IceWallソフトウェア
認証連携(フェデレーション)ソリューション
IceWall Federationの
ご紹介
日本ヒューレット・パッカード株式会社
テクノロジーコンサルティング事業統括
IceWallソフトウェア本部
2016年12月更新 ver.4.42
© Copyright 2011 - 2016 Hewlett Packard Enterprise Development LP
目次
1. 統合認証基盤に求められる新たなニーズ
2. IceWall Federation /
IceWall Federation Agentのご紹介
3. IceWall Federation
クラウドプロビジョニングツールのご紹介
4. IceWall Federation
OIDC ソーシャルログインのご紹介
5. Office 365導入のための
乱立AD対応ソリューション(オンプレミス型)
6. お問い合わせ
統合認証基盤に求められる
新たなニーズ
4
© Copyright 2011 - 2016 Hewlett Packard Enterprise Development LP
急速なクラウド普及により、セキュリティ対策 および利便性向上の両面において、
改めてシングルサインオンの需要が急増しています。
クラウド普及に伴う新たな課題
+
ユーザーオンプレミス /プライベートクラウド
(企業内)
パブリッククラウド
(企業外)
ユーザ個別にID/パスワードを 作成・更新されたら把握しきれない 管理工数的にも セキュリティ的にも心配… ログの入手や管理はプロバイ ダーに依存… いざという時は 迅速な対応が必要なのに… 社内のWebアプリも外部の Webサービスも同じように利用したい (シングルサインオンしたい)んだけど…認証基盤
管理者認証連携(フェデレーション)を利用することで、
パブリッククラウドへもセキュアなアクセス/シングルサインオンが実現できます。
認証連携(フェデレーション)による解決
ユーザー 管理者+
社内システムからパブリック クラウドへシングルサインオン統合認証基盤
(IceWall SSO)
社内システムからのアクセス (ログイン)のみとすることで、 管理工数およびセキュリティ リスクを軽減オンプレミス /プライベートクラウド
(企業内)
パブリッククラウド
(企業外)
6
© Copyright 2011 - 2016 Hewlett Packard Enterprise Development LP
パブリッククラウドを利用する際の課題と
認証連携による解決
*パブリッククラウドへのダイレクトなアクセスを許可しない運用には、クラウドサービス側での設定が必要です。 認証基盤、認証連携にその機能はありません。パブリッククラウドを利用する際の課題
認証連携による解決
パブリッククラウドに対し、企業でのセキュリティ ポリシー整備及びルール化が未対応 スモールスタートが可能なため、部門単位での 契約となりセキュリティポリシー適用が困難 ブラウザがあればログインできるため、どのよう なPCからもアクセス可能となってしまう。また、ロ グの集中管理も困難 パブリッククラウドへのアクセスに統合認証基盤 を使用することによって、認証におけるセキュリ ティポリシーを全社に適用可能に 社内イントラネットからパブリッククラウドへの SSOを実現し、ユーザーの利便性、生産性の向 上が可能に パブリッククラウドへのアクセスを統合認証基盤 (社内イントラネット)経由にする*ことにより、ログ の集中管理が可能に パブリッククラウドにダイレクトにアクセスを許可 しない運用*によって社内に認証可能なPCから のみパブリッククラウドを使用させることも可能 に パブリッククラウドのID、パスワードは別管理と なり、クラウド側のID消し忘れ等のリスクや運用 工数が増加。ユーザーの利便性も低下【Tips】 認証連携の仕組み(SAMLの場合)
IdP(Identity Provider)
【サイトA】
SP(Service Provider)
【サイトB】
■ユーザーはIdPにID,PWDなどを入 力して認証を受ける ■認証を受けた後はSPに直接アクセ スしてサービスを利用する 信 頼 関 係 ■SPはIdPから送られた認証情報を受け て、ユーザーにアクセスを許可する。 ※IdPとSP間の送受信はSAML, Shibboleth, OpenIDなどの標準仕様が使用される① IdP【サイトA】にログイン
② ユーザーが
認証済みであること
をIdPからSPへ伝達
③ SP【サイトB】に、
ID/パスワードの入力なしで
アクセス可能に
ユーザー
ユーザーのID/パス ワードが登録済み IdP(Identity Provider): IDを管理して認証を行うサイト SP(Service Provider): 実際のサービスを提供するサイトあらかじめIdPとSP間で
信頼関係を結ぶ
■IdPはユーザーを認証し SPに認証情報(IDや属性 情報)を送る リバースプロキシ サーバー 認証サーバー/ 認証DB IceWall SSO ソリューション Federation サーバー8
© Copyright 2011 - 2016 Hewlett Packard Enterprise Development LP
【Tips】 認証連携の仕組み(OpenIDの場合)
OP(OpenID Provider)
【サイトA】
■OPはユーザー情報(ID,PWDなど) を管理する ■ユーザーはOPにID,PWDなどを入 力して認証を受ける ■RPがOPに認証を依頼し、認証結果を 受け取る ■サイト間の通信にはOpenID 2.0を使用 する OP(OpenID Provider) : IDを管理して認証を行うサイト RP (Relying Party) : 実際のサービスを提供するサイト①RPにアクセス
