2010/4/16 HP Security DAY 2010 日本ヒューレット・パッカード株式会社 テクノロジーサービス事業統括 テクノロジーコンサルティング統括本部 セキュリティソリューション本部 小早川直樹
1-A:
パブリック、インターナルクラウド
を連携する統合認証基盤の
トレンドと今後の活用のご紹介
HP Security DAY 2010
目次
■
認証基盤とは?
■
統合認証基盤
■
統合認証(ユースケース)
■
HP IceWall SSOのご紹介
■
HP IceWall SSOにおける統合認証
■
HP IceWall SSOにおけるWindows環境との連携
■
HP IceWall SSOロードマップ
2010/4/16 HP Security DAY 2010 33
認証基盤とはアプリケーションに代わって、「
アクセスコントロールの
4A
」を実現するものです。
アクセス管理製品、あるいは
Single Sign On 機能に注目して、SSO製品などと呼ばれています。
認証基盤導入後
コンプライアンス オフィサー
■認証基盤がアクセスコントロール 4Aを担当
■Single Sign Onを実現
認証機能
Webアプリ Webアプリ Webアプリ
LOG IN ID PASS IT管理者 ■アプリケーション毎に個別にアクセ スコントロールの4Aを実施 ■アプリケーションごとに個別に認 証が必要
認証、アプリケーションが一体
アプリケーション 管理者 アプリケーション 管理者 アプリケーション 管理者 アクセスコントロール4A ・認証 ・認可 ・管理 ・監査証跡 アプリ別 監査証跡の管理 アプリ別 認証・認可 アプリ別認証 アクセス制御認証
認証 認証 認証認証基盤とは何か
アプリケーション2010/4/16 HP Security DAY 2010 5
認証基盤導入のメリット(ユーザの視点)
営業部ユーザ
人事部ユーザ
コンテンツローテーション
/時間表示切替
他のアプリケーションと連携
しセルフサービスを実現
Enterprise Page↓Group Page↓
My Page↓
営業用
↓
人事用
↓
(構築例)
HP IceWall SSO Dynamic Menu Portalでの例
アクセス権限を有する
アプリケーションの一覧を
表示、認証無しでアクセス可能
認証基盤導入のメリット(開発者の視点)
サーバ・セキュリティ クライアント証明書 SSL アクセス制御 タイムアウト セッション管理 認証システム担当部分 ~セキュリティ機能を提供~ アプリケーション開発部分 ~業務ロジックに集中~ ユーザ登録・変更・削除 パスワード・ポリシー・チェック 長さ/有効期間/履歴/ 英数字混在/IDと同一不許可 パスワード変更 ID/パスワード入力・照合 ユーザ・インターフェイス開発 APロジック開発 DBアクセス 情報継承 認証システム 認証基盤導入前 認証基盤が認証、アクセス制御、セキュリティ対策をサポート 認証システムA 認証システムとアプリケーションを分離するメリット 認証基盤導入後 認証部分とアプリ部分を分けて開発可能 認証基盤がサポートする領域 ■サービス拡充が容易 ・ 維持管理、改修コストの削減 ・ 新サービスのスピード化 ・ パッケージ、ASPの追加が容易 ■各サービスへのセキュリティ対策も統一が可能 ■二要素認証等も認証、アクセス基盤への対応のみ WebアプリA アプリWebB アプリWebC アプリWebN
セキュリティ対策 セキュリティ対策 認証システムB 認証システムC 認証システムN Web アプリN Web アプリC Web アプリB Web アプリA
認証、認可、セキュリティ部分の共通化により、開発コスト、改修コスト、開発期間が大幅に削減
可能
2010/4/16 HP Security DAY 2010 7
認証基盤のその他のメリット
ビジネスロジック
UI
認証基盤
Security
認証・認可の統合
1
Security
SQL Injection、 クロスサイトスクリプ ティングなど2
多様なデバイスの
サポート
3
シングルサインオン
4
統合認証
DB
証跡ログ
ビジネスロジック
UI
ビジネスロジック
UI
証跡ログの一元管理
5
認証認可情報、ユーザ属
性情報の一元管理
6
各アプリケーションへ
の属性の配布
7
N対NをN対1に変えることにより、変化に柔軟に対応
認証基盤の本質
全体最適化された
ITシステム
サイロ化したアプリケーション 全体最適化が優れている理由 サイロ型の ITシステム 水平型のITシステム アプリケーションや部門の数 時間と 費用 サイロ化のITシステム: アプリケーションや部門が増えるほど 時間と費用がかかってしまう。 水平型のITシステム: アプリケーションや部門が増えても 時間と費用があまり増えないUI
認証・認可・証跡ログ ビジネスロジックポータル
UI
UI
ビジネスロジック ビジネスロジック ビジネスロジック ビジネスロジック DB DB 防御セキュリティWebSSO
人事AP 営業AP サービスAP DB 認証 ビジネスロジック UI 防御セキュリティ 営業AP DB 認証 ビジネスロジック UI 防御セキュリティ 人事AP DB 認証 ビジネスロジック UI 防御セキュリティ サービスAP企業内のITシステムの全体最適化を支援する
2010/4/16 HP Security DAY 2010 9
認証基盤導入効果(まとめ)
課題
認証基盤導入後
コスト
各アプリケーションでのアカウント管理コスト
ヘルプデスクコスト(パスワード忘れ)
アプリケーション開発コスト
認証基盤で集中管理
問い合わせの削減
開発コストの削減
セキュリティ
多数のパスワード管理による漏えい
各アプリケーション上の不正確なユーザ属性情報
古いアカウントが放置
ログの点在、フォーマットの不統一による証跡情
報不足
各アプリケーションのセキュリティぜい弱性への対
処
単一パスワード
