• 検索結果がありません。

WisePoint Shibboleth 導 入 のメリット SAML2.0に 対 応 したサービスと 認 証 連 携 可 能 本 人 認 証 と 端 末 認 証 の 二 要 素 認 証 装 備 固 定 ID PW 認 証 とワンタイムパスワード 認 証 による 強 固 な 認 証 機 能 の 利

N/A
N/A
Protected

Academic year: 2021

シェア "WisePoint Shibboleth 導 入 のメリット SAML2.0に 対 応 したサービスと 認 証 連 携 可 能 本 人 認 証 と 端 末 認 証 の 二 要 素 認 証 装 備 固 定 ID PW 認 証 とワンタイムパスワード 認 証 による 強 固 な 認 証 機 能 の 利"

Copied!
16
0
0

読み込み中.... (全文を見る)

全文

(1)

Ready!

1.

WisePoint Shibbolethについて

Shibboleth認証にワンタイムパスワード機能を提供

セキュリティ強度の高いワンタイムパスワード認証機能

学術認証フェデレーションへのシングルサインオン

GoogleApps等SAML2.0対応クラウドサービスへのシングルサインオン

学内

Webシステムへのシングルサインオン(リバースプロキシ対応)

ID統合認証基盤との連携

IdP、SP機能(シングルサインオンと認証強化)

IdP機能(学内システムがShibboleth対応済み。認証機能のみ提供)

SP機能(固定ID、PWでシングルサインオンを行う場合)

(2)

Ready!

WisePoint Shibboleth 導入のメリット

SAML2.0に対応したサービスと認証連携可能

本人認証と端末認証の二要素認証装備

固定ID、PW認証とワンタイムパスワード認証による強固な認証機能の利用

(イメージングマトリクス認証、マトリクスコード認証、Jパスワード認証など多彩な認証方式)

SAML2.0に対応していない環境にも考慮(Basic認証やForm認証に対して代行認証。エージェ

ントや権限によるアクセスコントロールが可能。)

様々なサービスの認証を一元管理(どこにいても、どのサービスを利用しても、同じ

ID・パスワード

で認証できる。GoogleAppsや学認にも対応可能。)

uApproveの対応(個人情報の保護にも対応)

Shibboleth(認証基盤OSS)に連携して開発

2

※Shibboleth(シボレス)認証とは 国立情報学研究所(NII)が導入を推進する全国の大学や研究機関の共通認証基盤。 NIIと全国の大学などが連携して「学術認証フェデレーション(学認)」を構成し、大学などの各機関は、学認に加盟することで、相互に認証連携 が可能になる。 さらに、情報セキュリティ基準の遵守による個人情報保護の負担軽減や、集中管理による運用管理業務やユーザーサポート業務の軽減も実現。 ユーザは、加盟機関が提供する各種サービスを、相互にシングルサインオンで利用可能になる。

(3)

Ready!

WisePoint Shibbolethと外部フェデレーション連携

3

WisePoint

Shibboleth(SP)

シングルサインオン シングルログアウト リバースプロキシ

・図書館システム等

Shibboleth SPにワンタイムパスワード機能を提供

・外部フェデレーションと学内

Webシステムへのシングルサインオンが可能。

・ワンタイムパスワードによる多要素認証機能も提供。

CLOUDサービスと学内システムへのシングルサインオン

・学内の認証

VLANとShibboleth SP、Webアプリケーションとのシングルサインオン連携を実現

SAML 学内システム

WisePoint

Shibboleth(IdP)

・ID、PW認証 ・イメージマトリックス認証 ・マトリックスコード認証 ・Jパスワード認証 アクセスコントロール

教職員

非常勤講師

学生

システム管理者

ゲストユーザー

学術認証フェデレーション

図書館システム

電子ジャーナル

クラウドサービス

Web履修システム

成績登録システム

教務システム

グループウェア

(4)

Ready!

WisePoint Shibboleth ご利用イメージ

学内の認証基盤で外部SP、学

Webシステムへシングルサ

インオン

学内の

WisePoint認証サーバ

(リバースプロキシ)で認証、

シングルサインオン

WisePoint Shibboleth IdP

による多要素認証

学内各種サブシステムへのア

クセス制御

冗長化対応

仮想化対応

4

(5)

Ready!

