1 はじめに 本資料は SmartOn NEO から SmartOn ID に移行する際に 事前に知っておくべき要点をまとめたものです SmartOn NEOからSmartOn IDへの移行手順書は別途ございます 詳細は移行手順書をご確認ください また 本資料において記載されている 移行手順書 とは

ユーザーにクライアントへの初回ログオン時に登録してもらう方式の場合、各ユーザーの

SmartOnユーザー名と初期パスワードを通知する必要があります。

SmartOn NEOからSmartOn IDに

移行するための技術要点書

株式会社ソリトンシステムズ

IT Security Products & Service 事業統括本部

Rev.1

はじめに



本資料はSmartOn NEOからSmartOn IDに移行する際に

、

事

前に知っておくべき要点をまとめたものです。



SmartOn NEOからSmartOn IDへの移行手順書は別途ござい

ます。詳細は移行手順書をご確認ください。また、本資料にお

いて記載されている「移行手順書」とは全て下記の資料を指し

ます。



移行手順書名：SmartOn NEO→ID 移行ツール手順説明書



SmartOn NEOからSmartOn IDへの移行を行う際は、導入業

者等へコンサルティング・作業をご依頼されることをお勧め致

します。



Windowsサーバー構築やActive Directory構築についてのご

相談は

、

Microsoft社もしくは販売代理店までお願い致します。

SmartOn NEOとSmartOn IDの主な機能の違い

機能 説明 SmartOn NEO SmartOn ID

標 準 機 能 Logon Windowsログオン時に認証トーク_{ンを必須とさせる機能} ○ ○ Desktop PC操作制御 ○ ○ Pass ID/PW入力代行型シングルサイン_オン ○ ○ Crypt ファイル/フォルダ暗号 ○ ○ ログサーバー NEO/ID両用です。 ○ オ プ シ ョ ン 機 能 デバイス制御 USBマスストレージ/WPDの個体識_別制御 ○ ○ 1XGate IEEE802.1Xサプリカント ○ - (後述P.14) for リモートアクセス VDI/SBC対応 - ○ 指ハイブリッド認証 詳細はお問い合わせください - ○ そ の 他 認証トークンへのアクセス方式 認証トークンとは、SmartOnで利用しているICカードやUSBトーク ンのことです。 SmartOnユーザー名・ パスワード、PINなど を読み書き 格納されている一意のID を読み取り Soliton SecureGateway(SSG)

Soliton SecureBrowser Pro(SSBP)連携

スマートデバイス等にインストー ルされたSSBPでの

・SSGログオンのID/PW認証連携 ・Pass(ブラウザ認証)

SmartOn IDで利用可能なトークン/ICカードリーダーについて

 認証トークンの継続利用可否 認証トークン SmartOn IDでの利用 補足 非接触ICカード 弊社販売SmartOn用FeliCaであれば継続利用可能です。弊社以外からご購 入のFeliCaでも、多くの場合は利用することができます。(※1、3) Type-Bカードも利用可能な場合があります。(※2) FeliCa その他 接触ICカード

SmartOn NEOで利用中のトークンはSmartOn IDでは利用できません。 SmartOn IDで接触ICカードを利用する際は、接触ICカード製造時に認証 情報を付与する必要があり、別途購入する必要があります。(※3) Standard-9は販売終了しま した。 Smartics-J4K Standard-9 その他 USBキー ・継続利用可能です。(※3)

・eToken PRO 16KB(2003年以前に販売)はSmartOn IDではご利用いた だけません。 eToken PRO 32KBは販売 終了しました。 iKey 1000 8KB eToken PRO 32KB ※1 カード内に、読み取り専用で一意なデータが書き込まれている非セキュリティ領域が必要です。 FeliCaチップのシリアル番号である「IDm」も利用可能ですが、お勧めいたしません。 (ソニー社もセキュリティーには利用しないよう呼びかけています。) ※2 カード内に、運用中に変更のない、一意なデータが書き込まれている領域があれば継続利用可能な場合もあります。 その場合、その領域へ至るカードに対するコマンド等を確認する必要があり、カード設計社とのやりとりが必要となります。 ※3 SmartOn IDで利用する際は、SmartOn ID環境で新たにトークン登録が必要です。