最新のユーザ属性を認証基盤か
ら各アプリケーションに配布。
古いアカウントの使用不可。
一元ログ出力
リバースプロキシによるセキュリ
ティぜい弱性対策
アジリティ
アプリケーション開発期間
新たなセキュリティ脅威やポリシーへの追随
ログ分散による問題の解析時間
開発期間の短縮
改修期間の短縮
ログの集中管理
利便性
何度もID入力
権限のあるアプリケーションの識別
シングルサインオン
ダイナミックメニュー
セキュリティ製品と分類されるが、上手に活用することにより
コストを削減させ、利便性を向上させる
認証基盤導入が企業を次のステージに導く
統合
ID作成
統合認証
DB
の構築
統合
ID普及
(誰でも容易に利用
できるようにする)
認証基盤の構築
セキュリティ
脅威
二要素認証
生体認証など
新たな
クライアント
統合認証へ
Windows
環境との統合
クラウド接続に
利用
サイト間認証
連携で利用
通常はホストから データをそのまま もってくるケース が多い 認証が1つになれ ば他サイトとの認 証連携が容易変化への迅速な
対応
アプリを変更する
ことなく対応結果
がそのまま反映
STEP1
STEP2
STEP3
ポリシーの
変更
2010/4/16 HP Security DAY 2010 11
11
統合認証基盤
認証・認可・証跡ログ 防御セキュリティ Webアプリケーション UI開発 APロジック開発 DBアクセス 情報継承 Webアプリケーション UI開発 APロジック開発 DBアクセス 情報継承 Webアプリケーション UI開発 APロジック開発 DBアクセス 情報継承認証基盤
サイト間 認証連携 SAML OpenID ShibbollethCloud連携
Google SalesForce AzureWindows
AD 統合認証 MOSS 認証・認可・証跡ログ 防御セキュリティ認証
基盤
連携モジュール 仕様の実装統合
認証基盤
認証基盤が提供するもの
統合認証基盤に求められているもの
認証基盤を自社外に拡張し、さらなく全体最適化を実現する。
2010/4/16 HP Security DAY 2010 13
統合認証における認証連携方式
Form認証
独自方式
Windows
統合認証
Basic認証
認証連携
標準方式
サイト間
認証連携
独自認証
方式
Windows
認証連携
クラウド
認証連携
OpenID
SAML等
統合認証を実現するための方式には標準と独自の方式が
存在する。
認証連携標準方式
標準方式
主な用途
実装サイト
実装製品
SAML
クラウド・コン
ピューティング
との連携
企業間連携
Google(SP)
SFDC(SP)
gooID(IDP/SP)
MyDoCoMo
ADFS, Tivoli,
IceWall, SIOS 他
OpenID
BtoCサイト間連
携
Google,ヤフー,
Mixi(IDP)
Smart.fm(RP)
Uni-ID, Tivoli,
NEC,シックスア
パート
,IceWall他
WS-Federation
Windows 環境
連携
Azure
ADFS、IIS
MOSS
Shibboleth
大学間連携
大学
IceWall
2010/4/16 HP Security DAY 2010 15
認証連携標準方式
(SAML)
認証連携とは、それぞれ個別に認証機能を持つサイト間でのシングルサインオンのこと。サイト間で認証情報
を交換し信用することにより、連携した別サイトにアクセスする際にも認証を有効にする。これによって、一度
認証を受ければ再度認証を受けずに(ユーザ
ID/パスワードの入力等なしに)連携した他サイトのWebシステ
ムにアクセスできるようになる。認証の連携は、サイトの中身に中立な標準仕様によって行われる。
サイト
サイト
A
A
サイト
サイト
B
B
信頼関係
SP
IDP
認証済
です
認証します。 信用します。 Aさん登録 済 Login UserID Passwd IDを1回入力するだけで ログイン操作無しでア クセスできます アカウント 登録不要 許可した 属性のみ引き 渡し セキュリティ に配慮当初は
URLでIdentityを表現。
OpenID2.0で一般的なサイト間の認証連携の仕様として発展。
サービス提供サイト (Relying Party) ①OPを選択。 ユーザ 情報提供 サイトA 情報提供 サイトB 情報提供 サイトC ③OPで認証。 Login UserID Passwd user01 **** ログイン OpenIDでログイ ン プロバイダーXYZ ⑤サービスを提供① ユーザは、OpenIDに対応したサービス提供サイト(Relying Party)で、IDとなるURL(OpenID URL)を入力するか、ま たは、プルダウン等で自分がいつも使っているプロバイダー(OpenID Provider)を選択する。 ②、③ ユーザは自分がいつも使っているプロバイダーに誘導されます。プロバイダーのユーザIDとパスワードで認証。 ④、⑤ ユーザは認証後に元のサイトに誘導されて、目的のサービスにアクセス。 ② ④ ユーザがいつも使っているプロバイダー (OpenID Provider) プロバイダーXYZ
OpenID
2010/4/16 HP Security DAY 2010 17
WS-Federation
WS-*フレームワークの認証連携のための仕様です。
Windows Server 2003R2、Windows Server 2008のActive Directory Federation
Service(ADFS)で実装されています。
主な使われ方
‐サイト間でのActive Directoryユーザの相互認証
ADFS 2.0(Geniva)ではSAML2.0への対応と、Share Point2007、Active Directory Rights
Management Services (AD RMS)への連携を強化.
