応用構成例のケースでは、SP側に「IceWall Federation Agent」以外に

別途「IceWall MCRP」及び「IceWall SSOユーザーライセンス」が必要です。

認証連携（SAML）

ユーザー

(19)

IceWall Federationおよび、 IceWall Federation Agentの対応プラットフォームです。

分類

IceWall Federation

IceWall Federation Agent

OS Red Hat Enterprise Linux

Windows Server Red Hat Enterprise Linux Webサーバー Apache Tomcat Apache HTTP Server

その他に必要なソフトウェア

IceWall Federationの動作には、別途、 IceWall SSOが必要です。IceWall SSO の対応バージョンは以下のとおりです。・IceWall SSO 8.0 R3以降・IceWall SSO 10.0 以降 •基本構成の場合には、SP側にその他に必要なソフトウェアはありません。 •応用構成の場合に必要となるその他のソフトウェアに関しては、別途お問い合わせください。 ※2016年12月時点の情報です。 ※更新される可能性があります。 ※詳細は下記サポートマトリクスをご参照ください。 http://h50146.www5.hpe.com/products/software/security/icewall/federation/hardware_requirements.html

IceWall Federation /

(20)

20 IceWall Federation

クラウドプロビジョニングツールの

ご紹介

(21)

認証連携には、クラウドサービス側(SP)とIceWall SSO側(IdP)の双方にユーザーの登録

が必要です。

認証DB IceWall SSO IceWallFederation ユーザーA

IdP

認証連携で必要となるIDプロビジョニング

ユーザーAの情報を

双方に登録

認証連携

各種クラウドサービス

SP

ユーザー情報DB ユーザーA 方式特徴サービスが提供する管理画面を使用・ブラウザーでの操作で、特別なSWが不要。少数のユーザーであれば簡単。・大量ユーザーの操作やバッチ処理は不可。サービスが提供する Web APIを使用 ・クラウドサービス側のWeb APIが公開されていることが前提。・ツールやプログラムが必要。・大量ユーザーの操作やバッチ処理、自動化が可能。

クラウドサービスへのユーザ登録方法比較

ユーザーA

(22)

22

IceWall Federation クラウドプロビジョニングツール

IceWall Federation クラウドプロビジョニングツール

イントラネット

インターネット

③実行履歴ログ出力

①-1 コマンドで起動

①-2バッチから起動

java … CreateGAppsUser … user1 …… Java … CreateGAppsUser … user2…… …….. > java … CreateGAppsUser … user1

Google Apps

Salesforce

Office 365

SaaSのユーザーについて 以下の操作が可能・登録・更新・削除・参照

※IceWall SSO 10.0およびIceWall Federation 3.0をご購入/ご使用のお客様は無償でご使用いただけます。

※リリース当初はSalesforce, Google Apps, Office 365をサポートします。その他のSaaSについてはお問い合わせ下さい。 ②プロビジョニング実行

（OAuth 2.0+Web API）

Salesforce, Google Apps, Office365などのパブリッククラウドサービス（SaaS）へのスムーズな

ユーザー登録および削除を支援するIDプロビジョニングツールです。

• 標準規格である「OAuth2.0」と各SaaSのWeb APIに対応。複数のSaaSへの対応が可能 • 複数ユーザーの一括登録/削除/更新が可能。（IceWall SSO 一括登録ツールを併用） • 認証DBに対して一括登録/一括削除を行う際のユーザーデータを、そのままSaaS側のプロビジョニング用ユーザーデータとして使用することが可能。（IceWall SSO 一括登録ツールを併用） LOG

(23)

SaaSとIceWall SSOとの同期イメージ

IceWall SSOの一括登録ツール

※1

を使用すると、ユーザー操作（登録・変更・削除）を一括して

SaaSとIceWall SSOの認証DBへ行うことができます。

※1IceWall SSO の実行環境を構築するために必要なユーザー情報を一括で登録することを支援するツール。 ※2IceWall SSO 一括登録ツールでクラウドプロビジョニングツールを起動するスクリプトを生成します。 ○○○ SaaS用テンプレート ユーザーデータ User1Pass1 User2 Pass2 …… IceWallサーバー/ 認証サーバー 認証DB (RDB, LDAPなど) △△△ DB用テンプレート DBアクセス プログラムまたはコマンド

DBアクセス

スクリプトを生成

※2

スクリプトを生成

IceWall SSO 一括 登録ツール ※1 IceWall SSO 一括 登録ツール ※1 Salesforce Google Apps Office 365 イントラネットインターネット

IdP

SP

プロビジョニング実行 （OAuth 2.0+Web API）

IceWall Federation

クラウドプロビジョニングツール

(24)

24 IceWall Identity Managerとの連携イメージ

○○○ SaaS用テンプレート ユーザーデータ User1Pass1 User2 Pass2 …… IceWallサーバー/ 認証サーバー 認証DB (RDB, LDAPなど)

DBアクセス

スクリプトを生成

IceWall SSO 一括 登録ツール Salesforce Google Apps Office 365 イントラネットインターネット

IdP

SP

IceWall Identity Managerとクラウドプロビジョニングツールを連携させて、 IceWall SSOの認証

DBへの更新と、SaaSへのプロビジョニングを行います。

※1 IceWall Identity Managerは認証DBへ行った更新の履歴をCSVファイルへ出力することができます。これを使用してSaaSへのプロビジョニングを行います。 IceWall Identity Manager ※1 IceWall Federation クラウドプロビジョニングツールプロビジョニング実行 （OAuth 2.0+Web API）

