クラウド&モビリティ時代に
求められる統合認証基盤
IceWall SSOのご紹介
-日本ヒューレット・パッカード株式会社
テクノロジーコンサルティング事業統括
IceWallソフトウェア本部
2017年8月更新 ver.8.0
2
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
目次
統合認証基盤(シングルサインオンソリューション)とは
統合認証基盤が必要な理由
統合認証基盤に求められる新たなニーズ
- クラウドおよびモビリティ環境への対応
クラウド環境の認証課題を解決する
”認証連携(フェデレーション)”
モビリティ環境の認証課題を解決する“モバイルSSO“
リアルタイムWeb利用分析ソリューション“
IceWall SSOのご紹介
IceWall SSO
IceWall Federation
IceWall SSO モバイルソリューション
IceWall SSO ワンタイムパスワードソリューション
IceWall SSOリアルタイムWeb利用分析ソリューション
IceWallソフトウェア 検証環境 評価キットのご紹介
お問い合わせ
統合認証基盤
(シングルサインオン
ソリューション)とは
4
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
どんなITサービスを利用する上でも「認証」は必須
ユーザー
Active
Directory
Windows
アプリ
Webアプリ
クライアント
サーバーアプリ
ログイン
ログイン
(Windows認証)
オンプレミス/プライベートクラウド
(企業内)
パブリッククラウド
(企業外)
ログイン
ログイン
統合認証基盤(シングルサインオン)
の必要性が高まる
「認証」が必要なITサービスや
ユーザー数が多いほど、
UNIX
UNIX
salesforce.com
G Suite
(旧Google Apps)
Office 365
– 複数の異なるアプリケーションを使用する際、
– 1回のログイン(ユーザー認証)だけでアクセスを可能にするソリューション
シングルサインオン(SSO)とは?
SSO導入済み
SSO未導入
LOG IN
ID
PW
LOG IN
ID
PW
LOG IN
ID
PW
LOG IN
ID
PW
アプリケーション使用時は
ID/パスワードの入力は
1回だけ!!
異なるアプリを使う
度に ID/パスワード
の入力が 必要
…
WebアプリA
WebアプリA
WebアプリB
WebアプリC
WebアプリB
WebアプリC
ユーザー
ユーザー
シングル
サインオン
6
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
統合認証基盤が
必要な理由
「認証」における様々な悩み
– 様々なITサービス(アプリケーション)の利用に必ず伴う「認証」。しかし利用者、IT管理者、アプリ
ケーション開発者、経営者がそれぞれ抱える悩みは様々です。
利用者
経営者
• 多くのIDとパスワード
• アプリケーション毎に煩雑
なアクセス操作
管理者
開発者
経営者
• 膨大な利用者情報の管理
( ID・パスワード・属性情報
etc)
• 膨大なアクセス制御の管理
• アプリケーション毎に開発
が必要な認証機能
• プリケーション同士の 複
雑な連携
• サイロ化された非効率な
システムの増加
• 内部および外部からの不正
アクセスによる情報漏洩
(セキュリティリスク)
• 運用コストの増大
IceWall SSO(統合認証基盤)の導入で一挙解決
8
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
LOG IN
ID
PW
統合認証基盤による解決①
多数のパスワード管理、煩雑なログイン操作からの解放
– 利用者は自ら管理するパスワード数が減り、また異なるアプリケーションにアクセスする
度に発生する認証情報の入力が不要に。
利用者
LOG IN ID PW LOG IN ID PW LOG IN ID PW認証基盤 導入済み
認証基盤 未導入
ユーザー
異なるアプリを使う度に
ユーザー
ID/パスワードの
入力が必要
…
アプリケーション
使用時、
ID/パスワードの
入力は1回だけ!!
統合認証基盤
(IceWall SSO)
– 管理者はアプリケーション毎に設定された利用者情報(IDやパスワードなど)を
一元化 でき、膨大な情報管理が簡素化可能に。
統合認証基盤による解決②
利用者情報の一元化による管理の簡素化
管理者
ID=A12345
パスワードポリシー:英数字6文字以上
ID=YAMADA11
パスワードポリシー:数字+アルファベット
ID=T_YAMADA
パスワードポリシー:数字+大文字+小文字+記号
自動ログイン
自動ログイン
自動ログイン
ID=TaroYamada
パスワードポリシー:
英数字+記号、8桁以上
ユーザー
管理者
管理者
アプリ毎に異なるIDと
パスワードポリシー
…
管理しきれない
…
認証に必要な利用者
情報は一元化。
管理しやすい!
認証基盤 導入済み
認証基盤 未導入
ユーザー
ブラウザーを
エミュレートして
自動ログイン
統合認証基盤
(IceWall SSO)
Webアプリ
Webアプリ
10
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
認証基盤 未導入
ユーザー
Webアプリ
Webアプリ
Webアプリ
誰がどの情報に
アクセスしたか
不明…
抜け道がある
IDが曖昧で
アクセス制御も
効果がない
ユーザーが誰か
不明(IDが多数)
– 管理者はユーザー 認証から各アプリケーションへのアクセス制御やアクセスログを
一元化でき、シンプルかつセキュアな管理を実現。
統合認証基盤による解決③
アクセス制御・アクセスログの一元管理
誰をどこにアクセス
させるか集中制御
セキュアな
アクセス
管理者
アクセスログ
の 一元管理
管理者
認証基盤 導入済み
統合認証基盤
(IceWall SSO)
ユーザー
– 開発者は認証・認可機能の開発を本来のアプリケーション開発から切り離せ、 開発期間・
工数の削減が可能に。また既存アプリケーションにおいても、認証・認可機能を付与が容易に。
統合認証基盤による解決④
アプリケーション開発コストの削減
開発者
ビジネス
ロジック
アプリケーション
アプリケーション
認証・認可機能の
開発は不要!