 ICカードリーダー

 SmartOn NEOで使用中のICカードリーダーが、下記弊社SmartOn ID製品情報ページの記載デバイスに含ま

れている場合、継続利用可能です。

SmartOn IDの構成

既存Active Directory

SmartOn ID用Active Directory

③Windowsドメイン認証 ①SmartOn認証 ②ACLのダウンロード Active Directory SmartOn ID クライアント SmartOn ID ACLサーバー(プライマリ) ディレクトリ複製 SmartOn ID マネージャー ACL情報の更新 SmartOn ID ACLサーバー(セカンダリ)

※1 SmartOn IDのACLサーバーは、「既存Active Directoryとは別立て」、「冗長構成」を推奨しております。 ※2 SmartOn NEOでログサーバーを利用されている場合、SmartOn IDの環境においても利用可能です。

SmartOn NEOとSmartOn IDのシステム

構成要素は同じですが、各ACLサーバー、

マネージャーの同居、兼用はできません。

認証処理の違い

-SmartOn NEOの場合-

SmartOn NEO ACLサーバー

(Active Directory)

•

SmartOnアカウント

•

SmartOnパスワード

•

Windowsアカウント

•

Windowsパスワード

Windowsドメインコントローラー

•

Windowsアカウント

•

Windowsパスワード

SmartOn NEOクライアント

ユーザー

①トークンへの個人認証 （PIN入力） ③SmartOn認証 トークン無効化情報 などの照会 ④Windowsログオン用認証情報の取得 その他ユーザー情報の取得 ⑤Windows認証 _{(Windowsログオン)}

認証トークン

• SmartOnアカウント • SmartOnパスワード ②PINにより解錠。 SmartOn認証情報の取得 SmartOn NEOで特徴的な箇所

認証処理の違い

-SmartOn IDの場合-

SmartOn ID ACLサーバー

(Active Directory)

•

SmartOnアカウント

•

SmartOnパスワード

•

Windowsアカウント

•

Windowsパスワード

Windowsドメインコントローラー

•

Windowsアカウント

•

Windowsパスワード

SmartOn IDクライアント

ユーザー

トークン

③トークンIDよりユーザー照会し SmartOn認証 トークン無効化情報 などの照会 ④Windowsログオン用認証情報の取得 ユーザー情報の取得 ⑤Windows認証 _{(Windowsログオン)} SmartOn IDで特徴的な箇所 ②トークンIDの読み取り(PIN必要なし) ①SmartOnパスワード入力 (省略設定可)

認証処理の違い

–まとめ-



ログオン時に手入力する文字列について

 SmartOn NEOでは、ログオン時に「PIN認証」が行われますが、SmartOn IDでは「PIN 認証」ではなく、「SmartOnパスワード認証」が行われます。 • SmartOn NEOにおける「PIN認証」とは、トークン内に書き込まれたSmartOn情報を取得するために行 われる、トークンに対する認証です。トークンより取得したSmartOnユーザー名/SmartOnパスワードに てACLサーバーに対し認証を行います。 • SmartOn IDにおける「SmartOnパスワード認証」とは、トークンから読みだした一意のID(トークンID) と、ユーザーの入力したSmartOnパスワードをもってACLサーバーに対し認証を行います。(ACLサー バー内では、トークンIDを元にユーザー照会が行われています。)



PINロックについて

 SmartOn NEOでは、PIN入力を設定回数連続して間違えると「PINロック」(トークンを ロックします)がかかりました。SmartOn IDでは、トークンへの書き込みが行われない ため、トークンのロックはできませんが、ACLサーバーのグループポリシー設定で、ア カウントのロックが可能です。