企業A 企業B
1
Windowsログイン2
ADSFで連携3
他企業の業務アプリ にアクセス *企業A,B間でフェデレーション信頼を結びます。 Active Directoryのフォレスト信頼は不要です。Active Directory Active Directory
2010/4/16 HP Security DAY 2010 19
SP:認証依存サイト
Browser
IDP:認証提供サイト
海外の大学など、情報の提供者
日本の大学など。IDの管理者
コンテンツ■
Shibboleth
•
Shibbolethは、教育機関における認証連携方法として普及しつつあります。
•日本では「学術認証フェデレーション(愛称:
UPKI-Fed)」として推進されています。
•
Shibbolethのモジュールを、Internet2がオープンソースとして公開しています。このモジュールを使用
すれば、個別に
Shibbolethの仕様部分を実装する必要はありません。
Shibbolethはサイト間の認証連携の仕様で、SAMLをベースにして拡張したものです。
Shibbolethを使うことで、ユーザはさまざまなサイトで別々のユーザー名でログインする必要がなくなり
ます。(アカウント登録はIDPだけ)
統合認証の課題
• 標準やプロファイルが多数ある
• 対応製品、サービスが少ない
• PC用ブラウザ以外に未対応
• 仕様の範囲が広い
• 必ず接続検証が必要
• 認証基盤の普及が十分でない
クラウドの
SAML2.0対応、ADFS2.0、OpenIDの普及
によりブレークする可能性あり。
2010/4/16 HP Security DAY 2010 21
SAML方式の採用・例
採用されているバージョン(
SAML1.1と2.0)及びプロファイル(Browser-ArtifactとBrowser-POST)は様
々
SP/IDP SAMLバージョン プロファイル 備考1.1
2.0
Browser
-Artifact
Browser
-POST
Google Apps SP
×
○
×
○
SaaSSP起動のみ
Salesforce.com SP
○
○
×
○
SaaSIDP起動のみ
gooID/マスターID IDP/SP
×
○
×
○
(Liberty Day 2007事例)プロバイダー間の連携
ネットTV2.0 IDP/SP
○
×
○
×
家電 Juniper SecureAccess
IDP/SP
○
×
○
○
SSL-VPN機器My docomo IDS/SP
×
○
○
×
(Liberty DAY2008事例) サービス間の連携LotusLive SP
○
×
×
○
SaaSIDP起動のみ
Windows Azure SP
×
○
×
○
SaaS認証連携方式で必要な仕様は?
実際にニーズが高い仕様は限られます。
仕様
SAML
1.1
Libert
y
ID-FF
SAML
2.0
OpenID
IceWall SSO
SAML2.0オ
プション
シングルサインオン
(SSO)
○
○
○
○
○
SSOアサーションによ
るユーザ属性引渡し
○
○
○
○
○
シングルログアウト
×
○
○
×
×
ユーザ操作によるID
マッピング
×
○
○
×
×
SSO後のユーザ属性
取得
○
×
○
×
×
・・・・
×
×
○
×
×
2010/4/16 HP Security DAY 2010 23
23
統合認証
統合認証におけるユースケース
統合認証による多様なユースケースが考えられている。
■グループ企業が提供する複数のインターネットサービスの統合認証(ポータルモデル)
■
Public Cloud との統合認証(クラウドモデル)
■保持している
IDを活用した他サイトへのログイン(BtoCモデル)
■グループ企業間で共有するサービスの統合認証
BtoBモデル)
■アウトソーシング先との統合認証(
BtoEモデル)
2010/4/16 HP Security DAY 2010 25
ポータルモデルでの利用イメージ
統合認証によりサービス間の連携を強め、自グループへのユーザの囲い込み、ブランディングイメージを高める
統合認証の実現により ■ それぞれのサイトごとの個別のアカウント作成や住所などのデータ入力が不要となる。 ■ 1度の認証ですべてのサービスにログイン可能となる。統合認証
カード
認証
交通
認証
ショッピング
認証
ニュース
認証
ユーザ
標準仕様
クラウドモデルでの利用イメージ
Enterprise
Portal
人事
社員
総務
住宅ローン
社内
ユーザ
認証
Cloud Service
Provider
Cloud Service
Provider
認証
認証
統合
社内の認証基盤を拡張して、クラウド・コンピューティングとの接続
2010/4/16 HP Security DAY 2010 27
IDPにとっては、保持しているIDを活用するメリット
SPにとっては、IDPのユーザからアクセスしてもらえるメリット
IDP
SP
SP
ショッピングサイト 証券サイト XYZ会員サイト ニューヨーク ①アクセス ③ID/パスワー ド入力 ②同意画面 認証連携 ④決済依頼(パッチ)相互認証を結んでいるサイト間での認証連携
Aさんが登録している 会員サイト。 自宅住所、決済情報を保持。 AさんはログインIDを 保持していないが、 XYZのIDを利用して 買い物ができる ③認証結果、 送付先、与信枠 などを送付認証
統合
BtoCモデルでの利用イメージ
IDP
SP
IDP
SP
SP
SP
SP
SP
SP
OpenID/SAMLにより統合
選ばれた
IDPのみ
生き残る
IDP
SP
IDP
SP
IDP
SP
IDP
SP
IDP
SP
IDP
SP
IDP
SP
IDPとSPが一体、独立
IDP
SP
OpenIDやSAMLを実装することにより
単一
IDを利用した複数サイトへのログインが可能
となる
したがって、
BtoCにおいては大手IDプロバイダとなることが戦略的に重要。
BtoCモデルでの利用イメージ
2010/4/16 HP Security DAY 2010 29
本社のアプリケーションを関連会社に開放するモデル