③ OPにログイン
④認証結果の
検証を要求
②RPからOPへ
認証を要求
ユーザーのID/パス ワードが登録済み リバースプロキシ サーバー 認証サーバー/ 認証DB IceWall SSO ソリューション Federation サーバーユーザー
■ユーザーがRPにアクセスする。 ■認証を受けるOPを、RPの画面 上で選択する。RP(Relying Party)
【サイトB】
IceWall Federation/
10
© Copyright 2011 - 2016 Hewlett Packard Enterprise Development LP
IceWall Federation / IceWall Federation Agent
IceWall Federation/ IceWall Federation Agentは、パブリッククラウドやプライベートクラウド環境と
認証連携(フェデレーション)により、シングルサインオンを実現します。
IdP
認証連携 Google AppsSP
salesforce.comSP
パブリッククラウド
プライベートクラウド
ADFSに対応したサービスSP
IceWall Federation Agentを使用して SAML SP化したアプリケーション ユーザーは IdPにログインすれば SPも利用可能に IdPはSPに ユーザー属性や 認証済であることなど 認証連携に必要な情報を 譲渡 IceWall Federation Agent
IdP(Identity Provider) : IDを管理して認証を行うサイト
SP (Service Provider) : 実際のサービスを提供するサイト Office 365
SP
IceWall Federation IceWall SSO 基本構成SP
ユーザーIceWall SSO 10.0のご購入で、IceWall Federationも追加費用無しでご使用いただけます。 IceWall Federation Agentは別途ご購入が必要です。
IceWall Federationとは
※IceWall FederationはIceWall SSO 10.0 購入で標準提供されます。
接続確認ができているサービスの最新状況は弊社Webページをご確認ください。
IceWall Federation
※
は、認証連携における
IdP(Id Provider)
機能を提供
するものです。
SaaSサービス等SP(Service Provider)とのシングルサインオ
ンを実現します。
Bulas Fileforce 福利厚生倶楽部 Box SECURE DELIVER GigaCC e-革新サービス Google Apps Salesforce Platform Office 365 クリプト便 cybozu.com KDDI Knowledge Suite(GRIDY) 出張なび
2016年12月現在、SPとして接続が確認できているサービス/ソフトウェア
HPE Service Anywhere Aruba ClearPass ShibbolethのSP Windows Azure SharePoint ADFS 2.0
他、多数
12
© Copyright 2011 - 2016 Hewlett Packard Enterprise Development LP
IceWall Federationの強み
安心・迅速な環境構築を担保する「接続保証」
一般的な認証連携(フェデレーション)
機能提供製品
導入時
特定の対象サービス(SP)のインタフェースに 合わせ、SAML等、適用する標準仕様の詳細を理解 し、自身で設定・接続検証をする必要があります。運用時
万が一、本番運用において障害が発生した場合、 個々の標準仕様におけるエラーは、自身で解析して から各社製品窓口に問い合わせる必要があります。導入時
日本ヒューレット・パッカードにて適切な標準仕様を 用い、各サービス(SP)単位での接続検証をしている ため、安心かつ 迅速に環境構築を行うことができま す。運用時
接続検証された対象サービス(SP)との接続に おいて障害が発生した場合、日本ヒューレット・パッ カードから問題解決のためのサポートを受けることが できます。IceWall Federation
認証連携(フェデレーション)機能を提供する製品の多くは、SAML等の「標準仕様に対応」していま
すが、各サービスとの接続確認/検証はユーザー任せという製品も 少なくありません。IceWall
Federationは
各仕様ではなく、実際の各サービスとの接続検証を行っている
ため、安心・迅速な環
境構築が可能です。
Office 365との認証連携
IceWall SSOの認証(ログイン)でOffice 365にアクセスできます
ユーザー
リバースプロキシ サーバー 認証サーバー/ 認証DB IceWall SSO ソリューション Federation サーバー③サービスには
直接アクセス
①認証は
IceWall SSOで行う
Office 365
Webブラウザー デスクトップアプリ ・Outlookクライアント ・Lyncクライアント ・その他クライアント②Office365と
IceWallSSOが
認証連携
(WS-Federation) 他のWeb AP (※) ※ Webブラウザーからのアクセスでは、 他のWebアプリケーションともシングルサインオンができます。 アプリOffice 365のサービス