既存アプリケーション
との連携も容易
ビジネス
ロジック
認証
認可
アプリ毎に認証・
認可機能の
開発が発生
…
ID/PWD
ID/PWD
ID/PWD
ID/PWD
ID/P
W
D
認証
認可
認証基盤 導入済み
認証基盤 未導入
ビジネス
ロジック
認証
認可
ビジネス
ロジック
認証
認可
ビジネス
ロジック
認証
認可
ビジネス
ロジック
ビジネス
ロジック
ビジネス
ロジック
統合認証基盤
(IceWall SSO)
ユーザー
ユーザー
12
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
– 経営者はITシステムのサイロ化を防ぎ、ビジネスの変化に柔軟に対応できる標準化
されたインフラを手に入れることが可能に。
経営者
UI
認証・認可・証跡ログ
ビジネスロジック
ポータル
UI
ビジネスロジック
ビジネスロジック
DB
DB
防御セキュリティ
人事アプリ
営業アプリ
クラウドサービス
統合認証基盤(IceWall SSO)
UI
認証
ビジネスロジック
UI
防御セキュリティ
営業アプリ
DB
認証
ビジネスロジック
UI
防御セキュリティ
人事アプリ
DB
全体最適化されたITシステム
サイロ化したITシステム
統合認証基盤による解決⑤
標準化された変化に柔軟なITシステムの構築
クラウドサービス
認証
UI
認証基盤 導入済み
認証基盤 未導入
salesforce.com
G Suite
(旧Google Apps)
Office365
salesforce.com
G Suite
– 悪意のある第三者による不正侵入や脆弱性攻撃など、「認証」における様々な
セキュリティリスクを回避・軽減が可能に。
統合認証基盤による解決⑥
内部および外部からのセキュリティリスクの軽減
ID/パスワード
情報等などが
漏洩
外部侵入者
内部侵入者
個別のセキュリティ
対策による人的ミス
や脆弱性が増加…
⇒不正アクセスを許
容
正規ユーザー
管理者
管理者
管理者
経営者
外部侵入者
内部侵入者
正規ユーザー
認証・認可・管理・
監査証跡を
統合的に行え、
強度な
セキュリティを提供
認証基盤 導入済み
認証基盤 未導入
統合認証基盤
(IceWall SSO)
侵入
各アプリケーション
をバックエンドに
配置することで 、
脆弱性攻撃からも
保護
Webアプリ
Webアプリ
14
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
数値で見る導入効果
アプリの数
1
5
10
15
20
開発費
1
5
10
15
20
運用費
1
5
10
15
20
ユーザーコスト
1
5
10
15
20
セキュリティリスク
*1
1
5
10
15
20
時間*
2
1
5
10
15
20
認証基盤無し
5
25
50
75
100
アプリの数
1
5
10
15
20
目標例
開発費
3
6.2
10.2
14.2
18.2 開発費を20%削減
運用費
3
5.4
8.4
11.4
14.4 運用費を40%削減
ユーザーコスト
1
1
1
1
1 アプリの数に依存せず
セキュリティリスク
*1
3
5
7.5
10
12.5 リスクを50%削減
時間
*2
3
5.8
9.3
12.8
16.3 30%時間を節約
認証基盤有り
13
23.4
36.4
49.4
62.4
IceWall SSO 未導入
IceWall SSO 導入後
*1・・・セキュリティの対策およびセキュリティ被害によるコスト
*2・・・サービス開始までの時間発生によるコスト
※本数値は弊社実績に基づくシミュレーションです。
実際のコスト(金額)ではありません。また構成や要件により大きく変動します
。
0
20
40
60
80
100
1
5
10
15
20
・・・認証基盤有
・・・認証基盤無
IceWall SSO(統合認証基盤)の導入はユーザーの利便性の向上はもちろん、
運用の効率化、アプリケーション開発の効率化、
セキュリティリスクの軽減など、様々な効果が期待できます。
統合認証基盤に求められる
新たなニーズ
16
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
クラウド&モビリティ時代のIT利用
~any devices, anywhere accesses
IT部門が処理の流れを把握出来ない
セキュリティ・利便性・接続性に課題
社内ユーザー
社外ユーザー(Remote)
On Premise
社内イントラ
Public Cloud
SaaSサービス
クラウド&モビリティ時代のIT利用
~any devices, anywhere accesses
社内ユーザー
社外ユーザー(Remote)
On Premise
社内イントラ
Public Cloud
SaaSサービス
モバイルからもSSO!クラウドサービスへもSSO!
