認証連携(フェデレーション)ソリューション
IceWall Federationのご紹介
日本ヒューレット・パッカード株式会社
IceWallソフトウェア本部
目次
1. クラウド(SaaS)認証の課題と認証連携(Federation)による解決
2. IceWall Federation
3. IceWall Federation (SAML IdP)
4. IceWall Federation Agent
5. IceWall Federation OIDC ソーシャルログイン
6. IceWall Federation OIDC / OAuth OP
クラウド(SaaS)認証の課題と
クラウドサービス(SaaS)導入時の認証の課題
• ユーザーが覚えるユーザーIDと
パスワードの増加
• 認証の強度がクラウド側に依存し、
多要素認証などの導入に制限がある
• 利用場所や端末を制限する機能も
クラウド側に依存し、柔軟な制御が
行えない
5
© Copyright 2018 Hewlett Packard Enterprise Development LP
「フェデレーション」は、
自社の認証でクラウドサービスを利用するための仕組み
パスポートの仕組み
フェデレーションの仕組み
自国での本人確認(自社での認証)で、外国に入国できる(クラウドを利用出来る)点で、パスポートに近い仕組み
• パスポートは、自国での厳格な本人確認(戸籍や住民票)が求められる一方で、
外国への入国はパスポートだけで入国が可能
• 同様にフェデレーションでも、自社IdP(Identity Provider)での厳格な認証を通れば、
IdPから発行されたアサーションの提示のみでクラウドの利用が可能
フェデレーション導入によるSaaS導入時課題の解決
• ユーザーが覚えるユーザーIDと
パスワードは1つのみで、パスワード
漏洩リスクを抑制
• SSOシステム(IdP)への認証を
強化することでクラウドサービスの
認証も強化でき、多要素認証などの
導入も容易
• SSOシステム(IdP)にアクセス可能な
範囲にのみクラウドサービスが利用可
能な範囲となるため、場所や端末によ
る制限が柔軟にできる
7
© Copyright 2018 Hewlett Packard Enterprise Development LP
認証連携の基本的な動作(SAMLの場合)
ユーザー
IdP(Identity Provider)
ユーザー認証
① IdPにログイン
③ IdPの認証のみで
SPを利用可能に
② 認証されたユーザー
であることをIdPから
SPへ伝達
SP(Service Provider)
サービス提供(SaaS)
• ユーザーはIdPでの認証を行うのみで
(SP側で追加の認証の手間なく)
SPが提供するサービスを利用可能
• 左図は企業ユーザーの認証に広く使われる
SAML (Security Assertion Markup
Language)の例
• SAMLは認証連携の標準仕様のうちのひとつ
で、他には、BtoCやBtoBなどの認証で
OpenID Connect が広く使われている
• OpenID Connectの場合、下記のように呼び
方が変わる
ユーザー認証:OP (OpenID Provider)
サービス提供:RP (Relying Party)
認証連携ベネフィットまとめ
• 複数のSaaSを利用する場合も
ユーザーが覚えるID/パスワードが1つだけ
になり、
パスワードの使い回しやメモ書きなどによる
パスワード漏洩のリスクを抑制
• 多要素認証などによる認証強化はIdPだけで行えばよく、
認証強化がより効率
的かつ効果的
に行える
• 認証ログもIdPで集中管理することが出来るうえ、SaaS単独では取得の難しい
「失敗ログオン」のログが取得可能
なため、不正アクセスの兆候を迅速に検知し
やすい
• 社外などから直接SaaSにアクセスする場合に
利用端末を限定するなどの、条
件に応じたアクセス制御
がやりやすい
IceWall Federation 製品群
• IceWall Federation (SAML IdP)
IceWallをSAML IdPにするためのモジュール
IceWall SSO およびIceWall MFAに無償バンドルされている
• IceWall Federation Agent
WebアプリケーションをSAML SPにするためのエージェントモジュール
• IceWall Federation OIDC/OAuth OP
OpenID Connect/OAuth のOP(SAMLのIdPに相当)となるモジュール
• IceWall Federation OIDC ソーシャルログイン
IceWall Federation (SAML IdP)
• SAML IdPとして動作
• IceWall SSO および IceWall MFAに
無償バンドル
• リバースプロキシ型SSOによる
イントラネットのWebアプリケーションと
SaaSへのログインを一元的に集約