・Outlook ・Lync ・SharePoint ・Word/Excel/ PowerPoint Online など LOG IN ID PW14
© Copyright 2011 - 2016 Hewlett Packard Enterprise Development LP
IceWallはOffice 365との認証連携にも強い
*「IceWall Federation 3.0 Patch 8」のインストールが必要です。 *他のサービス/アプリについて検証の状況については お問い合わせ下さい。 PCデスクトップアプリによるアクセス Outlook Lync Word/Excel/PowerPoint/OneNote スマートフォンアプリケーションによるアクセス メールアプリ スケジュールアプリ アドレス帳アプリ Lync
「Office 365」との連携機能で
マイクロソフトの認定を取得
IceWallはマイクロソフトの「Works with Office 365 - Identity program」の
認証連携「サードパーティーIDプロバイダー」として、
国産製品としては初の認定製品です。
Webブラウザーによるアクセス
Outlook Web App (OWA) Lync Web App
Word/Excel/PowerPoint/OneNote Online SharePointチームサイト
OneDrive (Webブラウザー)
※IceWall FederationをIceWall SSOと同一サーバー上で稼働させることも可能です。
ユーザー 各種クラウドサービスIceWall Federationを利用してIdPサイトを構築する際の基本的な構成です。
IceWall 認証サーバー IceWall SSO IceWall サーバー IceWall Federation サーバーIdP
IceWall FederationIceWall Federation 基本構成
SP
Webアプリ 認証連携(SAMLなど)16
© Copyright 2011 - 2016 Hewlett Packard Enterprise Development LP
IceWall Federation Agentとは
※本モジュールをインストールしたアプリケーションはSAML SPになります。
※連携可能なIdPで認証したユーザーに対してセッションを発行し、
IceWall Federation Agentを導入したアプリケーションへのアクセスを許可します。
IceWall Federation Agent
※
は、認証連携における
SP
(Service Provider)機能
を提供するものです。
Webサーバーを容易にSP化させるためのエージェント機能を
提供します。
SPでユーザー情報は保持せず、IdPから送られる認証結果やユーザー情報をもとにアプ
リケーションを利用する場合の基本構成例です。
IceWall 認証サーバー IceWall SSO IceWall サーバー IceWall Federation サーバーIdP
IceWall FederationIceWall Federation Agent 基本構成例
SP
Webアプリ
IceWall Federation Agent を導入した Webサーバー
IceWall Federation Agent
認証連携(SAML)
18
© Copyright 2011 - 2016 Hewlett Packard Enterprise Development LP
IceWall 認証サーバー IceWall SSO IceWall サーバー IceWall Federation サーバー
IdP
IceWall Federation WebアプリSPでもユーザー情報を保持し、IdPから受け取る認証結果とは別に、SP側で管理された
ユーザー情報を使用してアプリケーションを利用する場合の応用構成例です。
IceWall Federation Agent 応用構成例
SP
IceWall Federation Agentと IceWall MCRPを導入した Webサーバー
IceWall Federation Agent
+ IceWall MCRP
SP側でユーザー 情報を管理する 認証DB
※この応用構成例のケースでは、SP側に「IceWall Federation Agent」以外に
別途「IceWall MCRP」及び「IceWall SSOユーザーライセンス」が必要です。
認証連携(SAML)
ユーザー
IceWall Federationおよび、 IceWall Federation Agentの対応プラットフォームです。
分類
IceWall Federation
IceWall Federation Agent
OS Red Hat Enterprise Linux
Windows Server Red Hat Enterprise Linux Webサーバー Apache Tomcat Apache HTTP Server
その他に必要な ソフトウェア
IceWall Federationの動作には、別途、 IceWall SSOが必要です。IceWall SSO の対応バージョンは以下のとおりです。 ・IceWall SSO 8.0 R3以降 ・IceWall SSO 10.0 以降 •基本構成の場合には、SP側にその他に必 要なソフトウェアはありません。 •応用構成の場合に必要となるその他のソフ トウェアに関しては、別途お問い合わせくだ さい。 ※2016年12月時点の情報です。 ※更新される可能性があります。 ※詳細は下記サポートマトリクスをご参照ください。 http://h50146.www5.hpe.com/products/software/security/icewall/federation/hardware_requirements.html