Case ■ 本社の業務システムを関連会社間で共有。 ■ 業務システムを使用する関連会社のユーザのアカウントを本社側に登録して対応。 ■ 関連会社のアカウントが増え管理が煩雑化し、アカウントの消し忘れなどのセキュリティの問題も発生。 本社サイトと関連会社サイト間での認証連携に実現により ■ ユーザが関連会社サイトで認証済みであれば、本社サイトへのアクセスを可能とする。 ■ 本社側に関連会社のアカウントを追加する必要がない。 関連会社A 本社 製品情報 出荷情報 価格情報Internal Cloud Service
関連会社B
BtoBモデル
社外者にアカウントを発行する際の問題を解決
課題
GSSO導入前
GSSO導入後
アカウント発行業務
のコスト
社外者にアカウントを発行する
には非常に手間がかかる。
ユーザは、自社で日常使っている
アカウントのみを使用するため、
社外者のアカウントを管理する業
務はなくなる。
ユーザ属性の鮮度
ユーザの属性情報(連絡先等)
がタイムリーに更新されている
かどうかわからず管理が難しい。
日常的に使用しているアカウント
に紐付いたユーザ情報(連絡先
等)はタイムリーに更新されること
が期待できる。
アカウントの不正利
用
アカウントが適切に管理されて
いるかどうかわからず、管理が
難しい。担当者間で使いまわし
されていてもわからず管理が難
しい。
日常的に使用している自分のア
カウントは、各自が適切に管理す
ることが期待できる(パスワードの
管理等)
不要アカウントの放
置
異動等によって不要になったア
カウントは放置されていてもわ
からず、管理が難しい。
自社のアカウントは通常人事情
報に結びついているため、異動、
退職等によって使われなくなった
アカウントは適切に処理されるこ
とが期待できる。
解決
2010/4/16 HP Security DAY 2010 31
職域(企業従業員)向けサービスを利用する際のイメージ
Case ■ C社は契約企業の福利厚生サービスを提供。各契約企業別の特典を掲載した福利厚生専用Webサイトを各契約 企業のイントラネットのポータルからリンクしてもらっている。各契約企業の社員は、自社向けの福利厚生専用 Webサイトに共通のアカウント(1種類のID/パスワード)を共有してログイン。 ■ C社はアカウントの共有はセキュリティ上問題ではないかと考えている。しかし各契約企業のアカウントの入手や管 理は考えていない。 C社の福利厚生専用Webサイトと各契約企業のポータルサイト間での認証連携の実現により ■ 契約企業の社員としてポータルサイトで認証済みであれば、自社向けの福利厚生専用Webサイトへのアクセスを 可能とできる。C社が各契約企業のアカウントを管理する必要なし。 人事 総務 福利厚生 Y社ポータルサイト 宿泊施設 旅行補助金申請 財形貯蓄 X社向け福利厚生ページ 人事 総務 福利厚生 X社ポータルサイト 契約会社X サービス会社C社 ユーザ DB 補助金申請 スポーツクラブ 財形貯蓄 Y社向け福利厚生ページ 契約会社Y ユーザ DBBtoEモデルでの利用イメージ
HP IceWall SSO
のご紹介
2010/4/16 HP Security DAY 2010 33
HP IceWall SSOは、
日本
HPが国内で開発し、製品として提供している
NO.1* Webシングルサインオンソリューション(Single Sign On=SSO)
です。
HP IceWall SSOは、1997年の発売以来、日本国内においてイントラネットサービスや
BtoC、BtoBサービス等の多くのシステムへの導入実績があり、現在までに
合計
4,000万以上のユーザライセンスが販売されています。
* 出荷金額ベース 国内Webシングルサインオンパッケージ市場No1 日本HP:35.2%(出典:ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望 内部統制型・情報漏洩防止 型ソリューション編 2009」2009年6月刊)HP IceWall SSOとは
ver.8.0 R3までに4000万超ユーザライセンスを販売。
3つの市場調査において業界市場シェアNO.1に輝くシングルサインオンソリューションです。
富士キメラ総研
「
2009ネットワークセキュリティビジネス調査
総覧」
シングルサインオン
市場シェア
2008年
(実績)
35.6%
ミック経済研究所
「情報セキュリティソリューション市場の現状と
将来展望
内部統制型・情報漏えい防止型ソ
リューション編
2009」
Webシングルサインオンパッケージ
市場シェア
2008年(実績)
35.2%
ITR
「
ITR Market View:アイデンティティ管理/
内部統制市場
2008」
SSO製品市場シェア
32.8%
Webシングルサインオンパッケージ
2007年、2008年の競合製品とのシェア比較図
Webシングルサインオンパッケージ市場シェアNO.1*
* 出荷金額ベース 国内Webシングルサインオンパッケージ市場No1 日本HP:35.2%(出典:ミック経済研究所「情報セキュリティソリューション市 場の現状と将来展望 内部統制型・情報漏洩防止型ソリューション編 2009」 2009年6月刊)HP IceWall SSO
2007年
2008年
HP IceWall SSOとは
~シェアについて
2010/4/16 HP Security DAY 2010 35
多くのリーディングカンパニーに
HP IceWall SSOを認証基盤としてご採用頂いています。
ver.8.0 R3までに4000万超ユーザライセンスを販売。Webシングルサインオンパッケージ市場シェアNO.1*