IdP(Identity Provider) : IDを管理して認証を行うサイト
SP (Service Provider) : 実際のサービスを提供するサイト
IceWall
認証サーバー
認証DB
オンプレミス
IceWall
サーバー
Federation
IceWall
(IdP)
ログイン
SaaS(SP)
Office365
SaaS(SP)
Salesforce
13
© Copyright 2018 Hewlett Packard Enterprise Development LP
各サービス/ソフトウェアとの認証連携を検証済み
• IceWall Federationは
実際の各サービスとの相互接続検証を行っており
、安心・迅速な導入が可能
• フェデレーション機能を提供する製品の多くは、SAML等の「標準仕様に準拠」を確認していても、
各サービスとの相互接続確認/検証はユーザー任せ、という製品も少なくない
• 国内
のサービス/ソフトウェアも実績多数
一般的なフェデレーション機能提供製品
導入時:
特定の対象サービス(SP)のインタフェースに合わ
せ、
SAML等、適用する標準仕様の詳細を理解し、自身で設
定・接続検証をする必要
あり
運用時:
万が一、本番運用において障害が発生した場合、
個々の標準仕様におけるエラーは自身で解析
してから各社製
品窓口に問い合わせる必要あり
導入時:
適切な標準仕様を用い日本ヒューレット・パッカー
ドにて
各サービス(SP)単位での接続検証をしているため、安
心かつ 迅速にサービス導入が可能
運用時:
接続検証された対象サービス(SP)との接続にお
いて障害が発生した場合、
日本ヒューレット・パッカードから問
題解決のためのサポートを受けることができる
IceWall Federation
接続確認ができているサービスの最新状況は弊社Webページをご確認ください
Suite(GRIDY)
出張なび
Bulas
e-革新サービス
HPE Service
Anywhere
G Suite
Salesforce Platform
Office 365
クリプト便
Fileforce
2019年3月現在、SPとして接続が確認できているサービス/ソフトウェア
ShibbolethのSP
Windows Azure
GoodData
Confluence
(RickCloud)
福利厚生倶楽部
Box
SECURE DELIVER
GigaCC
Aruba ClearPass
他、多数
SharePoint
ADFS 2.0
cybozu.com
KDDI Knowledge
Suite(GRIDY)
Adobe Creative Cloudエンタープライズ版、
Adobe Document Cloudエンタープライズ版
連絡とれるくん
Citrix Virtual Apps and Desktops(旧
Office 365との認証連携
「Office 365」との連携機能でマイクロソフトの認定を取得
マイクロソフトの「Works with Office 365 - Identity program」
*
の
認証連携「サードパーティーIDプロバイダー」として、国産製品として始めて認定
WebはもちろんOutlookやSkypeなどのWindowsアプリケーションや、モバイルアプリも対応
15
© Copyright 2018 Hewlett Packard Enterprise Development LP
IceWall Federation GUI
IceWall Federation GUIにより、IceWall Federationを簡単に設定可能
設定内容
• IceWall Federationモジュールの
基本設定
• 認証連携を行うクラウドサービス
(SAML SP)の登録
追加できるSAML SPの種類
• IceWall Federation Agent
• G Suite
• Salesforce
• Office 365(SAML連携のみ)
• General(その他の一般的なSAML)
IceWall SSO(またはIceWall MFA)との組合せで、
SaaSだけでなくイントラWebアプリも含めたシングルサインオン
イントラ
Webアプリ
ユーザー
IceWall
サーバー
(リバースプロキシ)
IceWall
認証サーバー
認証DB
IceWall
Federation
IceWall SSO
SaaS
多要素認証
イントラ
Webアプリ
イントラ
Webアプリ
SaaS
認証連携(SAMLなど)
17
© Copyright 2018 Hewlett Packard Enterprise Development LP
SaaSのシングルテナント利用 ~IceWall SSOのID探索機能~
SaaS
Office365,
Salesforce など
SaaSをシングルテナントで利用したい場合、
認証連携先として指定できる認証DBは1つのみ
IceWall SSOのID探索機能を使えば