(25)

IceWall Federation

OIDC ソーシャルログインの

ご紹介

(26)

26 ソーシャルログインとは

SNSなどのソーシャルアカウントでのWebサービスへの会員登録やログインを実現します。

Yahoo! ID Facebook Google 外部サイトの IDでログイン Yahoo! Japan

サービス利用者へのメリット

ソーシャルメディアへのリンクをクリック XXオンラインショップ _{XXオンラインショップ} MY PAGE ソーシャルメディアのログインID・パスワードを入力・送信目的のWebサイトへのログイン完了

 新規登録会員が大幅増。

 サイト離脱率、カート放棄率が改善し売上

がUP。

 ユーザー情報の管理負荷が軽減。

サービス運用者へのメリット

 新しくID・パスワードを記憶する必要なし。

 スマートフォン等でのログイン操作がより

簡単。

 会員登録フォームへの入力がラク。

ソーシャルログイン使用イメージ

※ソーシャルログインの実装方法は各Webサービスによって異なります。ここでは実現例を挙げています。 ID パスワード Yahoo IDでログイン

(27)

IceWall Federation OIDC ソーシャルログイン

※1 OpenID Connect OAuth 2.0をベースとする次世代認証アイデンティティシステムの最新標準規格。OpenID Foundationが仕様を策定。 ※2 OP(OpenID Provider) トークンを発行する側。ユーザーはログインしてトークンを取得する。（SAMLのIdPに相当）

※3 RP（Relying Party）アプリケーションを提供する側。ユーザーはトークンを提示してサービスを受ける。（SAMLのSPに相当）

4

IceWall SSO IceWall サーバー IceWall Federation OIDCサーバー

Web アプリ

IceWall SSO 認証サーバー

RP

※3 Google Facebook Yahoo!Japan

OP

※2 LOG IN Yahoo! ID PW ※ OPから取得したユーザー属性情報がWebアプリに渡されます。取得できるユーザー属性や属性名はOP毎に異なります。 IceWall SSOの認証DBにユーザーを登録する必要はありません。 1. IceWall SSOのログイン画面にアクセス OPのログインボタンを選択 2. OPにログイン 3. ログインセッションを生成 4. IceWall SSO経由で Webアプリへアクセス

連携検証済みのOP (2016年12月現在)：

_{Yahoo! ID、Facebook、Google、LINE}

LOG IN Yahoo! ID Facebook Google

ユーザー

3

(28)

28 Office 365導入のための

乱立AD対応ソリューション

（オンプレミス型)

(29)

クラウド導入におけるシングルサインオンの課題

要望

現実

ADとクラウドサービスとの

シングルサインオンを実現したい！

ADで認証したい

ADを統合せずに

Office 365とのシングルサインオンを実現したい

AD FSでOffice 365とのシングルサインオンを実現するには

ADの統合が必須とされているが・・・

Office

365

Salesforce GoogleApps…

でも社内にADが乱立していて、

統合は無理・・・

信頼関係無管理が別々「野良AD」も存在 AD統合? ドメイン統合? ID統合?

無理!

(30)

30 Office 365導入のための

乱立AD対応ソリューション（オンプレミス型)

クラウドIDのドメインを AA.COMに統一ローカルドメイン AA-CORP.COM ローカルドメイン AA.LOCAL AD FS AD FS IceWall SSO 社内社外ローカルID taro@AA-CORP.COM ローカルID y-jiro@AA.LOCAL ローカルID saburo@AA.CO.JP IceWall Federationが 認証要求を振り分け・中継

ユーザーはローカルのADにログインするだけでOffice 365にシングルサインオン。

AD統合不要！

LDAPなどAD以外のリポジトリは IceWall SSOで対応

Office 365

認証要求クラウドID taro@AA.COM jiro@AA.COM saburo@AA.COM (クラウドID) → （ローカルID） taro@AA.COM → taro@AA-CORP.COM jiro@AA.COM → y-jiro@AA.LOCAL saburo@AA.COM→ saburo@AA.CO.JP 認証要求認証要求認証要求ローカルドメイン AA.CO.JP Salesforce GoogleApps…

社内のADの構成に影響を受けずに、

クラウド環境とのID統合、およびADとクラウド環境とのシングルサインオンを実現

(31)

(32)

32 お問い合わせおよび周辺サービス

各種サービス

• 導入サービス • コンサルティングサービス • エンジニア様向け技術トレーニング • 海外拠点への導入・コンサルティングサービス

お電話でのお問い合わせ

（日本ヒューレット・パッカードカスタマー・インフォメーションセンター）

0120-268-186 / 03-5749-8279

（携帯電話・PHSから）

受付時間：月曜日～金曜日 9:00-19:00 土曜日 10:00-17:00

（日、祝祭日、年末年始および5月1日を除く）

Webフォームからのお問い合わせ

http://www.hpe.com/jp/iw-contact

(33)

IceWallソフトウェア認証連携（フェデレーション）ソリューションIceWallFederationのご紹介