*出荷金額ベース国内Webシングルサインオンパッケージ市場No.1 日本HP:35.2% (出典:ミック経済研究所「個人認証型セキュリティソリューション市場の現状と将来展望2009」) お客様名 製品エディション システム内容 ユーザ数 イーヒルズ(株)様(森ビルグループ) EE ビジネスポータル(EIP) 5万 NTTコミュニケーションズ(株)様 EE+PKI BtoB(ASP) 数万 (株)NTTデータ様 EE+PKI 保険共同ゲートウェイ 無制限 (株)NTT ドコモ様 EE BtoC 数百万 KDDI (株)様 EE ASP(ファイル交換サービス - 住友商事(株)様 EE イントラネット 1.3万 (株)損害保険ジャパン様 EE 代理店システム 数万 トヨタ自動車(株)様 EE イントラネット、エクストラネット、 GSSO(SAML) 十数万 (株)三菱東京UFJ銀行(旧UFJ銀行)様 EE+PKI インターネットバンキング 数百万 (株)ユーフィット(UFJグループ)様 EE マーケットプレイス 3万 建設会社 EE イントラネット 1000~ 大手損保 EE+PKI 代理店システム 10万~ 公共機関 RP BtoC - 証券会社 EE イントラネット 4000 証券会社 EE BtoC 10万~ 新聞社 EE イントラネット 5000 保険会社 EE イントラネット 10万 ユーティリティ会社 EE イントラネット 5万 通信会社 SE BtoB 1000~ 大学 SE イントラネット 1000~ サービス会社 EE BtoC 100万※EE=Enterprise Edition, SE=Standard Edition
HP IceWall SSOは、エージェントレスでOSやWebアプリケーションに制限の少ない
リバースプロキシ方式
を主体とした
Webシングルサインオン製品です。
HP IceWall SSO基本構成図
クライアント PC IceWall サーバ 認証サーバ Webアプリケーション Webアプリケーション Webアプリケーション ネットワーク 認証モジュール IceWallサーバからの要求を受 け、認証DB上の認証認可情報 と照合し,アクセスログを出力 ・ エージェントの配布不要 ・ OS、Webアプリに制約 が少ない リバースプロキシ方式 すべてのトランザクションが IceWallサーバを通過。 認証認可チェックし、アタックを 防御する働きをします。 HP IceWall SSO POINT 1 POINT 2 POINT 3HP IceWall SSOとは
~基本構成
2010/4/16 HP Security DAY 2010 37
HP IceWall SSOは利便性のみを追求する単なるポイントソリューションにはとどまらず、
複数の課題を解決し、企業あるいは対外サービス全体でITの最適化に貢献します。
Reliability 信頼
セキュリティ強化で企業の信頼性を向上させます。
企業が取り扱う個人情報、機密情報などの情報資産をセ キュリティを強化することで守り、お客様や社会から信頼さ れる企業になるためのサポートをします。Comfort 快適
クオリティの高い製品で快適なワークスタイルを
実現します。
Care 安心
日本開発の製品で、
日本企業への細かいケアを行います。
Flexibility 柔軟
幅広いビジネス規模・ニーズに柔軟に応え、
未来の可能性を支えます。
Professional 確実
専門的な知識と確実なサポートで
企業のビジネスを止めません。
きわめて高品質で使いやすい製品です。運用者の負担と、 エンドユーザがアプリケーションを使用する際のストレスを軽 減し、一歩進んだ快適な仕事環境を実現します。 幅広い価格体系で企業の規模・ニーズに合った適切な導入 ができ、その高い拡張性と他のソリューションとの連携で、長 く付き合える製品を提供し、企業の未来の可能性を支えます。 グローバルIT企業であるHPの技術と経験をベースに日本国 内で開発をしています。機能・サポートの両面から、日本の 企業文化や組織構造に合わせたきめ細やかなケアを行い、 これによって常に安心してお使いいただくことが可能です。 HPが培ってきた豊富な導入経験と知見に基づき、短期間で の確実な導入が可能です。また、ビジネスニーズに対応した 信頼性の高いサポートで、導入後のご相談やご要望にもス ピーディーに対応し、企業のビジネスを止めません。HP IceWall SSOが提供する5つのメリット
リバースプロキシ型はプロキシ部分に負荷が集中するためボトルネックになると考えられがちで
すが、
HP IceWall SSOは処理性能が高いため、ボトルネックにはなりません。
また、認証サーバ部分と認証DBについても非常に高速です。
現状では
極めて大規模なサイトでも数千ヒット
/秒
数百ログイン
/秒程度
と考えられます。
HP IceWall SSOは十分それに耐えうる製品構造をもっています。
高速処理性能の仕組み
認証サーバ IceWallサーバ クライアントPC HP IceWall SSO 認証DB Webアプリ Network プロキシ専用。1,000hit/sec/台以上
dfw->MCRPにより 一層の高速化を実現 マルチスレッド、コネクションプール B*Treeなどにより高速処理可能10,000hit/sec以上
書き込みが早いDBタイプを使用 可能。ログインログアウト時に 各1度のみアクセス1,000ログイン/sec以上
MCRP 認証 モジュールHP IceWall SSOの処理性能
■
Comfort 快適
2010/4/16 HP Security DAY 2010 39
HP IceWall SSOは、リバースプロキシ型接続においても現在導入済のシステムを選ばず、一
部の特殊環境を除き、どんな環境にでも適応させることができます。
Webアプリケーション Type A IceWallサーバ 認証DB サーバUSERID PASSWD Name
user01 ***** Suzuki Ichiro AAAA ***
PASSWD USERID 属性情報での アプリケーション の コントロール ■HP IceWall SSOの ID/パスワード ■属性情報 ■アプリケーションの ID/パスワード HTTPヘッダでの 属性情報引き渡し 例: Suzuki Ichiro 自動Form認証、 代行認証 例: user01、***** HP IceWall SSOの ID/パスワードを 利用した認証 アプリケーション 管理のID/ パスワードを 利用した認証 Webアプリケーション Type B Webアプリケーション Type C HP IceWall SSO 認証あり Form Basic 例)パッケージ Webアプリ等 認証あり Form Basic 例)パッケージ Webアプリ等 認証なし 例)新規、 既存のWebアプリ 自動Form認証、 代行認証 例: AAAA、***