高セキュリティの統合認証ソリューションが必要な時代に
IceWall なら一挙解決
統合認証
基盤
モバイル
ワンタイム
パスワード
認証連携
(Federation)
IceWall
ログ
Web利用分析
クラウド環境の認証課題を解決する
+
クラウド普及に伴う新たな課題
急速なクラウド普及により、セキュリティ対策 および利便性向上の両面において、
改めてシングルサインオンの需要が急増しています。
ユーザー
オンプレミス /プライベ ートクラ ウド
( 企業内)
パブリッ ククラ ウド
( 企業外)
ユーザ個別にID/パスワードを
作成・更新されたら把握しきれない
管理工数的にも
セキュリティ的にも心配
…
ログの入手や管理はプロバイ
ダーに依存
… いざという時は
迅速な対応が必要なのに
…
社内のWebアプリも外部の
Webサービスも同じように利用したい
(シングルサインオンしたい)んだけど
…
認証基盤
管理者
20
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
ユーザー
認証連携(フェデレーション)による解決
管理者
認証連携(フェデレーション)を利用することで
パブリッククラウドへもセキュアなアクセス/シングルサインオンが実現できます。
+
社内システムからパブリック
クラウドへシングルサインオン
統合認証基盤
(IceWall SSO)
社内システムからのアクセス
(ログイン)のみとすることで、
管理工数およびセキュリティ
リスクを軽減
オンプレミス /プライベ ートクラ ウド
( 企業内)
パブリッ ククラ ウド
( 企業外)
【Tips】 認証連携の仕組み(SAMLの場合)
IdP(Identity Provider)
【サイトA】
SP(Service Provider)
【サイトB】
■ユーザーはIdPにID,PWDなどを入
力して認証を受ける
■認証を受けた後はSPに直接アクセ
スしてサービスを利用する
信
頼
関
係
■SPはIdPから送られた認証情報を受け
て、ユーザーにアクセスを許可する。
※IdPとSP間の送受信はSAML, Shibboleth,
OpenIDなどの標準仕様が使用される
① IdP【サイトA】にログイン
② ユーザーが
認証済みであること
をIdPからSPへ伝達
③ SP【サイトB】に、
ID/パスワードの入力なしで
アクセス可能に
ユーザー
ユーザーのID/パス
ワードが登録済み
IdP(Identity Provider)
:
IDを管理して認証を行うサイト
SP(Service Provider)
:
実際のサービスを提供するサイト
あらかじめIdPとSP間で
信頼関係を結ぶ
■IdPはユーザーを認証し
SPに認証情報(IDや属性
情報)を送る
リバースプロキシ
サーバー
認証サーバー/
認証DB
IceWall SSO ソリューション
Federation
サーバー
モビリティ環境の認証課題を解決する
モバイルデバイス活用に伴う課題
企業においてもスマートフォンやタブレット端末を利用したモビリティ環境から社内ITシステム
にアクセスし、業務を行うモバイルワークの導入が進む一方、セキュリティ対策は大きな課題
であり、これまで以上に「認証」「認可」「アクセス管理」「監査証跡」を行う統合認証基盤の重要
性が増しています。
さらにモビリティ環境においては、従来のPC環境とは異なるユーザビリティゆえに、それらを
損なわない操作性と利便性を維持できるSSO(シングルサインオン)ソリューションが求められ
ます。
ユーザー
管理者
スマートフォン画面上で
毎回複雑なIDとパスワード
を入力してログインするの
はミスタッチも多くて
…
不便
…
スマートフォンからの
アクセスを許可したものの、
やはりセキュリティが不安。
リーズナブルに認証強化
できないか
…
モビリティ環境で使用する
デバイスは多種多様。
スマートフォン以外の認証
にも対応が必要
…
ウチのWeb環境に適し
た機種を選びたいけど、
機種が多すぎて…
スマートフォンの
ブラウザーからは
Webサイトが見づらい
…
24
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
スマートフォンの
ブラウザーからは
Webサイトが見づらい…
モバイルSSO=IceWall SSOモバイルソリューション
による解決
スマートフォン画面上で毎回
複雑なIDとパスワードを入力して
ログインするのはミスタッチも多くて不便
…
スマートフォンからのアクセスを許可したものの
やはりセキュリティが不安。
リーズナブルに認証強化できないか
…
モビリティ環境で使用するデバイスは
多種多様。
スマートフォン以外の認証にも対応が必要
…
ウチのWeb環境に
適した機種を
選びたいけど
機種が多すぎて
…
スマートフォンからID/パスワードを入力しなく
ても簡単ログイン!!
スマートフォンで簡単・リーズナブルにワンタイ
ムパスワード認証!!
各種モバイルデバイスやアプリケーションが
持つ様々な情報を使って認証!!
PCだけでなくモバイルデバイスにも対応した
ツールやサポート
より快適なモビリティ環境の実現には
セキュアでリーズナブルな認証ソリューション=モバイルSSOが有効!!
膨大なWebアクセスログの管理を低コストに実現
リアルタイムに分析
“リアルタイムWeb利用分析
26
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
IceWall アクセスログにおけるWeb利用分析の課題
Webアプリ
(数+台~数百台)
IceWall SSO
ユーザー
全トランザクションが
IceWallサーバーを通過。
ピークで最大毎秒1万件
⇒
高速データロードが必要
数百万行から最大数百
億行にもなるビッグデータ
⇒オンライン保管、保管
コスト、分析時間が課題
認証サーバー
IceWall
サーバー
IceWallのアクセスログは
1. 全アプリの利用情報が集中
2. Webアクセスログより詳細な情報
⇒ 従来も部分的に利用されていた
IceWall
アクセスログ
LOG
認証DB
リアルタイムWeb利用分析ソリューションによる解決
①IceWallアクセスログをデータウェアハウスに高速ロード
生成され続けるIceWallアクセスログを、
高速にDWHにロードし、
瞬時に分析
可能な状態にする。(毎秒1万件でも問題なし)
②大量蓄積データの高速検索
DWHに蓄積された
大量のログデータ
に対するクエリーを
高速処理
③ 低コスト&高可用性
低価格
のシステム構成。
二重化
。
IceWall SSO とリアルタイムDB分析ソフトウェアHPE Vertica Analytics Platform
28
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
IceWall SSO + HPE Vertica Analytics Platform による
リアルタイムWeb利用分析ソリューション
各種DB
(プロファイル)
IceWall SSO
画像ログ削除
正規化
• ホスト名抽出