IceWall Federation /
20
© Copyright 2011 - 2016 Hewlett Packard Enterprise Development LP
IceWall Federation
クラウドプロビジョニングツールの
ご紹介
認証連携には、クラウドサービス側(SP)とIceWall SSO側(IdP)の双方にユーザーの登録
が必要です。
認証DB IceWall SSO IceWallFederation ユーザーAIdP
認証連携で必要となるIDプロビジョニング
ユーザーAの情報を
双方に登録
認証連携
各種クラウドサービスSP
ユーザー情報DB ユーザーA 方式 特徴 サービスが提供する 管理画面を使用 ・ブラウザーでの操作で、特別なSWが不要。少数のユーザーであれば簡単。 ・大量ユーザーの操作やバッチ処理は不可。 サービスが提供する Web APIを使用 ・クラウドサービス側のWeb APIが公開されていることが前提。 ・ツールやプログラムが必要。 ・大量ユーザーの操作やバッチ処理、自動化が可能。クラウドサービスへのユーザ登録方法 比較
ユーザーA
22
© Copyright 2011 - 2016 Hewlett Packard Enterprise Development LP
IceWall Federation クラウドプロビジョニング ツール
IceWall Federation クラウドプロビジョニングツール
イントラネット
インターネット
③実行履歴ログ出力
①-1 コマンドで起動
①-2バッチから起動
java … CreateGAppsUser … user1 …… Java … CreateGAppsUser … user2…… …….. > java … CreateGAppsUser … user1
Google Apps
Salesforce
Office 365
SaaSのユーザーについて 以下の操作が可能 ・登録 ・更新 ・削除 ・参照※IceWall SSO 10.0およびIceWall Federation 3.0をご購入/ご使用のお客様は無償でご使用いただけます。
※リリース当初はSalesforce, Google Apps, Office 365をサポートします。その他のSaaSについてはお問い合わせ下さい。 ②プロビジョニング実行
(OAuth 2.0+Web API)
Salesforce, Google Apps, Office365などのパブリッククラウドサービス(SaaS)へのスムーズな
ユーザー登録および削除を支援するIDプロビジョニングツールです。
• 標準規格である「OAuth2.0」と各SaaSのWeb APIに対応。複数のSaaSへの対応が可能 • 複数ユーザーの一括登録/削除/更新が可能。(IceWall SSO 一括登録ツールを併用) • 認証DBに対して一括登録/一括削除を行う際のユーザーデータを、そのままSaaS側のプロビジョニング用 ユーザーデータとして使用することが可能。(IceWall SSO 一括登録ツールを併用) LOGSaaSとIceWall SSOとの同期イメージ
IceWall SSOの一括登録ツール
※1を使用すると、ユーザー操作(登録・変更・削除)を一括して
SaaSとIceWall SSOの認証DBへ行うことができます。
※1IceWall SSO の実行環境を構築するために必要なユーザー情報を一括で登録することを支援するツール。 ※2IceWall SSO 一括登録ツールでクラウドプロビジョニングツールを起動するスクリプトを生成します。 ○○○ SaaS用テンプレート ユーザーデータ User1Pass1 User2 Pass2 …… IceWallサーバー/ 認証サーバー 認証DB (RDB, LDAPなど) △△△ DB用テンプレート DBアクセス プログラム またはコマンドDBアクセス
スクリプトを生成
※2スクリプトを生成
IceWall SSO 一括 登録ツール ※1 IceWall SSO 一括 登録ツール ※1 Salesforce Google Apps Office 365 イントラネット インターネットIdP
SP
プロビジョニング実行 (OAuth 2.0+Web API)IceWall Federation
クラウドプロビジョニング ツール
24
© Copyright 2011 - 2016 Hewlett Packard Enterprise Development LP
IceWall Identity Managerとの連携イメージ
○○○ SaaS用テンプレート ユーザーデータ User1Pass1 User2 Pass2 …… IceWallサーバー/ 認証サーバー 認証DB (RDB, LDAPなど)
DBアクセス
スクリプトを生成
IceWall SSO 一括 登録ツール Salesforce Google Apps Office 365 イントラネット インターネットIdP
SP
IceWall Identity Managerとクラウドプロビジョニングツールを連携させて、 IceWall SSOの認証
DBへの更新と、SaaSへのプロビジョニングを行います。