リバースプロキシによる代理認証
■
Flexibility 柔軟
■その他
他認証システムとの連携一覧
HP IceWall SSOは多様な認証製品と連携することができます。
ベンダー 製品名 種類 IWとの連携
RSAセキュリティ(株) RSA Adaptive
Authentication for Web
リスクベース認証 連携ソフトウェア提供(有償オプション)
RSAセキュリティ(株) RSA Secure ID ハードウェアトークン(ワンタイムパス ワード) 設定で対応 ソニー株式会社 Felica ICカード 設定で対応 ソフトバンクBB株式会社 SyncLock 携帯電話を使用した認証(ワンタイムパ スワード) 連携ソフトウェア提供(有償オプション) (株)ソリトンシステムズ SmartOn ICカード 設定で対応 日本ベリサイン株式会社 VeriSign ManagedPKI 電子証明書 連携ソフトウェア提供(有償オプション) パスロジ株式会社 PassLogic マトリクス認証(ワンタイムパスワード) ベンダーより接続用モジュール提供 日立ソフトウェアエンジニアリング 株式会社 静紋 生体認証(指静脈認証) ベンダーより接続モジュール提供
マイクロソフト株式会社 Microsoft Windows Windows統合認証 連携ソフトウェア提供(有償オプション)
株式会社ディー・ディー・エス ID Manager for HP IceWall クライアントサーバーアプリケーションID、 パスワード自動代行入力
設定で対応
株式会社ディー・ディー・エス EVE MA 多要素認証プラットフォーム 設定で対応
大日本印刷株式会社 TranC’ert Enterprise ICカード(クライアント証明書) 設定で対応 株式会社VASCO Data Security
Japan
VASCO DIGIPASS ハードウェア/ソフトウェアトークン(ワン タイムパスワード)
設定で対応
2010/4/16 HP Security DAY 2010 41
HP IceWall SSOでは代表的な2つの型を使った、
リバースプロキシ型
と
エージェントモジュール型
を提供しています。
エージェントモジュール型
エージェントモジュール型のポイント ・ ブラウザからアクセスする際にボトルネックになる箇所が 少なく、パフォーマンスに優れている ・ Webサーバごとにエージェントを埋め込む必要がある ・ エージェントモジュールがWebサーバのプラットフォーム に対応していない場合があるリバースプロキシ型
Webアプリ http://www.backend1.com/ http://www.backend2.com/http://www.backend3.com/ 認証サーバ クライアント PC Network リバースプロキシサーバ http://www.rproxy.com/ Webアプリ 認証サーバ エージェント エージェント エージェントHP IceWall SSOが提供する2つの方式
■
Flexibility 柔軟
HP IceWall SSOはモバイルに完全対応。
国内携帯電話の動作検証を随時実施しています。
モバイルに完全対応しています
四半期ごとに国内の携帯電話での検証を実施。
新機種、仕様変更に柔軟に対応しています。
URLにセッションIDを埋め込む機能で、クッキーに対応していない
モバイル端末にも利用可能。
例:
http://www.xx.xx.xx/?xxxx
モバイル用テンプレート
(HTML)
対応キャリアモバイル対応
■
Care 安心
2010/4/16 HP Security DAY 2010 43
43
HP IceWall SSO
による統合認証
シングルサインオンソリューションの
HP IceWall SSOでは、統合認証を実現するための標準方式を3種類ご
提供しています。
HP IceWall SSOは、SAML2.0仕様を実装したオプ
ション製品を提供しています。
HP IceWall SSOでは、HP IceWall SSOを導入したサ
イトにOpenID Providerの機能を実装させるモジュール を提供しています。 ・OpenID連携プロバイダモジュール
HP IceWall SSOの標準統合認証方式
・SAML2 SSO-Profileオプション ・SAML2エージェントオプションSAMLによる統合認証の実現
OpenIDによる統合認証の実現
HP IceWall SSOでは、Shibbolethとの連携情報について の情報を、設定ガイドとして提供しています。 ・HP IceWall SSOとShibbolethとの連携方法設定ガイドShibbolethによる統合認証の実現
HP IceWall SSOにおける標準認証方式
2010/4/16 HP Security DAY 2010 45
OpenIDサーバ
IceWall サーバ 認証サーバ
OpenID Provider
OpenID Relying Party
OpenID 連携プロバイダモジュール 認証モジュール (certd) 認証DB Servlet エージェント
①
②
③
④
⑤
⑥
⑦
⑧
⑨
OpenID4JAVA ライブラリ フォワーダ (dfw) Login UserID Passwd①OpenIDに対応したサービス提携サイト(OpenID Relying Party)へアクセス ②OpenID Providerへリダイレクト(未認証の場合:③へ 認証済みの場合:⑦へ) ③OpenID連携プロバイダモジュールがユーザをフォワーダへ誘導 ④フォワーダがユーザに認証を要求。ユーザがID/PWD入力 ⑤認証モジュールがユーザを認証しCookieを渡す ⑥認証CookieをOpenID連携プロバイダモジュールに渡す ⑦OpenID連携プロバイダモジュール(Servletエージェント)と認証モジュール間で認証Cookieを 照合 ⑧OpenID連携プロバイダモジュール(OpenID4JAVAライブラリ)が認証結果をOpenIDのフォー マットで送信