• IPアドレス=>地域
• URL整形
統合
• Profile
• グループ化
• 販売データ
処理
• ソート
• 順序付け
収集
収集
IceWall ETL Tool
(提供予定)
キャンペーンとして
反映
CRM
展開
営業
プロモーション
Salesforce
ロード
アクション
選択自由な
分析ツールa
リアルタイム解析
データウエアハウス
データ整形
高速データロード
高度な分析用
データソース
可視化
分析
レポート
BIツール
フォワーダー
認証サーバー
HPE Vertica
Analytics Platform
システム分析用
プロジェクション
ビジネス分析用
プロジェクション
C
A
B
ロード
C
A
B
LOG
ユーザー
IceWall SSO のご紹介
• IceWall SSO
• IceWall Federation
• IceWall SSO モバイルソリューション
• IceWall SSO ワンタイムパスワードソリューション
30
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
IceWall SSOとは
IceWall SSOは、シングルサインオンにより一度の認証で複数のWebアプリケーションへのロ
グインを実現し、さらにセキュリティと「アクセスコントロールの4A」の統合を実現する ソリュー
ションです。エージェントレスでOSやWebアプリケーションに制限の少ないリバースプロキシ方
式を主体としています。
Webアプリ
認証モジュール
IceWallサーバーからの要求
を受け、認証DB上の認証認
可情報と照合し、アクセスログ
を記録。
IceWall SSO
ユーザー
POINT
2
リバースプロキシ
すべてのトランザクションが
IceWallサーバーを通過。
認証認可チェックし、アタックを
防御。
POINT
1
Webアプリケーション
エージェントの配布が不要。
OSやWebアプリに制約が
少ない 。
POINT
3
IceWall SSO の基本構成
Webアプリ
Webアプリ
アクセスコントロール4A
・認証 ・認可
・管理 ・監査証跡
IceWall
サーバー
認証サーバー
認証DB
IceWall SSO 主な特長
主体のリバースプロキシ方式に加え、エージェント方式にも対応する他、
IceWall Federationを使用したクラウド環境への認証連携も実現します。
IceWall SSO の主な特長
IceWall SSO
リバースプロキシ方式
リバースプロキシ方式では
Webアプリケーションへの制約が少ない。
IceWall
サーバー
認証サーバー
POINT
4
エージェント方式
Webアプリケーションに直接アクセスが
可能なエージェント方式にも対応。
POINT
5
マルチプラットフォーム対応
HP-UX, Linux, Windowsの
いずれのOSでも構築可能。
POINT
6
ユーザー
クラウド
認証DB
クラウド連携
パブリッククラウド/ プライベートクラウドと
の認証連携も可能。
(IceWall Federationを使用)
POINT
7
認証連携
Webアプリ
Webアプリ
Webアプリ
32
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
【Tips】 リバースプロキシ方式のメリット
IceWall
サーバー
認証サーバー
認証DB
Webアプリケーション個別の対応が軽減
各Webアプケーション毎のセキュリティ対策は不要。
また、WebアプリケーションのOSやミドルウェアに依存せず。
Webアプリ
バックエンドのWebアプリケーションを防御
外部からはIceWallサーバーしか見えないため、
バックエンドのWebアプリケーションへの直接の攻撃を防御。
セキュリティ対策を集中
外部からの入り口を統合することで、重点的にセキュリティ
対策が可能。
IceWall SSOの機能*で更なるセキュリティ強化も。
*クロスサイトスクリプティング、バッファオーバーフロー、
SQLインジェクション(IceWall MCRPを使用)に対応。
コストの削減
SSLのサーバー証明書は
IceWallサーバーのみに必要。その他の追加コストを軽減。
アクセス管理の軽減
ファイアーウォールではIceWallサーバーへの通信のみを通
過させればOK。 サーバーへのアクセスの 集中管理が可能。
ログの集中管理
アクセスログが1ヶ所に保存されるため、ログの集中管理が
可能。
ユーザー
IceWall SSOの強み①
多様な認証方式への対応
IceWall SSOは、バックエンドとなるWebアプリケーションへの制限が少なく、どのような環境にも
適用させることができます。
※
また、多様な認証方式に対応しており、フォーム認証には11方式48
通りのパターンに対応しています。
Webアプリケーション
Type A
IceWall
サーバー
認証サーバー
/認証DB
USERID PASSWD Name
user01
*****
Suzuki Ichiro
AAAA
***
PASSWD
USERID
属性情報での
アプリケーションの
コントロール
■IceWall SSOの
ID/パスワード
■属性情報
■アプリケーションの
ID/パスワード
HTTPヘッダでの 属性情報引き渡し
例: Suzuki Ichiro
IceWall SSOのID/
パスワードを利用した認証
アプリケーション管理のID/
パスワードを利用した認証
Webアプリケーション
Type B
Webアプリケーション
Type C
IceWall SSO
認証あり
Basic認証
例)パッケージ
Webアプリ等
認証あり
Form認証
例)パッケージ
Webアプリ等
認証なし
例)新規、
既存のWebアプリ
Basic認証、 代行認証
例: AAAA、***
リバースプロキシ方式限定
※一部の特殊環境を除く。
自動Form認証、 代行認証
例: user01、*****
34
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
IceWall SSOの強み②
ルールベースの効率的なアクセス制御
具体例
人事部長から総務部長へ異動となった
Aさんのアクセス制御を行う場合
他社製品のロールベース方式
IceWall SSO の
ルールベース
方式
個人にロールを割り当て
アクセス制御
個人属性+論理式で
アクセス制御
Aさん
人事用
コンテンツ
現状
部長用
コンテンツ
総務用
コンテンツ
変更後
Aさん
人事用
コンテンツ
部長用
コンテンツ
総務用
コンテンツ
IF 組織=人事部
IF 組織=
総務部
IF 役職=
部長
Then 人事用コンテンツ
Then 総務用コンテンツ
Then 部長用コンテンツ
ロールテーブル
認可ルール
他社製品のロールベース方式では、
個人のロールを新たに割り当てる必要があるため、
その都度、時間と費用がかかることも
…
IceWall SSOの
ルールベース
方式では、
個人属性が変われば自動的に変更処理
されるため、
人事異動の多い企業でも安心!!