※1 IceWall Identity Managerは認証DBへ行った更新の履歴をCSVファイルへ出力することができます。これを使用してSaaSへ のプロビジョニングを行います。 IceWall Identity Manager ※1 IceWall Federation クラウドプロビジョニング ツール プロビジョニング実行 (OAuth 2.0+Web API)
IceWall Federation
OIDC ソーシャルログインの
ご紹介
26
© Copyright 2011 - 2016 Hewlett Packard Enterprise Development LP
ソーシャルログインとは
SNSなどのソーシャルアカウントでのWebサービスへの会員登録やログインを実現します。
Yahoo! ID Facebook Google 外部サイトの IDでログイン Yahoo! Japanサービス利用者へのメリット
ソーシャルメディアへの リンクをクリック XXオンラインショップ XXオンラインショップ MY PAGE ソーシャルメディアの ログインID・パスワードを入力・送信 目的のWebサイトへの ログイン完了 新規登録会員が大幅増。
サイト離脱率、カート放棄率が改善し売上
がUP。
ユーザー情報の管理負荷が軽減。
サービス運用者へのメリット
新しくID・パスワードを記憶する必要なし。
スマートフォン等でのログイン操作がより
簡単。
会員登録フォームへの入力がラク。
ソーシャルログイン使用イメージ
※ソーシャルログインの実装方法は各Webサービスによって異なります。ここでは実現例を挙げています。 ID パスワード Yahoo IDでログインIceWall Federation OIDC ソーシャルログイン
※1 OpenID Connect OAuth 2.0をベースとする次世代認証アイデンティティシステムの最新標準規格。OpenID Foundationが仕様を策定。 ※2 OP(OpenID Provider) トークンを発行する側。ユーザーはログインしてトークンを取得する。 (SAMLのIdPに相当)
※3 RP(Relying Party) アプリケーションを提供する側。ユーザーはトークンを提示してサービスを受ける。 (SAMLのSPに相当)
4
IceWall SSO IceWall サーバー IceWall Federation OIDCサーバーWeb アプリ
IceWall SSO 認証サーバーRP
※3 Google Facebook Yahoo!JapanOP
※2 LOG IN Yahoo! ID PW ※ OPから取得したユーザー属性情報がWebアプリに渡されます。取得できるユーザー属性や属性名はOP毎に異なります。 IceWall SSOの認証DBにユーザーを登録する必要はありません。 1. IceWall SSOの ログイン画面にアクセス OPのログインボタンを選択 2. OPにログイン 3. ログインセッションを生成 4. IceWall SSO経由で Webアプリへアクセス連携検証済みのOP (2016年12月現在):
Yahoo! ID、Facebook、Google、LINE
LOG IN Yahoo! ID Facebook Google
ユーザー
3
28
© Copyright 2011 - 2016 Hewlett Packard Enterprise Development LP
Office 365導入のための
乱立AD対応ソリューション
(オンプレミス型)
クラウド導入におけるシングルサインオンの課題
要 望
現 実
ADとクラウドサービスとの
シングルサインオンを実現したい!
ADで認証したい
ADを統合せずに
Office 365とのシングルサインオンを実現したい
AD FSでOffice 365とのシングルサインオンを実現するには
ADの統合が必須とされているが・・・
Office
365
Salesforce GoogleApps…でも社内にADが乱立していて、
統合は無理・・・
信頼関係無 管理が別々 「野良AD」も存在 AD統合? ドメイン統合? ID統合?無理!
30
© Copyright 2011 - 2016 Hewlett Packard Enterprise Development LP
Office 365導入のための
乱立AD対応ソリューション(オンプレミス型)
クラウドIDのドメインを AA.COMに統一 ローカルドメイン AA-CORP.COM ローカルドメイン AA.LOCAL AD FS AD FS IceWall SSO 社内 社外 ローカルID taro@AA-CORP.COM ローカルID y-jiro@AA.LOCAL ローカルID saburo@AA.CO.JP IceWall Federationが 認証要求を振り分け・中継ユーザーはローカルのADにログインするだけでOffice 365にシングルサインオン。
AD統合不要!
LDAPなどAD以外の リポジトリは IceWall SSOで対応Office 365
認証要求 クラウドID taro@AA.COM jiro@AA.COM saburo@AA.COM (クラウドID) → (ローカルID) taro@AA.COM → taro@AA-CORP.COM jiro@AA.COM → y-jiro@AA.LOCAL saburo@AA.COM→ saburo@AA.CO.JP 認証要求 認証要求 認証要求 ローカルドメイン AA.CO.JP Salesforce GoogleApps…社内のADの構成に影響を受けずに、
クラウド環境とのID統合、およびADとクラウド環境とのシングルサインオンを実現
32
© Copyright 2011 - 2016 Hewlett Packard Enterprise Development LP