複数の認証DBのユーザーが
SaaSをシングルテナントで利用可能
認証DBが複数ある場合、
SaaSのテナントを分割するか
認証DBを統合するか
IceWall
Federation
(IdP)
SAML
認証連携
IceWall
認証サーバー
IceWall
認証サーバー
認証サーバー
IceWall
19
© Copyright 2018 Hewlett Packard Enterprise Development LP
SAML SP 機能実装のニーズの高まり
WebアプリのAWSやAzureへの移行
PaaSと連携
クラウド化の進展
サプライチェーンの強化のために
パートナー間でのWebアプリ相互利用拡大
システム相互利用の拡大
標準的なプロトコルの必要性
インターネット利用時のセキュリティ考慮
SAMLを認証の中心に
企業内Webアプリケーションにも
SAML SP機能の実装が求められている
幅広いWebアプリにSAML SP化が求められる
Webアプリケーションへの SAML SP機能 実装の課題と
IceWall Federation Agent による解決
• SAML SPの実装が困難
ボリュームのあるSAMLの仕様を読み解いて実装する必要あり
ID/Passwordの認証機能に比べ、技術的なハードルが高く余計な工数も必要
• パッケージ製品のWebアプリケーションには対応できない
多くのパッケージ製品はSAMLには対応していない
IceWall Federation Agent は、
WebアプリをSAML SP化するためのエージェント機能を提供
手間なく短期間でWebアプリケーションをSAML SP化できる
21
© Copyright 2018 Hewlett Packard Enterprise Development LP
Web
アプリケーション
IceWall Federation Agent 概要
ユーザー
IdP(Identity Provider)
ユーザー認証
① IdPにログイン
③ IdPの認証のみで
SPを利用可能に
② 認証されたユーザー
であることをIdPから
SPへ伝達
Webサーバー(Apache)
IceWall
Federation Agent
(SAML SPとして動作)
• Apache上で動作する
Webアプリケーションが対象
• Webアプリケーションはヘッダで
IDや属性などのユーザ情報を受けとる
• Webアプリケーション自体の
改修は軽微
IceWall Federation Agent リバースプロキシSSO 併用パターン
ユーザー
IdP(Identity Provider)
ユーザー認証
① IdPにログイン
③ IdPの認証のみで
SPを利用可能に
② 認証されたユーザーで
あることをIdPから
SPへ伝達
• Webアプリの改修の必要が全くない
• パッケージ製品のWebアプリでも利用可能
IceWall MCRP
(リバースプロキシ)
Webサーバー(Apache)
IceWall
Federation Agent
(SAML SPとして動作)
Web
アプリケーション
Web
アプリケーション
23
© Copyright 2018 Hewlett Packard Enterprise Development LP
SAML機能を自社で実装するリスク
公開された脆弱性の例:
2018/2/27 JVNVU#98536678
「複数の SAML ライブラリに認証回避の脆弱性」
SAML ライブラリには、認証回避の脆弱性があります。結果として、遠隔の第 三者が、細工した SAML メッセージを使い SAML サービスプロバイダの認証
を 回避する可能性があります。
その結果、遠隔の攻撃者は、改ざんした SAML メッセージを使って
SAML サービスプロバイダの認証を回避することが可能
となります。
出典 JVN 脆弱性対策情報データベース
SAMLの仕様を理解するのは難しく、 自社でSAML機能を実装するとセキュリティの問題も起こりやすい。
新たな脆弱性へ対応する労力が過大になり遅れてしまう。攻撃者の格好の餌食になりうる。
⇒ ベンダーが提供する製品を使用すれば、脆弱性への対策が確実かつ迅速に可能。
Azure AD環境との連携
• ユーザー認証はAzure ADで行う
• 非Windowsアプリを改修無しで認証を連携
• Azure ADに格納されていないユーザー属性も使用可
ユーザー
IdP
認証連携
SAML
Azure AD
Azure環境
ユーザー認証
アプリへの
アクセス
SP
Web
アプリケーション
Web
アプリケーション
Webサーバー
Federation
Agent
MCRP
(リバース
プロキシ)
Webサーバー
Federation
Agent
Web
アプリケーション
非Windows環境
リバースプロキシ型構成例
エージェント型構成例
25
© Copyright 2018 Hewlett Packard Enterprise Development LP