人事
部長
総務
部長
現状
変更後
Aさん
ロールベースのアクセス制御方式の場合、個人の属性変更に伴う都度のアクセス権限の
変更など、運用管理の負担が重くなりがちですが、ルールベースを採用している IceWall SSOは
効率的なアクセス制御が可能です。
◎
△
IceWall SSOの強み③
高い処理性能(パフォーマンス)
リバースプロキシ方式を採用した場合、プロキシ部分に負荷が集中しボトルネックになると考えら
れがちですが、IceWall SSOは数千ヒット/秒 もしくは数百ログイン/秒という高い処理性能を誇り
※
、
クラウド環境を見据えた高負荷/広範な環境においても、十分なパフォーマンスを発揮します。
また、認証サーバーと認証DB間の処理性能についても非常に高速です。
ユーザー
IceWall SSO
Webアプリ
プロキシ専用
1,000hit/sec/台以上
マルチスレッド、コネクションプール
B*Tree、認証モジュールの分散化により
高速処理可能
100,000hit/sec以上
書き込みが速いDBのタイプを使用可能。
ログインログアウト時に各一度のみアクセス
1,000ログイン/sec以上
認証
DB
IceWall
サーバー
認証
サーバー
※構成や要件により変動します。
リバース
プロキシ
機能
認証
モジュール
36
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
IceWall SSOの強み④
高い可用性
二重化、多重化の実装により、
どのコンポーネントがダウンしても
セッション維持が可能
ロードバランサー
サーバー
IceWall
認証サーバー
IceWall
サーバー
認証DB
IceWallサーバーは、
ロードバランサーによって
複数台の冗長化・負荷分
散が可能。
DBソフトウェアの機能で
レプリケーション、または
クラスターによる冗長化。
ユーザー
Active/Standby
• 認証サーバー同士がログインセッション情報を共有し、
片方がダウンしてもユーザーのログイン状態を維持。
• Active側の認証サーバーがダウンするとStandby側へ切り替えて
動作を継続。(別途、オプション(有償)が必要です。)
• ログインセッション情報が認証サーバーのメモリー上にあるため、
認証DBが停止してもログイン中のユーザーはアクセスを継続可能。
Active/Active
どのレイヤにおいても完全二重化/多重化が可能です。どの1台がダウンしても、ログインセッショ
ンを維持することができます。
また、認証と認可の処理スレッドが分離されているため、認証DBが完全停止もしくは切替中でもロ
グイン済みのユーザーはアクセスを継続することができます。
Windows環境(認証)とIceWallの認証を統合し、Windowsアプリはもちろん、それ以外のアプリ、ま
たOffice365などのクラウドサービスへのシングルサインオンを実現できます。
IceWall SSOの強み⑤
Windows環境・Windows認証との高い親和性
Active Directory
その他のアプリ
(UNIXなど)
ユーザー
Windowsアプリ
社外
社内
① 統合Windows認証
※
Windowsドメインにログインすることにより、
IceWallへのログインを自動的に行い、
Windowsアプリ以外のアプリ(UNIXなど) との
シングルサインオンが可能です。
※別途、オプション(有償)が必要です
。
② Office 365など
クラウドサービスへもシングルサインオン
Office 365などのクラウドサービスにも、社内
システムからシングルサインオンが可能です。
③ プラットフォームの Windows対応
IceWall SSO Windows版や、認証DBにAD
もしくはSQL Serverを使用することにより、
トータルでプラットフォームをWindows環境に統一
しての構築も可能です。
Windowsログオン
でIceWallにもSSO
IceWallから
SSOも
社外からでも
IceWall経由でSSO
クラウドサービスへ
もSSO
Windowsアプリ以外の
アプリもIceWallからSSO
IceWall SSO
IceWall
Federation
ユーザー
U
N
IX
Office 365
G Suite
(旧Google Apps)
38
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
IceWall Federationとは
IdP
認証連携
SP
salesforce.com
SP
パブリッククラウド
プライベートクラウド
ADFSに対応したサービス
SP
IceWall Federation Agentを使用して
SAML SP化したアプリケーション
ユーザーは
IdPにログインすれば
SPも利用可能に
IdPはSPに
ユーザー属性や
認証済であることなど
認証連携に必要な情報を
譲渡
IceWall
Federation Agent
IdP
(Identity Provider) : IDを管理して認証を行うサイト
SP
(Service Provider) : 実際のサービスを提供するサイト
Office 365
SP
IceWall
Federation
IceWall Federation/ IceWall Federation Agentは、パブリッククラウドやプライベートクラウド環境
と認証連携(フェデレーション)により、シングルサインオンを実現します。
IceWall SSOを購入で標準提供
※
※IceWall SSO 10.0の購入が対象となります。またIceWall Federation Agentは対象となりません。
IceWall SSO
基本構成
SP
ユーザー
G Suite
IceWall Federationの強み
安心・迅速な環境構築を支援する「接続保証」と「実装支援」
一般的な認証連携機能提供製品
導入時
特定の対象サービス(SP)のインタフェースに合わせ、
SAML
等、適用する標準仕様の詳細を理解し、自身で設定・接続検
証をする必要
があります。
運用時
万が一、本番運用において障害が発生した場合、
個々の標
準仕様におけるエラーは、自身で解析
してから各社製品窓口
に問い合わせる必要があります。
導入時
日本ヒューレット・パッカードにて適切な標準仕様を用い、
各
サービス(SP)単位での接続検証をしている
ため、
安心かつ
迅速に環境構築を行うことができます。
運用時
接続検証された対象サービス(SP)との接続において障害が
発生した場合、
日本ヒューレット・パッカードから問題解決のた
めのサポートを受けることができます。
IceWall Federation
認証連携(フェデレーション)機能を提供する製品の多くは、SAML等の「標準仕様に対応」してい
ますが、各サービスとの接続確認/検証はユーザー任せという製品も 少なくありません。IceWall
Federationは各仕様ではなく、実際の各サービスとの接続検証を行っているため、安心・迅速な
環境構築が可能です。
※接続確認ができているサービスの最新状況は弊社Webページをご確認ください。
cybozu.com
KDDI Knowledge
Suite(GRIDY)
出張なび
Bulas
2017年8月現在、SPとして接続が確認できているサービス/ソフトウェア
e-革新サービス
HPE Service
Anywhere
ShibbolethのSP
Windows Azure
Fileforce
福利厚生倶楽部
Box
SECURE DELIVER
GigaCC
他、多数
Aruba ClearPass
SharePoint
ADFS 2.0
G Suite
(旧Google Apps)
Salesforce Platform
Office 365
40
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
Salesforce
G Suite
(旧Google Apps)…
Office 365導入のための乱立AD対応ソリューション(オンプレミス型)
クラウドIDのドメインを
AA.COMに統一
ローカルドメイン
AA-CORP.COM
ローカルドメイン
AA.LOCAL
AD FS
AD FS
IceWall SSO
社内
社外
ローカルID
taro@AA-CORP.COM
ローカルID
y-jiro@AA.LOCAL
ローカルID
saburo@AA.CO.JP
IceWall Federationが
認証要求を振り分け・中継
ユーザーはローカルのADにログインするだけでOffice 365にシングルサインオン。
AD統合不要!