⑨OpenIDに対応したサービス提携サイト(OpenID Relying Party)へのアクセスが可能に。
オープンソースのライブラリである
OpenID for Javaを利用してIceWall SSOを
OpenID プロバイダーにすることができます。
IDP:認証提供サイト
Browser
Apache
Tomcat
dfw
certd
Servlet
Agent
dfw
certd
SAML-Login
module
IceWallの接続のために用意する
IDP Auth moduleと
SAML-Login moduleはサンプル提供
SP:認証依存サイト
dfw
(RP
)
Tomcat
IDP Auth module
※
IDP Auth module : 10(step)のサーブレット SAML-Login module : 200(step)のサーブレット ※要JAVA Agent Library for Extend Protocol Option
①
②
③
④
大学
/研究機関の認証連携で利用されているSAMLをベースとしたプロトコル。
(
UPKIプロジェクト)
2010/4/16 HP Security DAY 2010 47
社内の
ID管理システムとGoogleAppsのIDの一元管理が行えます。さらに社内の各アプリケーションや
Google Appsに対しシングルサインオンできます。
サイト間認証連携(
GSSO)導入ソリューション
Google Apps との連携
■本ソリューション導入のメリット
本ソリューション連携のメリットを以下に記載します。
■システム利用ユーザ
・
管理する
ID、パスワードは1つだけ
となります。
・
GmailをはじめとしたGoogle AppsサービスにログインするためにID、パスワー
ドを入力する必要がありません。
■システム管理者
・社内システムにおけるユーザ管理(追加・変更・削除)がシームレスに
Appsと連携されるため、
運用負荷が大幅に軽減
します。
・認証基盤により
セキュリティが強化
されます。
・
追加のソリューション連携(他のソリューションとの追加連携や
HP IceWall SSO
の
Macアドレス認証オプションの導入など)、今後も追加されるSaaSサービスへの
連携など、
拡張性の高いシステム
となります。
2010/4/16 HP Security DAY 2010 49 49
HP IceWall SSO
における
Windows 環境
との連携
HP IceWall SSOは、マイクロソフト社と連携し、社内のWindows環境との融合をすすめて
います。
Identity Manager Certd dfw DGO ID PASS LOG INActive Directoryを
中心とした環境
LDAP/Oracle
を中心とした環境
LDAP
AD
Windows統合認証
MOSS/OWA接続
AD/LDS 認証DB
セキュリティ属性による
アクセス制御
Windows環境との統合
■
Flexibility 柔軟
2010/4/16 HP Security DAY 2010 51
■
AD RMS とSharePoint テクノロジとの連携
MOSS 連携 MOSS と連携すれば、自動的に 権限が設定される。 MOSS 上で全文検索できる MOSS 連携 MOSS と連携すれば、自動的に 権限が設定される。 MOSS 上で全文検索できる ①ファイルを そのままアップロード セキ ュ リ テ ィ 自 動 設 定 セキ ュ リ テ ィ 自 動 設 定 作成者 指定された文書管理エリアに 保存されると自動的に セキュリティ設定が適用される 主なセキュリティ設定項目 9 印刷許可/不許可 9 スクリーン ショット禁止/ コ ピー禁止 9 閲覧の有効期限 ※MOSSMicrosoft Office SharePoint Server 2007 の略
情報共有、ポータル、検索などの機能を持つ ファイルが 漏えいしても 閲覧できない 閲覧者 作成者は 編集可能
作成者側
利用者側
印刷不可 印刷不可 ②権限が設定されたド キュメントを ダウンロードAD RMS とSharePoint テクノロジとの連携
Icewall 基本認証 FB認証 (SSL) IW用 UID/IW用 PWD AD用UID/ AD用PWD MSRPC DMZ 内部ネットワーク(Windowsドメイン)
インターネット
MOSS クライアント (ドメイン参加) クライアント 認証DB 認証DB FB認証 (非SSL)イントラネット
IRM ライブラリ (docx,pptx etc) IW用 UID/IW用 PWD 基本認証 RMS Active Directory IcewallIceWall SSOを利用した、インターネット経由での
AD RMS とSharePoint テクノロジとの連携
2010/4/16 HP Security DAY 2010 53
53
HP IceWall SSO
ロードマップ
代理店
システム BtoC Broad Band AllianceLiberty
イントラネット EIP GSSO Virtual Company リバースプロキシ シングルサインオ ン LDAP対応 iモード対応 外部I/Fによる多 様な認証に対応 Source IPによる 認可の対応 パスワード強化 超大規模トランザ クション対応 ノンバッファリング 対応 フォワーダLinux 対応 AD対応 Liberty Alliance ver.1.0対応 Linux完全対応 Identity Manager クロスサイトスクリ プティング対応 Windows統合 認証 Agent Option エージェント型認 証 Dynamic Menu Portal 自動フォーム認証 機能 API機能拡張 ログ拡張 GSSO対応 64bit対応 (HP-UX) Configuration Manager Agentモジュール の拡大 オリジナルURL利 用 OSS対応 自由度の高い 構成を実現 UserExitにて動 的にグループを作 成するAPIの追加 MCRP2.0 SAML2 Agent