操作感の違いについて

 ログオン時やロック解除時などで入力する値が「PIN」から「SmartOnパスワード」に 変更されますが、パスワードを入力するという点においてユーザーの操作感は変わりま せん。

移行作業の流れ



事前確認



利用中の認証デバイス、及び機能が

SmartOn IDで利用できるかを確認します。



認証トークン内のどの部分をSmartOn IDで利用する一意のIDとするかを決定

しま

す。

(カード設計社やご購入元とご相談ください。)



トークン登録方法

を決定します

。-(後述P.11)



SmartOn IDへの移行作業の流れ

1.

SmartOn ID ACLサーバー及びSmartOn ID マネージャーを新規に構築する。

2.

SmartOn ID マネージャーに最新のアップデートパックを適用する。

3.

既存のSmartOn NEO ACLサーバーをV2.8対応のスキーマに拡張する。

4.

SmartOn NEO ACLサーバーから設定情報をCSVファイルとして

エクスポート

する。

5.

SmartOn NEO ACLサーバーからエクスポートしたCSVファイルを

コンバート

する。

6.

コンバートしたCSVファイルをSmartOn ID ACLサーバーに

インポート

する。

7.

インポート後に必要な設定を行う。

データ移行について



SmartOn NEO で設定した情報をCSVファイル変換ツールを使用することで、

SmartOn IDへ情報の引き継ぎが可能です。

(※一部の設定情報は引き継ぎができませ ん。詳細は、移行手順書をご確認ください。)



データ移行の簡易イメージ



SmartOn NEOのインポートエクスポートツール(※)を使用し、SmartOn NEO

ACLサーバーから既存の情報をCSVでエクスポートします。そのCSVファイルを

CSVファイル変換ツールでSmartOn IDで認識できるCSVファイルに変換します。

その後SmartOn ID のインポートエクスポートツール(※)でSmartOn ID ACLサー

バーにインポートします。

(

※CSVファイル変換ツールに付属しています。) SmartOn NEO ACLサーバー SmartOn ID ACLサーバー NEO ID CSVファイル 変換ツール エクスポート コンバート インポート

SmartOn IDで設定が必要な項目



以下項目はSmartOn ID移行後に、設定が必要です。

設定一覧

補足

ID読込先の設定

認証トークン内のどこの領域をトークン

_{IDにするか設定します。}

トークン登録

SmartOn IDで利用するトークンを登録

_{します。(後述P.11)}

ディスク設定の接続先ACLサーバー設定

の変更

接続先ACLサーバーをSmartOn IDの

ACLサーバーに変更します。

初期アカウントの設定

(後述P.12)

サブマネージャーライセンスの新規発行

トークンの登録について



SmartOn IDを利用する際は必ずトークンを登録する必要

があります。



SmartOn IDでトークン登録を行う方法



方法1：CSVを使って一括でトークンIDを登録

• IDとして読み込む領域のデータ(トークンID)を、一覧でお持ちの場合のみ利用可能です。 インポートエクスポートツールを利用します。トークンの回収は不要です。 

方法2：初回ログオン時にユーザー自身がトークン登録

• 管理者が各ユーザーにSmartOnユーザー名と初期パスワードを通知し、ユーザーが初 回ログオン時に登録することができます。トークンの回収は不要です。 

方法3：SmartOn IDマネージャーに個々に登録

• トークンを回収する必要があります。

初期アカウントとは

 SmartOn IDでは、「初期アカウント」の登録が必要です。  SmartOn IDクライアントがACLサーバーへ初めて認証を行う際、今認証しようとしている SmartOnユーザー情報のない状態でアクセスします。(認証時、SmartOnユーザー名の入力を求め ないため。)この際、ACLサーバーの基盤であるActive Directoryにアクセスするためには、ディレ クトリ参照権限のあるユーザーのID/PWが必要です。初回はキャッシュ情報が無いためディスク に予めユーザーのID/PWを設定しておきます。これが「初期アカウント」です。  接続に成功後、トークンが有効かどうか、トークンIDを元にしたユーザーの照会を行います。そ の端末の2回目以降の認証には、初期アカウントではなくSmartOn認証で取得したSmartOnユー ザー名・パスワードを使用して接続を行います。  SmartOn NEOの場合は、認証トークンより取り出したSmartOnユーザー名/パスワードを用いて ACLサーバーにアクセスするため、初期アカウントは必要ありませんでした。

