認証連携（フェデレーション）ソリューションIceWall Federationのご紹介

認証連携（フェデレーション）ソリューション

IceWall Federationのご紹介

日本ヒューレット・パッカード株式会社

IceWallソフトウェア本部

目次

1. クラウド（SaaS）認証の課題と認証連携（Federation）による解決

2. IceWall Federation

3. IceWall Federation (SAML IdP)

4. IceWall Federation Agent

5. IceWall Federation OIDC ソーシャルログイン

6. IceWall Federation OIDC / OAuth OP

クラウド（SaaS）認証の課題と

クラウドサービス（SaaS）導入時の認証の課題

• ユーザーが覚えるユーザーIDと

パスワードの増加

• 認証の強度がクラウド側に依存し、

多要素認証などの導入に制限がある

• 利用場所や端末を制限する機能も

クラウド側に依存し、柔軟な制御が

行えない

5

© Copyright 2018 Hewlett Packard Enterprise Development LP

「フェデレーション」は、

自社の認証でクラウドサービスを利用するための仕組み

パスポートの仕組み

フェデレーションの仕組み

自国での本人確認(自社での認証)で、外国に入国できる(クラウドを利用出来る)点で、パスポートに近い仕組み

• パスポートは、自国での厳格な本人確認(戸籍や住民票)が求められる一方で、

外国への入国はパスポートだけで入国が可能

• 同様にフェデレーションでも、自社IdP(Identity Provider)での厳格な認証を通れば、

IdPから発行されたアサーションの提示のみでクラウドの利用が可能

フェデレーション導入によるSaaS導入時課題の解決

• ユーザーが覚えるユーザーIDと

パスワードは1つのみで、パスワード

漏洩リスクを抑制

• SSOシステム(IdP)への認証を

強化することでクラウドサービスの

認証も強化でき、多要素認証などの

導入も容易

• SSOシステム(IdP)にアクセス可能な

範囲にのみクラウドサービスが利用可

能な範囲となるため、場所や端末によ

る制限が柔軟にできる

7

© Copyright 2018 Hewlett Packard Enterprise Development LP

認証連携の基本的な動作（SAMLの場合）

ユーザー

IdP（Identity Provider）

ユーザー認証

① IdPにログイン

③ IdPの認証のみで

SPを利用可能に

② 認証されたユーザー

であることをIdPから

SPへ伝達

SP（Service Provider）

サービス提供（SaaS）

_{• ユーザーはIdPでの認証を行うのみで}

（SP側で追加の認証の手間なく）

SPが提供するサービスを利用可能

• 左図は企業ユーザーの認証に広く使われる

SAML (Security Assertion Markup

Language）の例

• SAMLは認証連携の標準仕様のうちのひとつ

で、他には、BtoCやBtoBなどの認証で

OpenID Connect が広く使われている

• OpenID Connectの場合、下記のように呼び

方が変わる

ユーザー認証：OP (OpenID Provider)

サービス提供：RP (Relying Party)

認証連携ベネフィットまとめ

• 複数のSaaSを利用する場合も

ユーザーが覚えるID/パスワードが1つだけ

になり、

パスワードの使い回しやメモ書きなどによる

パスワード漏洩のリスクを抑制

• 多要素認証などによる認証強化はIdPだけで行えばよく、

認証強化がより効率

的かつ効果的

に行える

• 認証ログもIdPで集中管理することが出来るうえ、SaaS単独では取得の難しい

「失敗ログオン」のログが取得可能

なため、不正アクセスの兆候を迅速に検知し

やすい

• 社外などから直接SaaSにアクセスする場合に

利用端末を限定するなどの、条

件に応じたアクセス制御

がやりやすい

IceWall Federation 製品群

• IceWall Federation （SAML IdP）

 IceWallをSAML IdPにするためのモジュール

IceWall SSO およびIceWall MFAに無償バンドルされている

• IceWall Federation Agent

 WebアプリケーションをSAML SPにするためのエージェントモジュール

• IceWall Federation OIDC/OAuth OP

 OpenID Connect/OAuth のOP（SAMLのIdPに相当）となるモジュール

• IceWall Federation OIDC ソーシャルログイン

IceWall Federation (SAML IdP)

• SAML IdPとして動作

• IceWall SSO および IceWall MFAに

無償バンドル

• リバースプロキシ型SSOによる

イントラネットのWebアプリケーションと

SaaSへのログインを一元的に集約

IdP（Identity Provider） : IDを管理して認証を行うサイト

SP （Service Provider） : 実際のサービスを提供するサイト

IceWall

認証サーバー

認証DB

オンプレミス

IceWall

サーバー

_Federation

IceWall

(IdP)

ログイン

SaaS(SP)

Office365

SaaS(SP)

Salesforce

13

© Copyright 2018 Hewlett Packard Enterprise Development LP

各サービス/ソフトウェアとの認証連携を検証済み

• IceWall Federationは

実際の各サービスとの相互接続検証を行っており

、安心・迅速な導入が可能

• フェデレーション機能を提供する製品の多くは、SAML等の「標準仕様に準拠」を確認していても、

各サービスとの相互接続確認/検証はユーザー任せ、という製品も少なくない

• 国内

のサービス/ソフトウェアも実績多数

一般的なフェデレーション機能提供製品

導入時：

特定の対象サービス（SP）のインタフェースに合わ

せ、

SAML等、適用する標準仕様の詳細を理解し、自身で設

定・接続検証をする必要

あり

運用時：

万が一、本番運用において障害が発生した場合、

個々の標準仕様におけるエラーは自身で解析

してから各社製

品窓口に問い合わせる必要あり

導入時：

適切な標準仕様を用い日本ヒューレット・パッカー

ドにて

各サービス（SP）単位での接続検証をしているため、安

心かつ 迅速にサービス導入が可能

運用時：

接続検証された対象サービス（SP）との接続にお

いて障害が発生した場合、

日本ヒューレット・パッカードから問

題解決のためのサポートを受けることができる

IceWall Federation

接続確認ができているサービスの最新状況は弊社Webページをご確認ください

 Suite（GRIDY）

 出張なび

 Bulas

e-革新サービス

HPE Service

Anywhere

 G Suite

 Salesforce Platform

 Office 365

 クリプト便

 Fileforce

2019年3月現在、SPとして接続が確認できているサービス/ソフトウェア

ShibbolethのSP

Windows Azure

GoodData

Confluence

（RickCloud）

福利厚生倶楽部

Box

SECURE DELIVER

GigaCC

Aruba ClearPass

他、多数

SharePoint

 ADFS 2.0

cybozu.com

KDDI Knowledge

 Suite（GRIDY）

Adobe Creative Cloudエンタープライズ版、

Adobe Document Cloudエンタープライズ版

連絡とれるくん

Citrix Virtual Apps and Desktops（旧

Office 365との認証連携

「Office 365」との連携機能でマイクロソフトの認定を取得

マイクロソフトの「Works with Office 365 - Identity program」

*

_の

認証連携「サードパーティーIDプロバイダー」として、国産製品として始めて認定

WebはもちろんOutlookやSkypeなどのWindowsアプリケーションや、モバイルアプリも対応

15

© Copyright 2018 Hewlett Packard Enterprise Development LP

IceWall Federation GUI

IceWall Federation GUIにより、IceWall Federationを簡単に設定可能

設定内容

• IceWall Federationモジュールの

基本設定

• 認証連携を行うクラウドサービス

（SAML SP）の登録

追加できるSAML SPの種類

• IceWall Federation Agent

• G Suite

• Salesforce

• Office 365（SAML連携のみ）

• General(その他の一般的なSAML)

IceWall SSO（またはIceWall MFA)との組合せで、

SaaSだけでなくイントラWebアプリも含めたシングルサインオン

イントラ

Webアプリ

ユーザー

IceWall

サーバー

(リバースプロキシ)

IceWall

認証サーバー

認証DB

IceWall

Federation

IceWall SSO

SaaS

多要素認証

_イントラ

Webアプリ

イントラ

Webアプリ

SaaS

認証連携（SAMLなど）

17

© Copyright 2018 Hewlett Packard Enterprise Development LP

SaaSのシングルテナント利用 ～IceWall SSOのID探索機能～

SaaS

Office365,

Salesforce など

SaaSをシングルテナントで利用したい場合、

認証連携先として指定できる認証DBは1つのみ

IceWall SSOのID探索機能を使えば

複数の認証DBのユーザーが

SaaSをシングルテナントで利用可能

認証DBが複数ある場合、

SaaSのテナントを分割するか

認証DBを統合するか

IceWall

Federation

(IdP)

SAML

認証連携

IceWall

認証サーバー

IceWall

認証サーバー

認証サーバー

IceWall

19

© Copyright 2018 Hewlett Packard Enterprise Development LP

SAML SP 機能実装のニーズの高まり

WebアプリのAWSやAzureへの移行

PaaSと連携

クラウド化の進展

サプライチェーンの強化のために

パートナー間でのWebアプリ相互利用拡大

システム相互利用の拡大

標準的なプロトコルの必要性

インターネット利用時のセキュリティ考慮

SAMLを認証の中心に

企業内Webアプリケーションにも

SAML SP機能の実装が求められている

幅広いWebアプリにSAML SP化が求められる

Webアプリケーションへの SAML SP機能 実装の課題と

IceWall Federation Agent による解決

• SAML SPの実装が困難

 ボリュームのあるSAMLの仕様を読み解いて実装する必要あり

 ID/Passwordの認証機能に比べ、技術的なハードルが高く余計な工数も必要

• パッケージ製品のWebアプリケーションには対応できない

 多くのパッケージ製品はSAMLには対応していない

IceWall Federation Agent は、

WebアプリをSAML SP化するためのエージェント機能を提供

手間なく短期間でWebアプリケーションをSAML SP化できる

21

© Copyright 2018 Hewlett Packard Enterprise Development LP

Web

アプリケーション

IceWall Federation Agent 概要

ユーザー

IdP（Identity Provider）

ユーザー認証

① IdPにログイン

③ IdPの認証のみで

SPを利用可能に

② 認証されたユーザー

であることをIdPから

SPへ伝達

Webサーバー(Apache)

IceWall

Federation Agent

(SAML SPとして動作)

• Apache上で動作する

Webアプリケーションが対象

• Webアプリケーションはヘッダで

IDや属性などのユーザ情報を受けとる

• Webアプリケーション自体の

改修は軽微

IceWall Federation Agent リバースプロキシSSO 併用パターン

ユーザー

IdP（Identity Provider）

ユーザー認証

① IdPにログイン

③ IdPの認証のみで

SPを利用可能に

② 認証されたユーザーで

あることをIdPから

SPへ伝達

• Webアプリの改修の必要が全くない

• パッケージ製品のWebアプリでも利用可能

IceWall MCRP

（リバースプロキシ）

Webサーバー(Apache)

IceWall

Federation Agent

(SAML SPとして動作)

Web

アプリケーション

Web

アプリケーション

23

© Copyright 2018 Hewlett Packard Enterprise Development LP

SAML機能を自社で実装するリスク

公開された脆弱性の例：

2018/2/27 JVNVU#98536678

「複数の SAML ライブラリに認証回避の脆弱性」

SAML ライブラリには、認証回避の脆弱性があります。結果として、遠隔の第 三者が、細工した SAML メッセージを使い SAML サービスプロバイダの認証

を 回避する可能性があります。

その結果、遠隔の攻撃者は、改ざんした SAML メッセージを使って

SAML サービスプロバイダの認証を回避することが可能

となります。

出典 JVN 脆弱性対策情報データベース

SAMLの仕様を理解するのは難しく、 自社でSAML機能を実装するとセキュリティの問題も起こりやすい。

新たな脆弱性へ対応する労力が過大になり遅れてしまう。攻撃者の格好の餌食になりうる。

⇒ ベンダーが提供する製品を使用すれば、脆弱性への対策が確実かつ迅速に可能。

Azure AD環境との連携

_{• ユーザー認証はAzure ADで行う}

• 非Windowsアプリを改修無しで認証を連携

• Azure ADに格納されていないユーザー属性も使用可

ユーザー

IdP

認証連携

SAML

Azure AD

Azure環境

ユーザー認証

アプリへの

_アクセス

SP

Web

アプリケーション

Web

アプリケーション

Webサーバー

Federation

Agent

MCRP

(リバース

プロキシ)

Webサーバー

Federation

Agent

Web

_{アプリケーション}

非Windows環境

リバースプロキシ型構成例

エージェント型構成例

25

© Copyright 2018 Hewlett Packard Enterprise Development LP

Azure ADを中心としたシングルサイオン環境

ユーザー

SAML

認証連携

Azure ADでの認証のみで

全てのアプリ/サービスを利用可能

・Webアプリケーション

・3rd partyパッケージ

Azure AD

Azure環境

_{オンプレミス/クラウド}

非Windows環境

オンプレミス

Windows環境

AD

IceWall

Federation Agent

AD連携

SaaS

Salesforce

G Suite など

SAML

認証連携

Windows

アプリケーション

Office365

Exchange

SharePoint

Azureアプリ

ユーザー認証

Azure AD連携向けパッケージライセンス

「

_{IceWall Federation Agent for Azure AD Package}

」

 Azure ADとの認証連携をサポート

 「

初期費用低減型ライセンス

」では以下を提供

IceWall Federation AgentとIceWall MCRP（リバースプロキシ）SE版のライセンス

本ライセンスで「エージェント構成」「リバースプロキシ構成」のどちらも使用可

サーバー1台あたり

・初期費用（ライセンス費） 100,000円（税抜）

・月額費用（保守費）

_{60,000円（税抜）}

ソーシャルログインとは

SNSなどのソーシャルアカウントでのWebサービスへの会員登録やログインを実現します。

サービス利用者へのメリット

 新規登録会員が大幅増。

 サイト離脱率、カート放棄率が改善し売上がUP。

 ユーザー情報の管理負荷が軽減。

サービス運用者へのメリット

 新しくID・パスワードを記憶する必要なし。

 スマートフォン等でのログイン操作がより簡単。

 会員登録フォームへの入力がラク。

※ソーシャルログインの実装方法は各Webサービスによって異なります。ここでは実現例を挙げています。

Yahoo! ID

Facebook

Google

外部サイトの

IDでログイン

Yahoo! Japan

ソーシャルメディアへの

リンクをクリック

XXオンラインショップ

_{XXオンラインショップ}

MY PAGE

ソーシャルメディアの

ログインID・パスワードを入力・送信

目的のWebサイトへの

ログイン完了

ソーシャルログイン使用イメージ

ID

パスワード

Yahoo IDでログイン

29

© Copyright 2018 Hewlett Packard Enterprise Development LP

IceWall Federation OIDC ソーシャルログイン

※ OPから取得したユーザー属性情報がWebアプリに渡

されます。取得できるユーザー属性や属性名はOP毎

に異なります。

IceWall SSOの認証DBにユーザーを登録する必要は

ありません。

1. IceWall SSOのログイン画面にアクセス、OPのログイン

ボタンを選択

2. OPにログイン

3. ログインセッションを生成

4. IceWall SSO経由でWebアプリへアクセス

連携検証済みのOP (2019年3月現在)：

●Yahoo! ID ●Facebook ●Google ●LINE

OAuth 2.0/OpenID Connect 1.0

※1

によるソーシャルログインを実現

4

IceWall SSO

IceWall サーバー

IceWall

Federation

OIDCサーバー

Web アプリ

IceWall SSO

認証サーバー

RP

※3

Google

Facebook

Yahoo!Japan

OP

※2

Yahoo! ID

PW

LOG IN

Yahoo! ID

Facebook

Google

ユーザー

3

※1 OpenID Connect：

OAuth 2.0をベースとする次世代認証アイデンティティシス

テムの最新標準規格。OpenID Foundationが仕様を策定。

※2 OP(OpenID Provider)：

トークンを発行する側。ユーザーはログインしてトークンを

取得する。 （SAMLのIdPに相当）

※3 RP（Relying Party）：

アプリケーションを提供する側。ユーザーはトークンを提示

してサービスを受ける。 （SAMLのSPに相当）

31

© Copyright 2018 Hewlett Packard Enterprise Development LP

OpenIDによる認証連携

OP（OpenID Provider）

【サイトA】

■RPがOPに認証を依頼し、認証結果を受け取る

■サイト間の通信にはOpenID 2.0を使用する

①RPにアクセス

③ OPにログイン

④認証結果の

検証を要求

②RPからOPへ

認証を要求

ユーザーのID/パス

ワードが登録済み

リバースプロキシ

サーバー

認証サーバー/

認証DB

IceWall SSO ソリューション

Federation

サーバー

■ユーザーがRPにアクセスする。

■認証を受けるOPを、RPの画面上で選択する。

RP（Relying Party）

【サイトB】

ユーザー

■OPはユーザー情報（ID,PWDなど）を管理する

■ユーザーはOPにID,PWDなどを入力して認証を受

ける

OP（OpenID Provider）

: IDを管理して認証を行うサイト

APIエコノミーの誕生へ ～なぜ、今、APIなのか？～

オープン・イノベーションの実現に向けて広がるオープンAPI

24%

15%

Source: Mind Commerce, Telecom Network API Marketplace

WebサービスのAPI利用

モバイルアプリのAPI利用

2018年には

68%

に増加と予測

 インターネット上では、既に多数のAPIサービスが存在

 サービス事業者はインターネット上のAPIを組み合わせ

た新サービスを模索

魅力的な新サービス = APIが必要

この流れが金融へ

新サービスの

早期実現

外部サービス事業者との協業

既存サービスの販売加速

Web API : 様々な機能をアプリケーションの中から利用しやすい形でまとめたもの。(Application Programming Interface)

ここでは、HTTPベースのリクエスト/レスポンスで、外部から簡単に機能を呼び出すためのSOAP/RESTインタフェースを指します。

33

© Copyright 2018 Hewlett Packard Enterprise Development LP

PFM (Personal Financial Management) サービスの例

利用者

銀行

クレジットカード

会社

電子マネー会社

PFMサービス

銀行やクレジットカードなどの履歴を集め、

非常に容易かつ詳細な記録をする

家計簿サービスを提供

PFMサービスが銀行やクレジットカード会社が持つ利用者の個人情報を取得するために、

現状では「Webスクレイピング（後述）」が利用されていることが多い

FinTechにおけるWebスクレイピングと その課題

インフラサービス

Webサイト

利用者

本来なら利用者が

直接Webで参照する

情報サービス

(PFMなど)

銀行Webサイトの

ログイン情報を

預ける

利用者から預かった

ログイン情報を使って

情報取得

課題

• パスワードも含むログイン情報を

第三者に預けることへの

セキュリティ上の懸念

より柔軟でセキュリティの高い連携方法が望まれる

• Webスクレイピングの実装は

情報サービスにとって開発の負荷が高

く、銀行側Webサイトのデザイン変更

に対応できない場合がある

• ログイン情報を預かった情報サービス

業者は必要以上の権限を持ってしまう

35

© Copyright 2018 Hewlett Packard Enterprise Development LP

オープンAPIを使った 柔軟でセキュリティの高い 複数サービス間連携

利用者

情報サービス

(PFMなど)

①情報要求

②インフラサービスへの

ログオンに誘導

③インフラサービスへ

ログオン

④アクセストークン

発行

⑤トークンに基づき

アクセス権を制御した

APIアクセス

インフラサービス

利点

• パスワードも含めたインフラサービ

スへのログイン情報を、情報サービ

ス業者に預ける必要が無い

• 情報サービス業者にとって実装する

のが容易でインフラ側Webデザイン

の変更にも影響は受けない

• 情報サービス業者は、インフラサー

ビスに対して必要最小限のアクセス

権しか持たない

IceWall Federation OIDC / OAuth OP

IceWall SSOのOpenID Connect1.0/OAuth 2.0 OP機能を利用することで、オープンAPIの利用環境においてもセキュアな認

証環境の構築が可能になります。

 認証によりユーザの同意に基づくセキュアな

リソースのアクセスが可能

認証は一旦OPにリダイレクトされ、リソースのアク

セス権限は「トークン」と呼ばれるもので通知されま

す。お客様のパスワードを外部に漏らす心配はあり

ません。

 オープンな仕組みでWeb APIを通じたサービス提

供

OpenID Connect 1.0/OAuth 2.0は、ここ数年広く

普及してきたオープンな仕組みであり、Web APIに

よって幅広いサービス提供を安全に実現するため

に好適の技術です。これによって、利用者に対して

安心性と利便性が両立したサービスが提供できる

37

© Copyright 2018 Hewlett Packard Enterprise Development LP

Amazon API Gateway との連携

Amazon API Gateway とIceWall Federation OIDC/OAuth OPとの連携

「IceWall技術レポート：「Amazon API Gateway」と「IceWall Federation OIDC/OAuth OP」との連携」

https://www.hpe.com/jp/ja/japan/icewall/report/Amazon_APIGateway.html

39

© Copyright 2018 Hewlett Packard Enterprise Development LP

お問い合わせおよび周辺サービス

最新/詳細情報

• IceWall Federation公式サイト

http://www.hpe.com/jp/icewall-federation

• IceWall SSO公式サイト

http://www.hpe.com/jp/icewall

• 技術レポート

（新規レポート随時公開中!!）

http://www.hpe.com/jp/iw-report

• カタログ

http://www.hpe.com/jp/iw-catalog

• IceWall SSO 評価用マニュアルダウンロード

http://www.hpe.com/jp/icewall-download

各種サービス

• 導入サービス

• コンサルティングサービス

• エンジニア様向け技術トレーニング

• 海外拠点への導入・コンサルティングサービス

お電話でのお問い合わせ

（日本ヒューレット・パッカード カスタマー・インフォメーションセンター）

0120-268-186 / 03-5749-8279

（携帯電話・PHSから）

受付時間 ： 月曜日～金曜日 9:00-19:00

（土、日、祝祭日、年末年始および5月1日を除く）

Webフォームからのお問い合わせ

http://www.hpe.com/jp/iw-contact