ver.8.0R2
2007/04
ver.8.0
2006/01
ver.7.0
2003/10
ver.6.0
2002/11
ver.5.1i
2002/02
ver.5.0i
2001/06
ver.1.x
1997
プロジェクトとしてスタート
前 バージョンHP IceWall SSO 製品リリース状況
最新 バージョン Certd分散化 (ICP2.0) 未ログイン時のP OST文継承 HEADERの編集 強化 MCRP2.1SP1 Agent 2007 UR2ver.8.0R3
2009/1
2010/4/16 HP Security DAY 2010 55 ビジネス ロジック/UI ID管理 アクセス管理 認証 監査
■
Webサイト
■
データ
File
■
認証データ
HP IceWall SSO
HP IceWall
DMP
File Manager
HP IceWall
HP IceWall Identity Manager
HP Compliance Log Warehouse
グローバル
シングル
サインオン
SAML2 エージェント オプション 企業が守るべき情報資産 ■ Webサイト ■データFile ■ 認証データHP IceWallは、認証、アクセス管理を中心とした
以下のようなソリューション展開を行っています。
HP IceWall ファミリー
HP IceWall SSO Performance Monitor(無償)
HP IceWall Identity Manager
HP IceWall File Manager
シングルサインオン
認証認可
セキュリティ強化
ID管理
ファイルサーバ
HP IceWall MCRP
HP IceWall SSO Dynamic Menu Portal(無償)
HP IceWall SSO エージェントオプション
HP IceWall SSO SAML対応 各オプション(IdP用、SP用)
HP IceWall SSO JAVA Agent Library HP IceWall SSO Domain Gatewayオプション
機能拡張用オプション(抜粋)
製品
要件
HP IceWall SSO SSLオプション HP IceWall SSO クライアント証明書オプションHP IceWall MCRP SSLオプション
HP IceWall SSO OpenID連携プロバイダモジュール HP IceWall SSO MACアドレス認証オプション
HP IceWall SSO
HP IceWall SSO Configuration Manager(無償)
2010/4/16 HP Security DAY 2010 57
最新、詳細情報
•
HP IceWall SSO公式サイト
http://www.hp.com/jp/icewall
オンラインデモ
http://h50146.www5.hp.com/products/soft ware/security/icewall/family/demo/index.ht ml•
HP IceWall SSO 評価版ダウンロードサイト
http://www.hp.com/jp/icewall_download各種サービス
•導入サービス
•エクスプレスサービス
(短期間、低料金の定型構築パッケージサービス)
•コンサルティングサービス
(お客様のあらゆるニーズに応じる個別サービス)
•定期技術トレーニングサービス
•海外への導入、サポートサービス
•低価格なStandard Edition,定型パッケージも
ございます。
お問い合わせ
HPカスタマーインフォメーションセンター
http://www.hp.com/jp/iw_contact
03-6416-6660 (HPカスタマー・インフォメーションセンター)
受付時間
:
月曜日~金曜日
9:00-19:00
土曜日
10:00-17:00
(日、祝祭日、年末年始および
5月1日を除く)
お見積り、資料のご請求
http://www.hp.com/jp/sso_est
HP IceWall SSO周辺サービスとお問い合わせ
2010/4/16 HP Security DAY 2010 58
HP教育サービスでは、HP IceWall SSO関連の研修をご提供しています。
これらの研修を通して
Webアプリケーションの基礎技術やHP IceWall SSOの概念/機能/利用方法
を習得できます。
Webアプリケーション・テクノロジ概要
HP IceWall SSO トレーニング
HP IceWall SSO トレーニングII
YS60908
1日間
(税込¥
42,000)
HP IceWall SSO トレーニングの内容をより確実に理解し
ていただくためのお勧め前提コースです
YS61043 1日間
(
税込¥
57,750)
HP IceWall SSO の導入を行う際に必要な知識を習得す
るためのコースです。他の
Webサーバとの連携、情報継
承機能(
Webサーバに認証データを引き渡す機能)など
も実習を通し体験することができます。
YS60917 1日間
(
税込¥
57,750)
パフォーマンス調整項目、フェイルオーバの機能やシステ
ム管理者、アプリケーション開発者から要望の多い、
web
サーバとの高度な接続方法について、実習を交えて説明
いたします。
その他の情報についてHP教育サービスの詳細については、http://www.hp.com/jp/education
をご参照ください。 お問い合わせ・お申込はHP教育サービス受付へ 0120-130190 月~金9:00~12:00/13:00~17:00(土・日、祝祭日、年末年始および5/1を除く) 0120-802357 (FAX24時間受付)、 [email protected] (e-mail)2010/4/16 HP Security DAY 2010 59 2010/4/16 HP Security DAY 2010