5

ユーザポータル機能

グループウェア等

ユーザ毎のパーソナライズ画面

各ユーザがアクセス可能な

サービス一覧を表示

学内連絡情報も表示可能

様々なWebアプリケーションとシン

グルサインオン連携が可能

(6)

6

6

Web シングルサインオン

■複数のシステムへ毎回認証情報を入力する手間を省略

■様々な

Webアプリケーションとの連携実績

■基本認証、フォーム認証に対応

□ユーザ独自開発

Webアプリケーションにも柔軟に対応

【教職員認証情報】 A: ID syainA PW **** ・ ・ 学生認証情報】 A: ID ****A PW **** ・ ・ 【教員認証情報】 A: ID A**** PW **** ・ ・ グループウェア 学内情報システム 教務情報システム

WisePoint SPサーバ

教職員

A

・バックエンドのアプリの

認証情報をキャッシュ

・ユーザの代理認証を

実施

suzuki ********

ユーザはWisePointで

1度認証をするだけ

個別入力の

必要なし

(7)

Ready!

7

アクセスコントロール

■ユーザをロールに割り当て、各ロール毎にアクセス可能な

Webサービスをコントロール

■各サービスの重要度に応じて、認証方式の設定も可能(

2段階認証が可能)

グループウェア

教務システム

学内システム

教員

学生

ゲストユーザー

WisePointサーバ

ユーザ

A

ユーザ

B

ユーザC

それぞれポータル経由でアク

セス(ユーザ毎に利用可能な

サービスが表示)

×

×

(8)

Ready!

8

システム構成パターン:

WisePoint Shibboleth-IdP/-SP利用

DMZ

クライアントPC

LAN

※データベースサーバと

WisePoint管理サーバは1台のマシンに搭載可

スマートデバイス WisePoint Shibboleth-IdPサーバ WisePoint Shibboleth-SPサーバ Web アプリケーション データベース サーバ WisePoint管理サーバ LDAP

(9)

2.多要素認証について

・憶えやすく忘れにくい図形・絵柄で認証 ・ログイン毎にイメージの位置情報が変化すること で、ワンタイムパスワード認証を実現 イメージングマトリクス認証 マトリクスコード認証 ・ユーザ毎にユニークな乱数表を用いた認証 ・ログイン毎にチャレンジコードが変化することで、 ワンタイムパスワード認証を実現 VASCO DIGIPASS認証 (※)8秒単位で設定を変えることが可能 ・40秒でパスワードが変わる(※) ハードウェアトークンを使ったワンタ イムパスワード認証 ・インターネットバンキングレベルの 高いセキュリティ強度 スマートデバイスID認証 (個体識別認証、端末認証)

・スマートデバイス端末ごとに固有に持たせた

ID

で端末を特定

iOS、一部Android対応

・入力の手間を省略化

携帯電話ID認証 ・携帯電話固有の製造番号をキー にした端末認証 ・マルチキャリア対応 (docomo、au、SoftBank) ・入力の手間を省略化 オプションライセンスです。 オプションライセンスです。 オプションライセンスです。 (※)WisePointShibbolet h は対応しておりません。 Q:初恋の人の名前は? ********* Jパスワード認証 ・日本語(全角文字:漢字やひらがな等利用できます。 ・ユーザだけにしかわからない、覚えやすく忘れにくい既知 情報をパスワードとして、登録利用できます。 ・パスワードに利用可能な文字数が半角文字に比べ 増加するため、総当り攻撃に強い耐性を発揮します。

(10)

Ready!

10

10

イメージングマトリクス認証

《特許取得済》

事前に覚えた図形をキーにワンタイムパスワード認証を実現

不規則な縦横二桁の数字をログイン

毎にランダム表示

ログイン毎に絵柄の位置がランダム

に移動

ワンタイムパスワードにて認証

(イメージ図)

(11)

Ready!

マトリクスコード認証

特徴①多彩な認証方式(2)

1315

WisePoint

サーバ

チャンレジコードを送信

レスポンス(パスワード)を送信

Q. E1 D4

認証完了

個人毎にユニークな

乱数表を用いて認証

ゲストユーザー用に一時貸し出しなどの対応も可能

(12)

Ready!

12

12

JJパスワード

パスワード認証

認証

suzukiさん登録Jパスワード】

チャレンジコード

レスポンスコード

初恋の人の名前は? → 川崎○○子

商店街の名前は?

→ 希望が丘商店街

学生時代のゼミは? → 司馬研究室177

WisePoint認証サーバ Q:初恋の人の名前は? *********

suzuki

IDを入力

④チャレンジに対する

レスポンスを入力

IDが送信される

③受け取った

IDを見て、その

ユーザ用のチャレンジを送信

DB

⑤レスポンスが送信され、登録されているレ

スポンスと照合。

OKorNGが判断される

(13)

Ready!