LDAPなどAD以外の
リポジトリは
IceWall SSOで対応
Office 365
認証要求
クラウドID
taro@AA.COM
jiro@AA.COM
saburo@AA.COM
(クラウドID) → (ローカルID)
taro@AA.COM → taro@AA-CORP.COM
jiro@AA.COM → y-jiro@AA.LOCAL
saburo@AA.COM → saburo@AA.CO.JP
認証要求
認証要求
認証要求
ローカルドメイン
AA.CO.JP
クラウドサービスの利用にあたり、こんな課題に直面していませんか?
• 社内とクラウドサービスの認証が別々で使いづらい。
• 認証を統合するにはADの統合が必須とされているが、
社内に複数のADが乱立していて統一管理されておらず、ADの統合は困難。
AD構成の影響を受けずに、社内とクラウド環境とのシングルサインオンを実現
IceWall SSO モバイルソリューション
~モバイルデバイスの利用をより快適でセキュアに
スマートフォン用
画面テンプレートの提供
スマートフォン・携帯電話の
標準ブラウザーでの事前動作検証
スマートフォン・タブレット用
アプリケーションの提供
多様なスマートデバイスに
対応可能な認証ソリューションの提供
42
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
スマートフォン用 ワンタイムパスワード認証ソリューション
IceWall SSO Smart OTP
IceWall SSO
※1
IceWall
サーバー
認証サーバー
/ 認証DB
IceWall SSO
※1
OATH準拠
スマートフォンでのワンタイムパスワード
(OTP)ソリューション。
スマートフォンでOTPを生成し、自動送信。
SSOのセキュリティがさらに向上。
HWトークンが不要なためコストが低い。
SWトークンとしても、
PCからのログインに使用可能。
※1 : v10.0以降で対応
※2 :Android版およびiOS版を提供。
アプリケーション(Smart OTP)
をインストール
ユーザーID・パスワードを登録
OTPの共通鍵を登録
IceWall SSOの基本構成に以下の機
能を追加/付与
OneTime 認証連携ツールfor
IceWall
IceWall SSO OTP連携オプション
IceWall SSO
Smart OTP
(スマートフォン
アプリケーション)※2
OTP連携
オプション
OneTime
認証連携ツール
for IceWall
Webアプリ
スマートデバイス用 認証サーバーソリューション
IceWall SSO スマートデバイスオプション
各種スマートデバイス(アプリケーション)から送られる
「ID情報」による認証を可能にするIceWall SSOのオプション製品
各種スマートデバイス
スマートフォンアプリケーション
お客様独自仕様の端末 など
スマートフォン
タブレットPC
フィーチャー
フォン
NFC
特殊
アプリケーション
証明書
IceWall SSO
・ヘッダー情報
・BASIC認証ヘッダー
・証明書情報など
※IceWall SSO スマートデバイスオプションは、サーバーライセンス
として提供されます。(ユーザー数には依存しません)
「ID情報」
IceWall SSO
スマートデバイス
オプション※
認証サーバー
/ 認証DB
APサーバー
44
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
IceWall SSO ワンタイムパスワードソリューション
-
OATHに準拠したフレキシブルかつリーズナブルなソリューション-OTPを表示、ログイン画面に入力、送信
OATHに準拠したハードウェアトークンやソフトウェアトークンを利用することにより
低コストで導入可能
OTPを生成、ID/パスワードと共に自動送信
IceWall
サーバー
認証サーバー
/ 認証DB
IceWall SSO
SWトークン
(Windows PC クライアント)
HWトークン
スマートフォンアプリ
SWトークン
(スマートフォンアプリ)
IceWall SSO
Smart OTP
IceWall SSO
Smart OTP Windows
*1
IceWall SSO
Smart OTP
O
A
T
H
準
拠
複数ベンダーの多様な製品
OATH準拠
※グリーン文字部分がIceWall SSOワンタイムパスワードソリューションのご提供範囲
*1 PCのブラウザー版のSWトークンもご用意しています。
Webアプリ
OneTime
認証連携ツール
for IceWall
OTP連携
オプション
リアルタイムWeb利用分析ソリューション
数百~数億行に及ぶ大容量ログデータを低コストで管理。
ID情報に紐付いたログデータをリアルタイムに高速分析。
IceWall SSO
Webアプリ
アプリケーション利用者
IceWall ETL Tool
分析サーバー
ETL
ツール
分析
データ
BI
ツール
ビジネス分析者
ソリューション範囲
①
アクセス
⑤
リアルタイム
分析
④
クエリーを
高速処理
③
分析クエリー
IceWall
アクセスログ
①~② 生成され続けるIceWallアクセスログを高速にDWHに高速ロードし、瞬時に分析可能な状態で蓄積。
③~⑤ DWHに蓄積された大量のログデータに対するクエリーを高速処理。リアルタイムに分析。
LOG
DWH
②ETLツールが
アクセスログを
定期的に高速ロード
46
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
IceWall SSOの特長
IceWall SSOは15年以上にわたり