SmartOn IDクライアント _{ACLサーバー} SmartOn ID

①初期アカウントでのLDAP接続 ②SmartOn認証 ③ACL情報ダウンロード 注意：ACLサーバーでアカウントのパスワード期限があると、期限が切れたときにパスワード変更が出来な いために認証に失敗します。初期アカウント用ユーザーはパスワード期限を無期限に設定してください。 初期アカウントに持たせるべき権限などは、SmartOn ID管理者ガイド 8.5.7章「初期アカウントの設定」 ディスク設定のプロパティ画面-初期アカウントの設定-

クライアント展開について



SmartOn IDクライアントの展開方法

 以下2つの方法があります。

• SmartOn NEOクライアントのアンインストール後に、SmartOn IDクライアントのインストール • SmartOn NEOクライアントにSmartOn IDクライアントの強制上書きインストール

– １XGate機能がインストールされている場合は、強制上書きインストールはできません。



認証デバイスの変更がある場合の展開方法

1. SmartOn NEOクライアントをアンインストール 2. 既存のデバイスドライバをアンインストール 3. SmartOn IDで使用するデバイスドライバのインストール 4. SmartOn IDのクライアントをインストール



SmartOn NEO→SmartOn ID移行時に、モジュールアップデート機能はご利

用いただけません。



インストール時に管理者権限を与えたディスクを発行する機能もあります。

 通常、SmartOnクライアントのインストールにはローカルの管理者権限が必要となりますが、ここにロー カルの管理者権限を持つユーザーのアカウント、パスワードを指定してディスクを発行すると、インス トーラを起動したユーザーの権限ではなく、指定したアカウントの権限でインストールを実行することが できます。

SmartOn NEO 1XGate機能をご利用の場合



本機能は、SmartOn NEOの独自機能です。 SmartOn IDではWindows標準サプリカ

ント等への移行をご検討ください。



ご注意事項

 802.1x認証設計の見直しが必要になります。 設計の見直しやWindows標準サプリカントについてのお問い合せは、Microsoft社や販売代理 店へお願い致します。  Windows標準サプリカントのシングルサインオン機能(ネットワーク認証とWindowsログオ ンを同時に行う機能)はご利用いただけません。この機能は、Windows標準Credential Provider(Windowsのログオン画面の機能モジュール名)を利用しますが、SmartOn IDは Credential Providerを専用のものに置き換えているためです。  その他、ご注意点を弊社FAQサイトにて公開しております。下記ご参照ください。

• FAQ No.5454 SmartOn 1XGate利用ユーザーが Windows 標準サプリカントに移行する際の制限事 項/注意事項について

– https://secure.okbiz.okwave.jp/faq-soliton/faq/show/5454

※上記FAQは、SmartOn NEO年間サポートサービスご契約者様専用FAQです。ご契約者様専用アカウン トでログイン後、上記FAQをご覧ください。

補足事項



SmartOn NEOのPINに対する以下のポリシーをSmartOn IDで実現す

る場合、SmartOn ID ACLサーバーの

基盤ADのグループポリシーの

設定を利用し、パスワードポリシーを決めてください。

オブジェクト

機能、項目名

ユーザー・OU

PINの有効期間

ユーザー・OU

PINの変更禁止期間

ユーザー・OU

認証PINロックまでの回数

ユーザー・OU

最少のPINの長さ

※詳細は、SmartOn ID管理者ガイド 2.2章「ドメインセキュリティーポリシーについて」をご参照ください。