Azure ADを中心としたシングルサイオン環境
ユーザー
SAML
認証連携
Azure ADでの認証のみで
全てのアプリ/サービスを利用可能
・Webアプリケーション
・3rd partyパッケージ
Azure AD
Azure環境
オンプレミス/クラウド
非Windows環境
オンプレミス
Windows環境
AD
IceWall
Federation Agent
AD連携
SaaS
Salesforce
G Suite など
SAML
認証連携
Windows
アプリケーション
Office365
Exchange
SharePoint
Azureアプリ
ユーザー認証
Azure AD連携向けパッケージライセンス
「
IceWall Federation Agent for Azure AD Package
」
Azure ADとの認証連携をサポート
「
初期費用低減型ライセンス
」では以下を提供
IceWall Federation AgentとIceWall MCRP(リバースプロキシ)SE版のライセンス
本ライセンスで「エージェント構成」「リバースプロキシ構成」のどちらも使用可
サーバー1台あたり
・初期費用(ライセンス費) 100,000円(税抜)
・月額費用(保守費)
60,000円(税抜)
ソーシャルログインとは
SNSなどのソーシャルアカウントでのWebサービスへの会員登録やログインを実現します。
サービス利用者へのメリット
新規登録会員が大幅増。
サイト離脱率、カート放棄率が改善し売上がUP。
ユーザー情報の管理負荷が軽減。
サービス運用者へのメリット
新しくID・パスワードを記憶する必要なし。
スマートフォン等でのログイン操作がより簡単。
会員登録フォームへの入力がラク。
※ソーシャルログインの実装方法は各Webサービスによって異なります。ここでは実現例を挙げています。
Yahoo! ID
外部サイトの
IDでログイン
Yahoo! Japan
ソーシャルメディアへの
リンクをクリック
XXオンラインショップ
XXオンラインショップ
MY PAGE
ソーシャルメディアの
ログインID・パスワードを入力・送信
目的のWebサイトへの
ログイン完了
ソーシャルログイン使用イメージ
ID
パスワード
Yahoo IDでログイン
29
© Copyright 2018 Hewlett Packard Enterprise Development LP
IceWall Federation OIDC ソーシャルログイン
※ OPから取得したユーザー属性情報がWebアプリに渡
されます。取得できるユーザー属性や属性名はOP毎
に異なります。
IceWall SSOの認証DBにユーザーを登録する必要は
ありません。
1. IceWall SSOのログイン画面にアクセス、OPのログイン
ボタンを選択
2. OPにログイン
3. ログインセッションを生成
4. IceWall SSO経由でWebアプリへアクセス
連携検証済みのOP (2019年3月現在):
●Yahoo! ID ●Facebook ●Google ●LINE
OAuth 2.0/OpenID Connect 1.0
※1
によるソーシャルログインを実現
4
IceWall SSO
IceWall サーバー
IceWall
Federation
OIDCサーバー
Web アプリ
IceWall SSO
認証サーバー
RP
※3
Yahoo!Japan
OP
※2
LOG INYahoo! ID
PW
LOG IN
Yahoo! ID
ユーザー
3
※1 OpenID Connect:
OAuth 2.0をベースとする次世代認証アイデンティティシス
テムの最新標準規格。OpenID Foundationが仕様を策定。
※2 OP(OpenID Provider):
トークンを発行する側。ユーザーはログインしてトークンを
取得する。 (SAMLのIdPに相当)
※3 RP(Relying Party):
アプリケーションを提供する側。ユーザーはトークンを提示
してサービスを受ける。 (SAMLのSPに相当)
31
© Copyright 2018 Hewlett Packard Enterprise Development LP
OpenIDによる認証連携
OP(OpenID Provider)
【サイトA】
■RPがOPに認証を依頼し、認証結果を受け取る
■サイト間の通信にはOpenID 2.0を使用する
①RPにアクセス
③ OPにログイン
④認証結果の
検証を要求
②RPからOPへ
認証を要求
ユーザーのID/パス
ワードが登録済み
リバースプロキシ
サーバー
認証サーバー/
認証DB
IceWall SSO ソリューション
Federation
サーバー
■ユーザーがRPにアクセスする。
■認証を受けるOPを、RPの画面上で選択する。
RP(Relying Party)
【サイトB】
ユーザー
■OPはユーザー情報(ID,PWDなど)を管理する
■ユーザーはOPにID,PWDなどを入力して認証を受