幅広い業種、規模の認証基盤として数多く採用されています。
IceWall SSO最新バージョンにおいては、
2024年3月までのサポート
をお約束
しております。お客様には長期に渡り安心してご使用いただけます。
長期サポートによる
投資保護
IceWall SSOは数千ヒット/秒 もしくは数百ログイン/秒という
高い処理性能
を誇り、高
いパフォーマンスを発揮します。どのレイヤについても
二重化の構成
を取ることが可
能で、ログインセッションを維持します。またAPIを公開しており、様々な要求に応じた
カスタマイズ、拡張性をご提案可能。
お客様のいかなる環境にも対応
出来ます。
高パフォーマンス
高可用性・高柔軟性・高拡張性
IceWall SSOは15年以上の日本国内での実績を誇り、これまでに4000万超
ユーザライセンスを販売、
市場シェアNo.1※
を誇るシングルサインオン製品で
す。
国内市場シェアNo.1
※
の
豊富な導入実績
IceWall SSOは、グローバルIT企業として培った技術と経験をベースに
日本国
内で開発・保守
しています。機能・サポートの両面において、安心してお使いい
ただけます。
グローバルIT企業として
培った高い品質
最新の技術
を取り込み、お客様のニーズに則した機能をいち早く開発に反映さ
せています。(クラウドサービスとの連携認証、モバイル対応、等)
最新技術を
いち早く取り込み
お客様ニーズに即対応
※Webシングルサインオンパッケージ 市場シェア 2015年度(実績/出荷金額ベース) No1 日本ヒューレット・パッカード:52.6%
出典:ミック経済研究所「個人認証・アクセス管理型セキュリティソリューション市場の現状と将来展望2016年度版」
IceWall SSOの市場シェア
*1 ミック経済研究所より2001年以降に発行された当該調査レポートに基づく。
*2 出典:ミック経済研究所「個人認証・アクセス管理型セキュリティ
ソリューション市場の現状と将来展望 2016年度版」(2016年12月刊)
を基に日本ヒューレット・パッカードが作成。
ITR
「ITR Market View:アイデンティティ/
アクセス管理市場2016」
SSO市場シェア 2015年度
(実績/売上金額ベース) 46.8%
富士キメラ総研
「2016ネットワークセキュリティビジネス
調査総覧」
シングルサインオン市場シェア 2015年度
(実績/出荷金額ベース) 40.5%
ミック経済研究所
「個人認証・アクセス管理型セキュリティ
ソリューション市場の現状と将来展望 2016年度版」
Webシングルサインオンパッケージ
市場シェア 2015年度
(実績/出荷金額ベース) 52.6%
No.1
No.1
No.1
ver.10までに
4000万超
ユーザーライセンスを販売。
3つの最新の市場調査において
業界シェアNO.1
を獲得。
国内で
15年以上
(*1)にわたりトップシェアを誇るシングルサインオンソリューションです。
50.4%
8.3%
7.5%
5.7%
3.7%
3.2%
21.4%
52.6%
7.5%
6.5%
4.9%
3.1%
2.9%
22.5%
Webシングルサインオンパッケージ
2014年度、2015年度の
競合製品とのシェア比較図
(*2)
日本ヒューレット・パッ
カード
A社
B社
C社
D社
E社
R社
IceWall SSO
2014年度
2015年度
HPE
48
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
IceWall SSO
導入実績(一部)
BtoB/ BtoCシステムからイントラネットまで、様々な業種の
リーディングカンパニーおよびプロジェクトの認証基盤として
数多く採用されています。
※ 総務省が進める「ICT街づくり推進事業」の一環として実施する実
証事業
お客様名
ユーザー数
備考
イーヒルズ(株)様
(森ビルグループ)
5万
ビジネスポータル
エヌ・ティ・ティ・
コミュニケーションズ(株)様
数十万
クラウドサービス
(株)エヌ・ティ・ティ・データ様
無制限
保険共同ゲートウェイ
(株)損害保険ジャパン様
数万
代理店システム
(株)東京証券取引所様
6万
情報提供サービス
KDDI (株)様
-
ファイル交換サービス
三菱UFJインフォメーション
テクノロジー(株)様
3万
マーケットプレイス
大手損保
10万~
代理店システム
金融会社
数万
-
流通会社
3000
-
お客様名
ユーザー数
備考
「柏の葉スマートシティ」
プロジェクト様※
-
-
(株)エヌ・ティ・ティ・ドコモ様
数百万
Federation導入あり
(株)三菱東京UFJ銀行様
数百万
-
全国労働者共済生活
協同組合連合会様
数十万
イントラネットシステムへの
導入もあり
証券会社
10万~
-
お客様名
ユーザー数
備考
三菱商事様
14,000~
HPE開発 ID管理シス
テムの導入もあり
明治大学様
40,000
-
(株)アット東京様
数百
-
佐賀県庁様
4000
-
JFEスチール(株)様
6万
BtoBシステムへの
導入もあり
Federation導入あり
住友商事(株)様
1.3万
-
ソネット(株)様
数千
-
トヨタ自動車(株)様
十数万
エクストラネットへの導
入もあり
Federation導入あり
伊藤忠テクノ
ソリューションズ様
数万
-
新聞社
5000
-
製造業
数万
-
製造業
数千
-
保険会社
10万
-
ユーティリティ会社
数万
-
BtoC / GtoC システム
BtoB システム
イントラネットシステム
ベンダー
製品名
種類
連携方法
RSAセキュリティ(株)
RSA Adaptive Authentication for
Web
リスクベース認証
連携ソフトウェア提供