九州大学様

WisePoint Shibboleth IdP、SP導入事例

教職員

9,000名、学生19,000名が利用

重要情報を扱うシステム(学務情報や財務情報など)のセキュリティ強化

学外から学内システムへのアクセス許可

非常勤講師への対策(成績登録等)

図書館システム等、

Shibboleth連携

統合認証

IDMとの連携

九州大学作成のマトリックスコード認証

学内システム、外部フェデレーションへのシングルサインオン

クラウドサービス連携

(14)

Ready!

セキュリティを重視するサービスに対する

マトリクッスパスワード認証の提供

IdPでマトリクスコード認証し、

SP経由で学内、学外サービスに

シングルサインオン

九州大学様 Shibboleth認証とシングルサインオンシステム事例

•教職員

学務情報

システム

教職員用

WisePoint Shibboleth SP

リバースプロキシサーバ

マトリックスパスワード認証の

対象となるサービス(QMAX)

事務用

ポータル

シングルサインオン

CLOUD

Shibboleth対応の図書館システム

(マトリックスパスワード認証対象外)

・全学共通ID

・マトリックスコード生成

・ロール生成

(裏面にマトリックス表)

ICカード発行

パスワード

変更システム

ユーザID情報等を登録

パスワード変更の場合

全学共通ID管理システム

認可の情報

等の照会

電子ジャーナル

DBサーバ

LDAPサーバ

学生は、ID/PW認証で電子

ジャーナルのSPと学内ポータ

ルにシングルサインオン

ID、PW認証 マトリックス認証 学生用

WisePoint Shibboleth SP

リバースプロキシサーバ

ユーザ・パスワード

情報の照会

マトリックス

パスワードの照会

Webシステムと外部フェデレーション へのシングルサインオン

CloudStack

(Shibboleth対応)

WisePoint Shibboleth IdP

マトリクスコード認証サーバ

(15)

Ready!

4.補足:その他ご利用シーン

SSL-VPNシステムを使用する際の本人認証

キャンパス内無線LANシステムへのアクセス時におけるユーザ認

証(本学の学生のみ

Wi-Fiから学内システムへのアクセスを許可)

認証

VLANアクセス時におけるユーザ認証

学内からの不正アクセス対策(多要素認証でセキュリティ確保)

スマートデバイスからの利用

(16)

Ready!

16

WisePoint Authenticator 連携製品

SSL-VPN連携製品

Juniper MAGシリーズ JunosPulseゲートウェ

イ(Juniper Networks)

FirePass(F5 Networks)

Cisco ASA 5500シリーズ (Cisco Systems)

Forefront Unified Access Gateway (UAG)

(マイクロソフト)

FortiGateシリーズ(フォーティネットジャパン)

IPーVPN連携製品

Cisco ASA 5500シリーズ (Cisco Systems)

Software Blade

CheckPoint

SOFTWARE TECHNOLOGIES)

認証

VLAN連携製品

Apresia(日立電線)

OmniSwitch(日本アルカテル・ルーセント)

AXシリーズ(ALAXALA Networks)

Cisco Catalystシリーズ(Cisco Systems)

無線

LAN連携製品

Mobility Controllers(Aruba Networks)

Cisco Aironet(Cisco Systems)

FireWall

FireWall-1(CheckPoint SOFTWARE

TECHNOLOGIES)

端末認証サーバ連携製品(

PC)

ROUD(丸紅OKIネットソリューションズ)

Regstgate(エヌ・エス・アイ)

参照

関連したドキュメント

3.5 今回工認モデルの妥当性検証 今回工認モデルの妥当性検証として,過去の地震観測記録でベンチマーキングした別の

RCEP 原産国は原産地証明上の必要的記載事項となっています( ※ ) 。第三者証明 制度(原産地証明書)

紀陽インターネット FB へのログイン時の認証方式としてご導入いただいている「電子証明書」の新規

※証明書のご利用は、証明書取得時に Windows ログオンを行っていた Windows アカウントでのみ 可能となります。それ以外の

業務効率化による経費節減 業務効率化による経費節減 審査・認証登録料 安い 審査・認証登録料相当高い 50 人の製造業で 30 万円 50 人の製造業で 120

出典: Oil Economist Handbook “Energy Balances of OECD countries” “Energy Balances of

据付確認 ※1 装置の据付位置を確認する。 実施計画のとおりである こと。. 性能 性能校正

太陽光発電設備 ○○社製△△ 品番:×× 太陽光モジュール定格出力