ける
OP(OpenID Provider)
: IDを管理して認証を行うサイト
APIエコノミーの誕生へ ~なぜ、今、APIなのか?~
オープン・イノベーションの実現に向けて広がるオープンAPI
24%
15%
Source: Mind Commerce, Telecom Network API Marketplace
WebサービスのAPI利用
モバイルアプリのAPI利用
2018年には
68%
に増加と予測
インターネット上では、既に多数のAPIサービスが存在
サービス事業者はインターネット上のAPIを組み合わせ
た新サービスを模索
魅力的な新サービス = APIが必要
この流れが金融へ
新サービスの
早期実現
外部サービス事業者との協業
既存サービスの販売加速
Web API : 様々な機能をアプリケーションの中から利用しやすい形でまとめたもの。(Application Programming Interface)
ここでは、HTTPベースのリクエスト/レスポンスで、外部から簡単に機能を呼び出すためのSOAP/RESTインタフェースを指します。
33
© Copyright 2018 Hewlett Packard Enterprise Development LP
PFM (Personal Financial Management) サービスの例
利用者
銀行
クレジットカード
会社
電子マネー会社
PFMサービス
銀行やクレジットカードなどの履歴を集め、
非常に容易かつ詳細な記録をする
家計簿サービスを提供
PFMサービスが銀行やクレジットカード会社が持つ利用者の個人情報を取得するために、
現状では「Webスクレイピング(後述)」が利用されていることが多い
FinTechにおけるWebスクレイピングと その課題
インフラサービス
Webサイト
利用者
本来なら利用者が
直接Webで参照する
情報サービス
(PFMなど)
銀行Webサイトの
ログイン情報を
預ける
利用者から預かった
ログイン情報を使って
情報取得
課題
• パスワードも含むログイン情報を
第三者に預けることへの
セキュリティ上の懸念
より柔軟でセキュリティの高い連携方法が望まれる
• Webスクレイピングの実装は
情報サービスにとって開発の負荷が高
く、銀行側Webサイトのデザイン変更
に対応できない場合がある
• ログイン情報を預かった情報サービス
業者は必要以上の権限を持ってしまう
35
© Copyright 2018 Hewlett Packard Enterprise Development LP
オープンAPIを使った 柔軟でセキュリティの高い 複数サービス間連携
利用者
情報サービス
(PFMなど)
①情報要求
②インフラサービスへの
ログオンに誘導
③インフラサービスへ
ログオン
④アクセストークン
発行
⑤トークンに基づき
アクセス権を制御した
APIアクセス
インフラサービス
利点
• パスワードも含めたインフラサービ
スへのログイン情報を、情報サービ
ス業者に預ける必要が無い
• 情報サービス業者にとって実装する
のが容易でインフラ側Webデザイン
の変更にも影響は受けない
• 情報サービス業者は、インフラサー
ビスに対して必要最小限のアクセス
権しか持たない
IceWall Federation OIDC / OAuth OP
IceWall SSOのOpenID Connect1.0/OAuth 2.0 OP機能を利用することで、オープンAPIの利用環境においてもセキュアな認
証環境の構築が可能になります。
認証によりユーザの同意に基づくセキュアな
リソースのアクセスが可能
認証は一旦OPにリダイレクトされ、リソースのアク
セス権限は「トークン」と呼ばれるもので通知されま
す。お客様のパスワードを外部に漏らす心配はあり
ません。
オープンな仕組みでWeb APIを通じたサービス提
供
OpenID Connect 1.0/OAuth 2.0は、ここ数年広く
普及してきたオープンな仕組みであり、Web APIに
よって幅広いサービス提供を安全に実現するため
に好適の技術です。これによって、利用者に対して
安心性と利便性が両立したサービスが提供できる
37
© Copyright 2018 Hewlett Packard Enterprise Development LP
Amazon API Gateway との連携
Amazon API Gateway とIceWall Federation OIDC/OAuth OPとの連携
「IceWall技術レポート:「Amazon API Gateway」と「IceWall Federation OIDC/OAuth OP」との連携」
https://www.hpe.com/jp/ja/japan/icewall/report/Amazon_APIGateway.html
39
© Copyright 2018 Hewlett Packard Enterprise Development LP