(有償オプション)
RSAセキュリティ(株)
RSA Secure ID
ハードウェアトークン(ワンタイムパスワード)
設定で対応
ソニー(株)
Felica
ICカード
設定で対応
ソフトバンクBB(株)
SyncLock
携帯電話を使用した認証(ワンタイムパスワー
ド)
連携ソフトウェア提供
(有償オプション)
日本ベリサイン(株)
VeriSign ManagedPKI
電子証明書
連携ソフトウェア提供
(有償オプション)
パスロジ(株)
PassLogic
マトリクス認証(ワンタイムパスワード)
ベンダーより接続用
モジュール提供
(株)日立ソリューションズ
静紋
生体認証(指静脈認証)
ベンダーより接続
モジュール提供
日本マイクロソフト(株)
Microsoft Windows
統合Windows認証
連携ソフトウェア提供
(有償オプション)
(株)ディー・ディー・エス
ID Manager for IceWall
クライアントサーバーアプリケーションID、
パスワード自動代行入力
設定で対応
(株)ディー・ディー・エス
EVE MA
多要素認証プラットフォーム
設定で対応
大日本印刷(株)
TranC’ert Enterprise
ICカード(クライアント証明書)
設定で対応
(株)VASCO Data Security
Japan
VASCO DIGIPASS
ハードウェア/ソフトウェアトークン(ワンタイム
パスワード)
設定で対応
(株)VASCO Data Security
Japan
Vacman
ハードウェア(ワンタイムパスワード)
設定で対応
更なるセキュリティ強化、利便性向上を図るため他社ソリューションとの連携実績も豊富です。
※詳細は
http://www.hpe.com/jp/iw-report
をご参照ください。
IceWall SSO
他社ソリューションとの豊富な連携実績
50
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP
IceWall SSOは、グローバルIT企業として培った技術と経験をベースに
日本国内で開発
してい
ます。機能・サポートの両面において、安心してお使いいただけます。
IceWall SSO
品質とサポート
日本開発の製品だからこその高品質と安心、そして迅速な対応
日本で開発した製品だからできる高い品質とサポート
IceWall SSOは日本国内で開発を行い、サポートを提供しています。製品自体の高
い品質はもちろん、迅速できめ細やかなサポートにより、常に安心してお使いいた
だくことが可能です。
グローバルIT企業として培った技術と経験が可能にする機能
グローバルIT企業として培った技術と経験により、お客様のニーズに則した機能を
いち早く取り込んでいます。クラウド環境との認証連携(フェデレーション)や携帯
電話やスマートフォンなどからの認証(モバイル対応)など、新しいニーズに積極的
に取り組んでいます。
2024年3月までのサポートモデル
製品導入の際の懸念の一つは、その製品のライフサイル。特に認証基盤は、多く
のWebアプリケーションと接続しているため、その入れ替えは容易ではありません。
IceWall SSOは15年以上の日本国内での実績を誇り、また最新バージョンにおい
ては2024年3月までのサポートモデルを提示しており、お客様には長期に渡り安心
してご使用いただけます。
IceWall SSO
ハンズオントレーニング
「IceWall SSO 10.0 」を実機での演習を交えて学習できるハンズオントレーニングを開催しており
ます。基本的な内容を半日にまとめた「無料ハンズオントレーニング」と、より詳細な内容を1日で
習得する「管理基本コース」の2コースに分かれています。
コースコード:
H0AF9S
価格:
無料
日数 :
半日(13:30~17:00)
コースの目的
IceWall SSO 10.0の機能概要を理解する。
IceWall SSO 10.0の基本的な設定方法を理解する。
対象者
IceWall SSOの導入を検討、予定されているお客様。
IceWall SSOをすでに使用されていて、基本的な設定方法を習得したいお
客様。
前提知識
基礎的なLinuxの知識とコマンド操作経験、およびWebに関する基礎知識
が必要です。
コース内容
• 製品の概要
• 認証サーバー、IceWallサーバーの基本設定
• 認証DB、バックエンドWebサーバーの登録
• ユーザーへのアクセス権設定
コースコード:
H0AC7S
価格:
65,000円(税抜き)
日数 :
1日(10:00~18:00)
コースの目的
IceWall SSO 10.0の、より詳細な機能の設定方法について理解する。
IceWall SSO 10.0の主なオプションについて機能と使用方法を理解する。
実際のシステムを構築・管理するために役立つ知識を習得する。
対象者
IceWall SSOの導入を予定されていて、設定方法の詳細を習得したいお客
様。
IceWall SSOをすでに導入されていて、管理・運用の方法を習得したいお
客様。
前提知識
基礎的なLinuxの知識とコマンド操作経験、およびWebに関する基礎知識
が必要です
「IceWall SSO 無料ハンズオントレーニング」の受講が必要です。
コース内容
• 認証代行
• Agent
• システム構築のための基礎知識
• FailOver
コーススケジュールとお申し込みについて:
http://www.hpe.com/jp/education
IceWall SSO 無料ハンズオントレーニング(半日)
IceWall SSO 管理基本コース (1日)
52
© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP